關(guān)于區(qū)塊鏈的話題最近又火起來了，不了解區(qū)塊鏈基本原理的朋友可以參考我在2018年元旦的文章（小顧白話區(qū)塊鏈https://mp.weixin.qq.com/s/734T6iAS_hPPvAOslIYiKA）。通過各種火爆網(wǎng)幣，人們認識到區(qū)塊鏈不可篡改可溯源的優(yōu)秀特性，但也固化了人們對區(qū)塊鏈的認識：公鏈架構(gòu)是唯一架構(gòu)，多用于金融、信用、網(wǎng)幣相關(guān)領(lǐng)域。實際上，區(qū)塊鏈技術(shù)不僅僅可以被用在金融領(lǐng)域、智能合約等方面，還可以在企業(yè)網(wǎng)絡(luò)安全方面發(fā)揮巨大作用，不過其原理與架構(gòu)，與人們所了解的公鏈有所不同。

      新一代SASE（Secure Access Service Edge 安全接入邊緣）網(wǎng)絡(luò)性能與安全融合架構(gòu)，以身份認證為核心，集成SD-WAN與安全功能的廣域網(wǎng)接入方案，無縫適配云環(huán)境（包括容器），以軟件虛擬化形態(tài)提供微服務(wù)，適應(yīng)絕大多數(shù)物理或虛擬接入端。近些年，黑客攻擊重點已經(jīng)從網(wǎng)站、數(shù)據(jù)中心轉(zhuǎn)移到工業(yè)平臺，如電力、水利、能源、制造等等，早期的伊朗核能工廠、近期以色列水利系統(tǒng)、日本本田汽車制造公司。這些案例，都是典型的APT強針對性定向攻擊。而黑客也無一例外，利用各種辦法或破解、或欺騙接入端的安全認證，進入系統(tǒng)后篡改操作指令，導(dǎo)致整個系統(tǒng)紊亂，出現(xiàn)事故。因此，身份認證安全，非常重要，是所有企業(yè)或組織單位都應(yīng)該關(guān)注的。數(shù)字化場景，無論是工業(yè)互聯(lián)網(wǎng)，又或物聯(lián)網(wǎng)，都是融合型平臺。接入平臺的子集包括其他工業(yè)或物聯(lián)平臺、軟件、工業(yè)設(shè)備、人為控制終端、非人控制終端等等，所有這些軟硬件都可以稱之為IT資產(chǎn)。數(shù)字經(jīng)濟的身份認證，其含義不再簡單是人員的身份，而是所有IT資產(chǎn)的身份。隨著社會數(shù)字化與工業(yè)互聯(lián)網(wǎng)的不斷發(fā)展，IT資產(chǎn)身份認證，必然會受到前所未有的重視。 

      IT資產(chǎn)的身份認證，至少需要確認三件事：登錄時間、登錄身份、身份本身信息的完整性（未被篡改過）。凌銳藍信，利用無鑰簽名區(qū)塊鏈技術(shù)，符合Gartner 對于SASE的定義，根據(jù)區(qū)塊鏈不可篡改但可追源的特性，起到保護IT資產(chǎn)安全的作用。該技術(shù)形成的產(chǎn)品方案，我們稱之為區(qū)塊鏈SASE，使用密碼學(xué)常用的默克爾樹與哈希值算法，與時間軸形成比對函數(shù)，來確保每一個IT資產(chǎn)的唯一合法性。這與我們熟知的安全技術(shù)不同（如防火墻、態(tài)勢感知、token認證等），但可以配套使用。

      安全認證過程要保證快速實時性，且持續(xù)性。而區(qū)塊鏈被認為是低效率的分布式數(shù)據(jù)存儲，持續(xù)認證過程還比較容易理解，但相互認證的過程比較久，如何確保快速實時認證？原來，為了確保持續(xù)且實時性認證，與網(wǎng)幣型公鏈不同，區(qū)塊鏈SASE為用戶分布式部署私有區(qū)塊鏈，所有區(qū)塊不存儲任何業(yè)務(wù)數(shù)據(jù)。重要的事情說三遍：區(qū)塊不存儲任何業(yè)務(wù)數(shù)據(jù)，不存儲任何業(yè)務(wù)數(shù)據(jù)，不存儲任何業(yè)務(wù)數(shù)據(jù)。只存儲授權(quán)IT資產(chǎn)的唯一數(shù)字ID與唯一哈希值對應(yīng)的區(qū)塊鏈簽名，近乎于空區(qū)塊。如此，訪問每個區(qū)塊的速度就會非常快。下圖舉例說明，不同IT資產(chǎn)對應(yīng)的唯一哈希值。

      圖1，2M word文件

      圖2，336字節(jié)的Log日志         

      圖3，虛機鏡像  

      此外，為了保證各區(qū)塊相互認證的高效性，此區(qū)塊鏈架構(gòu)，不同于普通架構(gòu)。普通架構(gòu)是所有區(qū)塊相互認證，而我們所介紹的區(qū)塊鏈SASE架構(gòu)，是聯(lián)邦區(qū)塊鏈分布式認證。請見下圖：

圖4，普通公鏈的架構(gòu)（摘自網(wǎng)絡(luò)），所有區(qū)塊相互認證

      圖5，聯(lián)邦鏈的架構(gòu)

