在过去十多年，SSL VPN已成为众多企业的IT基础设施。近期利用SSL VPN设备发起的APT攻击事件并非孤案。我们都知道在真实攻防对抗的大背景下，去年VPN设备就被爆出严重漏洞，近期的APT事件仅是该类设备安全问题的延续。

这一起APT事件，凸显了几方面问题：

01

网络安全行业本身面临的“供给侧改革”问题

曾经这个名词伴随2014-2015创业大潮被多次提及，而近期披露的APT攻击事件，在当下推动国产化的背景下，显得更为迫切。安全能力应当是IT系统的内生能力，安全产品更应如此。

基于“构建可控的互联世界”的愿景，联软科技在2016年提出了“可信数字网络架构TDNA”(Trusted Digital Network Architecture)的理念，并在该理念下研发出了全新一代企业级安全保护平台ESPP，集网络准入控制、终端安全管理、BYOD设备管理、云主机安全管理、数据防泄密等系统于一体，通过一个平台，统一框架，数据集中，实现更强更智能的安全保护，减轻安全管理负担，降低采购和维护成本，致力于将安全能力融入客户业务，打造内置安全能力。

02

利用SSL VPN作为跳板的APT攻击，暴露了传统IT架构的脆弱性

1.VPN的远程接入方案，看似安全，但等同于内部网络暴露在互联网。当这台暴露在互联网的设备被控制，企业网络的大门随即就被打开。

2.在单点完成接入、认证和授权的模式，需要设备是安全的，还要确保部署配置的安全，运行维护的安全，这其实是很高的要求，超越了大多数企业级客户的能力，导致容易出现管理后台对外开放，登录账号弱口令。这种低级错误，为APT组织留下大量设备作为研究对象。

3.VPN是建立连接，再去验证，一旦验证通过就持续可信。而以零信任网络为典型的新安全架构颠覆这种认知，强调设备、人、资源都不可信，需要持续验证。

03

本次事件也契合RSAC2020的主题“Human Element”，不安全的产品是人为的，不安全的配置（管理后台开放、弱口令），也是人为造成的。企业安全治理的核心要素，始终是要恪守安全基本准则，减少暴露面，避免给人犯错的机会。

此次VPN暴露出来的安全事件也凸显了在传统网络边界近乎消失的时代，VPN 问题频出，尽显老态，需要更新的技术适应新时代信息技术的发展。

Gartner预计到2023年，60%的企业将逐步淘汰大部分VPN，支持零信任网络访问。

联软科技从2017年已经开始研究零信任架构，结合自身丰富的网络安全管理和终端安全管理实践经验，开发了联软UniSDP安界软件定义边界系统。联软SDP系统主要基于可信身份、可信终端、可信网络、可信服务四个层面实践零信任网络架构，为企业内网安全和云安全打造统一、安全和高效的访问入口。

其中联软的可信终端能为用户提供安全沙箱功能，这个在实践零信任理念的数据安全中跨出了一大步，联软的APN网关也具有技术专利，整个架构始终坚持用户导向，保持了足够的灵活性和开放性。

联软SDP系统在消除企业安全连接中对VPN的依赖性有明显效果，在安全性上比VPN具备先天的优势，主要体现在以下几个方面：

联软SDP优势亮点

1) SDP架构中的单包授权（SPA）机制使得SDP控制器和网关对阻止DDoS攻击更有弹性。SPA协议与传统的TCP握手连接机制相比可花费更少的资源，使服务器能够大规模处理、丢弃恶意的网络请求数据包。

2) SDP的访问控制是基于Need to Know模型，在技术实现上确保每个用户必须先验证每个设备和身份，然后才能授予对网络的访问权限。能够大大减少企业IT的攻击面，隐藏系统和应用程序漏洞，保护用户接口不被未授权用户访问，因此也无法利用任何漏洞。

3) SDP可以与IAM集成，实施自动化策略，动态的根据用户的身份和权限控制用户或服务能够访问的IT系统资源。

由于SDP安全的设计理念，成熟的安全技术架构，在解决VPN存在的问题、以及多云访问下统一入口、统一身份认证、安全审计等方面都有传统解决访问无可比拟的优势，同时在第三方安全访问、促进IT系统集成上也越来越显示出巨大的优势。