感覺和技術有關，軟件什麽都能定義亦或者還要重新定義，而今天我們要講的SDP也被軟件定義了，定義的是邊界。

什麽是SDP？

SDP的全稱是Software Defined Perimeter，軟件定義邊界，它是由雲安全聯盟（CSA）提出的一個概念。

不喜歡說那麽多高深莫測的話，拋開“專業術語”來看，其實可以把SDP比作一個軟件做出來的網關來理解，就是用可控的邏輯組件替代物理設備，通過軟件對訪問者進行設備認證及身份認證，通過認證後授信的訪問者才可以對於應用基礎設施的訪問。

SDP主要分成兩部分：即主機和控制器（Controller）。

主機有兩個任務，即創建或者接受鏈接，創建連接的主機叫（IH）、接受連接的主機命名（AH）。

控制器的任務則是對主機進行認證和下發策略，主機和控制器之間通過一個安全的控制信道進行交互。

紅芯隱盾的SDP？

我上篇文章提過，紅芯面對的客戶是政府和事業單位，比如醫療系統、公安系統、政務辦公系統、敏感數據比較多的體系，這些體系的內部系統，大部分都是自有的“小機房”私有化部署的。

前些年也沒有什麽特定的標準化，各級單位或企業雖然按照一個需求標準，但是都是通過從當地尋找“服務商”來做，除了技術參差不齊以外，運維、安全這些也是很難跟的上的。

雖然是私有化部署，但是很多都存在遠程訪問的需求，所以大部分網站的鏈接方式，是客戶端與服務端直連的模式，以IP或者域名直接訪問的，因為這樣的需求，導致服務端實際還是暴露在公網中。

由於技術的參差不齊，運維、安全跟不上，再加上使用者的安全意識薄弱，因漏洞、或因用戶使用弱口令密碼被黑的事件確實也屢見不鮮。

而SDP正是在解決這個痛點，關於紅芯隱盾的工作原理，我讓產品×××手繪了一個邏輯圖：

首先紅芯瀏覽器會通過“多因子認證”的方式對客戶端進行認證，通過認證後請求私有DNS獲取到訪問IP，再向網關發起請求，網關授信確認用戶身份後，再放行對OA、Mail以及其它操作系統的訪問。

所以我在上篇文章提到，紅芯隱盾的邏輯簡單來說其實就是把瀏覽器作為一個入口點，控制臺負責下發訪問規則，設定黑白名，建立私有DNS劃分出私有網絡，外部設備沒有連接DNS就沒有辦法訪問數據，以此劃分邊界。

SDP的優勢？

之前提了劣勢，存在即合理嘛，所以今天還是一本正經的說說優勢。

隱藏敏感系統，減少***面。

這點是不可否認的，SDP確實從某種意義上，將敏感業務系統“藏”了起來，提高了******成本和門檻，所以我說穿條褲衩總比裸奔來的好。

減輕DDoS***

必須授信才可以訪問及觸達，未授權用戶或設備的TCP鏈接會被控制器和AH拒絕掉，所以從某種意義上可以減輕DDoS***，但是絕對不是徹底防止，***還是可以用其它方式D垮服務器。

訪問控制更靈活

相比×××或者跳板機，SDP的策略是基於用戶，而不是基於IP地址，在授信訪問之前可根據用戶屬性對用戶賬戶及設備創建訪問策略，訪問控制要靈活很多。

溯源便捷

基於用戶及訪問設備進行授信，遇到問題可以通過AH日誌和IH的流量進行溯源

相對成本低

沒什麽可解釋的，軟件一體化的方案去PK硬件設施方案，無論時間成本還是金錢成本都會低。

紅芯該從哪方面改進？

提問題也順便解決問題吧，是非的事情不想過多理會，拋開“造假事件”來看，紅芯瀏覽器使用Chrome/49 來解決XP的兼容，一方面是耍了個小聰明想去解決一些問題，另外一方面也反襯出團隊技術比較弱或者預算不足的問題，當然這是一件很不負責任的行為。

兼容最好的辦法還是學學國內主流瀏覽器以Trident+Webkit或Trident+Blink雙內核的方式來解決問題。

從Chrome/49 到今天的Chrome/ 68，各種高中低危漏洞算下來不下200個，組合利用起來***可以通過幾百種姿勢通過對業務進行***，漏洞利用的***成本低到我誘導某用戶訪問我發給他的指定的一個頁面，即可獲取到他相關敏感的信息。

從目前來看，如果不去解決這個問題，SDP機制雖好，但幫客戶關上門的同時，也幫助***打開了一扇窗啊。

再加上我上一篇文章提及過的，統一控制臺(www.redcore.cn)暴露在互聯網上，如果不做好措施，那麽其它所有的努力都是為***提供了便利和工具。

就像嘶吼小夥伴公眾號裏寫的那樣：

管理員真的是帶著包含200多個Chrome漏洞的瀏覽器裸奔在互聯網上！！

寫在後面

不因為一些問題一棒子打死，再次聲明SDP對我列舉的這些自部署私有敏感系統的客戶來講，確實是一個低成本的解決方案，這套方案也並不是紅芯的國內首創，其實國內很多包括綠盟在內的安全公司，也都在提供相應的解決方案。

創業不易，我這有什麽就毫不避諱說什麽的性格，可能是某些人眼界中比較蠢的那種，但是如果把這臭毛病改了，我還是我嗎？

這是個哲學問題。

曲子龍：造假門後續，從紅芯隱盾談談SDP