给你介绍位新朋友——虎盾零信任SDK
2022-04-261150次
从超级APP的崛起谈起
超级APP指的是平台化的基础APP,除了提供APP自有的功能外,还可以利用其自身引擎来承载各类轻应用的运行,包括第三方的轻应用。通常来讲,超级APP拥有庞大的用户数量及灵活的轻应用承载和扩展能力,是手机上的“装机必备”基础应用。
超级APP最早兴起于微信、钉钉等IM工具及支付宝等支付工具。由于此类工具在社交、移动办公、手机支付等业务领域的相对垄断优势,逐渐成为海量用户流量的统一入口。越来越多的第三方商家及生态伙伴由此看到了商机,纷纷基于此类工具开发H5小程序等轻应用,如微商城、网页版游戏、出行服务等,并借助于用户流量的统一入口快捷引流。
图1 超级APP中集成各类H5微应用
近年来,各级政府深化中央“放管服”改革和“互联网+政务服务”工作部署,持续增强网上政务服务能力。越来越多的政务服务事项实现了“掌上办”、“指尖办”,这让超级APP的外延有了进一步扩展。很多地市开发的政务服务APP,整合了公安、交通、健康、商务、社保等与百姓生活相关的几乎所有政务服务,初步实现了“城市超级APP”。
繁荣背后的暗流涌动
挂载在超级APP上的H5小程序等应用,本质上也是开放给互联网用户的应用程序。随着超级APP的广泛应用,很多企业将前端应用搬到了小程序里面,导致之前从内网访问的应用,变成了可从移动端小程序访问。这在增加了用户的便捷性的同时,也给企业安全带来了安全隐患:企业内网应用直接暴露在互联网上,增大了攻击面,攻击者完全可以利用这些攻击面入侵承载内网应用的后端服务器,进而横向摆渡到整个企业内网。
图2 应用攻击面收敛前访问逻辑
目前市面上的大部分超级APP并没有针对H5小程序的服务暴露问题采取安全防范措施,而使用方出于可用性、便利性考虑,又不得不将这些服务直接开放在互联网上,这在某种程度上是“与狼共舞”。已有一些超级APP厂商提供了VPN SDK方案,即将VPN客户端功能集成在现有的APP中,外部用户调用小程序时会调用VPN SDK 创建加密隧道;虽然也能起到收敛H5微应用暴露面的目的,但反而将VPN自身暴露在互联网上,因此该类方案存在用户体验、性能以及安全性等方面问题。
零信任下解决之道
H5小程序全部收敛回内网
零信任网络以资源保护为核心诉求来规划防护体系,通过在资源访问路径上建立访问控制点,收敛资源的攻击暴露面,来降低安全风险,提升整体安全水位。具体落地到H5小程序服务暴露在互联网上这一具体业务场景,虎符网络针对企业自建的移动端APP提供虎盾零信任SDK方案,用于构建零信任网络,实现互联网暴露面收敛、应用准入、灵活访问控制等安全目标。
图3 应用攻击面收敛后访问逻辑
虎盾零信任SDK是个轻量化方案,无需安装单独的客户端,无需改动已有网络架构。部署后,后端服务器全部重新塞回到企业内网,互联网上不再暴露任何服务端口,所有对H5小程序的访问都要经过零信任网关的统一认证和授权。对于请求访问的移动端设备,只有已经集成了虎盾零信任SDK的超级APP才可以发起SDP敲门请求,只有通过授权的移动设备才可以通过零信任网关代理访问H5小程序,且整个访问过程都会被记录和审计。
疫情时期,移动办公已经成为一种不可阻挡的趋势。其最大优势在于方便、快捷,人员和设备的接入不受时空限制,因此解决移动办公所导致的安全问题,不应以牺牲用户体验为代价,需要在安全性和用户体验之间找到最大程度的平衡点。虎盾零信任SDK方案,是针对企业自建移动APP的整体零信任解决方案,通过在APP中集成SDK实现移动端接入的人员和设备可信,通过零信任网关实现H5小程序的服务隐藏和全内网攻击面收敛。
在不久的将来,身披虎盾零信任SDK护甲的超级APP,才可以在移动互联网中更安全地畅行。