      企業(yè)應(yīng)用場景

      作為特種軸承制造的龍頭企業(yè)F，在使用SD-WAN搭建企業(yè)內(nèi)網(wǎng)的同時，要求確保企業(yè)內(nèi)部研發(fā)文檔、圖紙、視頻等敏感資料的安全性。企業(yè)并進一步要求：首先只有公司內(nèi)外的授權(quán)用戶才可以接觸這些資料，所有訪問都必須記錄在案，某些低級別授權(quán)用戶只可閱覽，不可修改；非授權(quán)用戶，零機會接觸敏感資料。

      使用區(qū)塊鏈SASE架構(gòu)，做好安全部署，為受保護的數(shù)字資產(chǎn)，包括軟件、數(shù)據(jù)、存儲、服務(wù)器等，以及所有授權(quán)接觸這些資料的接入端（電腦、手機、Pad、虛機等），做好數(shù)字資產(chǎn)認證安全。受保護的IT資產(chǎn)接入SD-WAN網(wǎng)絡(luò)時，同時被授權(quán)接入私有區(qū)塊鏈，俗稱上鏈。私有部署的區(qū)塊鏈通過算法為IT資產(chǎn)提供唯一區(qū)塊鏈身份數(shù)字ID，并注冊登記在案。同時，在毫秒級的時間內(nèi)將IT資產(chǎn)上鏈的唯一哈希值記入下一區(qū)塊根植，并產(chǎn)生該資產(chǎn)的唯一區(qū)塊鏈驗證簽名。此區(qū)塊鏈驗證簽名可以通過獨立算法來推算至相對應(yīng)的區(qū)塊根值，達到隨時驗證目的。此后，每一次受保護資產(chǎn)接入SD-WAN網(wǎng)絡(luò)時，都會同時接受三個唯一安全認證：區(qū)塊鏈身份數(shù)字ID，區(qū)塊鏈驗證簽名，時間軸函數(shù)比對，系統(tǒng)不需要通過去讀取與分析日志來確保IT資產(chǎn)安全。在IT資產(chǎn)內(nèi)，一旦受保護數(shù)據(jù)產(chǎn)生變化，區(qū)塊鏈及其運算系統(tǒng)會及時發(fā)現(xiàn)并指出具體變化所在，節(jié)省很多時間與資源。而如果有內(nèi)部人利用授權(quán)IT資產(chǎn)，接入網(wǎng)絡(luò)，做了一些非授權(quán)動作，該私有區(qū)塊鏈就會留下記錄，同時做兩個動作：告警，并調(diào)度IT資產(chǎn)自動修復(fù)功能（如果提前設(shè)置好）。

      圖6，區(qū)塊鏈SASE架構(gòu)

      簽名相當(dāng)于藏寶圖，但是只給出了向左或向右的指示，如果進入迷宮的“人”，也就是資產(chǎn)哈希值不對，是不能到達寶藏地的

      受保護數(shù)據(jù)通過SD-WAN傳輸時，SD-WAN會識別出該數(shù)據(jù)特征，然后根據(jù)安全策略，調(diào)度事先制定的私有虛擬隧道（VxLan），將受保護數(shù)據(jù)傳輸?shù)绞跈?quán)用戶端，非授權(quán)用戶無法知曉SD-WAN的傳輸路徑，也就無法通過網(wǎng)絡(luò)接觸到該業(yè)務(wù)數(shù)據(jù)。通過接入端IT資產(chǎn)身份保護與安全傳輸路徑的雙重保護，大大提高受保護數(shù)據(jù)的安全等級，非授權(quán)用戶非常難以接觸受保護IT資產(chǎn)。        

      圖7，SD-WAN + 區(qū)塊鏈SASE部署拓撲

      簡而言之，區(qū)塊鏈SASE有以下獨特優(yōu)勢：

      1． 不可篡改，但可追溯

      2． 完全適合零信任環(huán)境

      3． IT資產(chǎn)的三重唯一認證：

      · 唯一上鏈身份ID

      · 唯一哈希值產(chǎn)生唯一區(qū)塊鏈驗證簽名，確保IT資產(chǎn)與哈希根值記錄唯一對應(yīng)

      · 根哈希植與時間軸形成函數(shù)比對

      4． 分布式部署

      5． 可持續(xù)且實時驗證比對，無需讀取日志

      6． 業(yè)務(wù)數(shù)據(jù)流通過正常的VxLan直接傳輸?shù)綄Χ耍淮鎯υ趨^(qū)塊中，也不會被分流到某個服務(wù)器被解密安全掃描后再加密傳出

      7． 可通過傳統(tǒng)IT手段擴展，并能保證毫秒級運行速度，不影響業(yè)務(wù)數(shù)據(jù)傳輸

      8． 與防火墻、態(tài)勢感知等其他安全技術(shù)原理完全不同，但可以配套使用，大幅提升企業(yè)的安全性。

       高效能的網(wǎng)絡(luò)性能與安全等級，在數(shù)字化場景中密不可分。凌銳藍信，深刻理解數(shù)字化業(yè)務(wù)，我們的 SD-WAN產(chǎn)品 ”睿智通iCONNECT” 正在升級至SASE架構(gòu)，本年度將提供高價值的網(wǎng)絡(luò)與安全綜合服務(wù)。

本文為企業(yè)推廣，本網(wǎng)站不做任何建議，僅提供參考，作為信息展示！

推薦閱讀：a2100