从SDP到XSDP，从理论到产品成功落地，零信任架构正在快速发展成熟

大家都知道，零信任一开始的定位就是新一代网络安全架构，其立论是基于传统边界防护的内网不再安全，一旦攻击者突破了边界，在边界内就畅通无阻，打一比方，就像是一个鸡蛋，穿透了蛋壳，内部就是蛋黄和蛋清，所以需要用零信任新范式构建身份新边界。零信任主张持续验证，基于最小权限访问控制。

那么在国内，零信任经过近几年的重点发展，SDP领域内相关产品方案也得到了不少行业和客户的认同，市场规模渐渐起来。

但是大家也看到，零信任SDP主要还停留在远程接入场景，这个场景大家有共识，比较明确。

零信任在内网，实事求是的讲，并没有广泛的落地。这个问题在哪？显然不在咱们客户身上，我认为是在零信任SDP自身，零信任SDP的安全能力还有不足，还需要提升。

为什么这么说？

我有时会打这么一个比方，SDP就好比一个宣称基于零信任理念的保全公司，接手了客户办公大楼、办公园区的安保业务，给了最大的权限。零信任能对所有进入大楼的主体(用户、终端）查身份证，要口令，进行MFA多因素认证。也有一张清单，用来校验权限。

零信任还给了很高的通行权限，因为它是网关嘛，哪都可以去。

但是，被零信任SDP放行的，不一定好人，有可能是坏人的尾随、冒用；被零信任SDP拦截的，不一定是坏人，有可能好人忘了口令。

也就是说，零信任SDP还只是一个兢兢业业的保安，能提供确定的认证和控制隔离动作，但是不能保证保护的效果。

我把这个状态，称为被动防御。那么显然，零信任SDP面临瓶颈，需要升级，升级到主动防御。

我们来看下这个瓶颈，瓶颈体现有两个点。

人的脆弱性瓶颈

第一个关键挑战，就是人的脆弱性的问题。企业和机构，如果上了一定的规模，成千上万的员工时，钓鱼和社工就难以完全避免。如果有1%的员工会点开钓鱼，那么1000人的企业，就有10人，1万人的企业机构就有100人。然而攻击者最低需要的有效点击，只要1人。这就是人的脆弱性。

我们试想一下场景，只需要一个电话、一个短信、一个邮件、一个IM即时通讯，就可以击穿层层防护的边界，然后绕过邮件安全网关、对杀毒软件免杀，进入到内网，发起攻击。

甚至在攻防演练中，还有客户面临过，攻击队给外包员工拨打电话：“你好，我是安全部，现在在进行攻防演练，你的终端需要排查一下”。然后光明正大远程，安装木马。

外包员工还在问：“你好了没有啊，我还要工作呢”。攻击队说：“你再等一会，马上就好了”。

所以我们看到，人的脆弱性上带来的安全风险，现有零信任SDP并不能兜底解决。

最小权限难以落地的瓶颈

第二个关键挑战，就是零信任SDP的最小权限理念的落地障碍。最小权限是一个好的理念，但是落地障碍和成本是非常巨大的。

我以一个巨型的头部金融机构的内网为例，他们的开发测试是专机专网，和外部完全隔离，这个就不提了。那么广泛的办公内网，实现到了什么程度？

全员都是User权限，不能安装软件，不能开端口、开启服务。硬盘加密，DLP关闭掉外设，邮件发送附件需要审批。不能安装微信。

如果需要上网，怎么办？按域名进行白名单申请。

所有的终端，都通过准入，用MAC绑定IP。然后访问应用的权限，都基于IP来配置ACL。

实事求是地讲，这种模式，就可以认为是内网的零信任的一种实现。因为零信任本身并不是具体的技术，而是一种理念。

但是这种力度，我们有多少企业和机构能够跟随实现？它对运维成本、员工体验的影响，又有多少企业和机构能够承受？

而且，这还不是绝对意义上的最小权限。以权限为例，我们经常听到基于RBAC(Role-Base)基于角色的访问控制，这个是最小吗？显然不是。更小的应该是UBAC(User-Base），基于用户，千人千面，万人万面。但是很显然，RBAC已经很难实现了，更不要说是UBAC。

控制软件安装就是最小权限了吗？也不是。因为我们较真一点，还可以运行绿色软件，免安装，大部分免杀木马就是免安装，说句玩笑话，黑客比我们还重视用户体验，最怕体验差用户不点，对吧？

那么控制进程运行，就是最小权限了吗？也不是。还可以通过动态库，DLL，加载到白进程里运行。那最小权限是不是要到动态库呢？一个软件就有上百个动态库，怎么做最小权限？

如果再展开一点，访问时间、访问行为、访问位置等等，都应该是最小权限的一部分。

如果我们按这个思路一直走，基本上，没法达到。所以我们认为，零信任SDP所设想的最小权限过于理想，只能部分达到，在较广泛的场景下，落地障碍是非常巨大的。

理想中的零信任SDP

所以理想中的零信任SDP，应该不依赖于最小化权限，就算你的权限是相对比较粗的RBAC，也不依赖于人的脆弱性，即使人是脆弱的，会被钓鱼，会被社工，就算你可以安装或运行一定的软件，就算会被钓鱼、社工，也能够识别和发现攻击者，提升安全的水位、安全等级。

但是这个问题如何去实现呢？

最终通过对很多维度的分析、共创和思考，其中一个维度非常有意思。安全的核心手段，无非是鉴白和鉴黑。最小权限肯定是鉴白的手段，是鉴白的终极状态，如果没有化最小化权限，那么很显然，我们应该从“鉴黑"的视角去找答案。

所以我们得出第一个结论，零信任SDP如果要升级安全水位，需要引入鉴黑的理念。

基于Right Data精准鉴黑

那么怎么鉴黑呢？因为人的脆弱性问题，一定会有恶意的木马会被点，对吧？

我们再看下，传统的鉴黑、应该说典型的鉴黑吧，其实有一个核心的共性，我们看到不管是反病毒软件、还是强调云地协同的EPP、还是IOA攻击指标的EDR，其本质都是Big Data，大数据。通过大量的文件特征、域名特征、攻击流量特征、攻击行为序列的规则库，等等，来识别恶意的攻击。

基于Big Data大数据的DR检测体系，是主流的鉴黑体系，很有用。但是我们也不得不意识到，总会有攻击者通过多种方式，绕开邮件安全网关的DR检测、绕开杀毒软件检测、绕开EDR/NDR的检测，最终会把木马运行起来。

那么怎么办？

我们知道有阴就有阳，夫妻结婚也得有夫有妻，而且理想的夫妻最好能互补，对吧？（咳咳 ，请忽略奥特曼）

那么站在Big Data的另一边，互补的对象是什么呢？是Right Data，正确的数据。

Right Data就是基于身份、行为、策略等等基线，给你量身定制检测机制，获得准确的鉴黑数据。

我简单打个比方，比如说，我们有一个运维员工，身份是运维，行为上全部都是规规矩矩，通过堡垒机访问运维端口，那么基于这个前提，我们通过零信任，给这名运维员工分发了一个诱饵，端口是20221，协议是SSH。这个端口，不是知名的，在UI界面上是隐藏的，只能通过扫描工具检测出来。那么如果一旦被扫描出来，那么你就是攻击者。

如果有一个财务，我分发一个3306数据库协议端口，隐藏起来，被发掘出来的，也基本上是攻击者。这就是Right Data的最简单展示。

这种诱饵，往往是信息类诱饵，就像是一张纸条，它本身不消耗性能、不占用资源，只看是否有心怀恶意的人去利用纸条上承载的信息，从而精准捕获恶意者。

所以我们看到，Right Data它天然适合于零信任体系来持续增强实现。因为要把鉴黑做得越精准，就得比员工本人更了解员工，需要知道身份、权限、策略、行为基线等等白的数据。

打个形象的比方，这就像是反向钓鱼。就像在桌子底下放了一张纸条，写着比特币的账号和密码、钱包登录地址，会去访问的，则是心怀恶意的。

安全从此不再只能被动防守，被攻击者钓鱼。而是能够围着员工发10086个诱饵，向攻击者反向钓鱼。你可以不点，但是只要点错，就会被炸。

X-SDP不止是反向钓鱼

当然X-SDP也不仅仅是反向钓鱼，前面也提到过，X-SDP的核心是Right Data，同时X-SDP的基础和内核依然是SDP（X-SDP顾名思义，是SDP的扩展)。

从内核角度，当一个业务系统被X-SDP&SDP所保护，那么攻击者有且只有3道防线可以攻击和入侵，要么是SDP账号、要么是SDP的终端、要么是SDP设备本身。

所以，X-SDP首先需要基于SDP账号、SDP终端、SDP的设备三道防线、三道高地，就像在上甘岭高地深挖战壕、设立子防线，进行体系化的纵深防御强化，并且实现防线可视。

而从Right Data角度，除了诱捕鉴黑，还会有恶意行为鉴黑、NDAY EXP鉴黑等手段，用于持续识别和区分攻击者，成为Big Data防护体系的兜底与互补。这些能力都需要在未来持续建设和提升。

展望

X-SDP理念的落地上，相信这个思考，在当前只是一个开端。希望通过业界持续的思考和努力，持续完善，最终将零信任SDP，不止落地在远程，而是进入内网实现全网，甚至更大的范围。