關于區塊鏈的話題最近又火起來了，不了解區塊鏈基本原理的朋友可以參考我在2018年元旦的文章（小顧白話區塊鏈https://mp.weixin.qq.com/s/734T6iAS_hPPvAOslIYiKA）。通過各種火爆網幣，人們認識到區塊鏈不可篡改可溯源的優秀特性，但也固化了人們對區塊鏈的認識：公鏈架構是唯一架構，多用于金融、信用、網幣相關領域。實際上，區塊鏈技術不僅僅可以被用在金融領域、智能合約等方面，還可以在企業網絡安全方面發揮巨大作用，不過其原理與架構，與人們所了解的公鏈有所不同。

      新一代SASE（Secure Access Service Edge 安全接入邊緣）網絡性能與安全融合架構，以身份認證為核心，集成SD-WAN與安全功能的廣域網接入方案，無縫適配云環境（包括容器），以軟件虛擬化形態提供微服務，適應絕大多數物理或虛擬接入端。近些年，黑客攻擊重點已經從網站、數據中心轉移到工業平臺，如電力、水利、能源、制造等等，早期的伊朗核能工廠、近期以色列水利系統、日本本田汽車制造公司。這些案例，都是典型的APT強針對性定向攻擊。而黑客也無一例外，利用各種辦法或破解、或欺騙接入端的安全認證，進入系統后篡改操作指令，導致整個系統紊亂，出現事故。因此，身份認證安全，非常重要，是所有企業或組織單位都應該關注的。數字化場景，無論是工業互聯網，又或物聯網，都是融合型平臺。接入平臺的子集包括其他工業或物聯平臺、軟件、工業設備、人為控制終端、非人控制終端等等，所有這些軟硬件都可以稱之為IT資產。數字經濟的身份認證，其含義不再簡單是人員的身份，而是所有IT資產的身份。隨著社會數字化與工業互聯網的不斷發展，IT資產身份認證，必然會受到前所未有的重視。 

      IT資產的身份認證，至少需要確認三件事：登錄時間、登錄身份、身份本身信息的完整性（未被篡改過）。凌銳藍信，利用無鑰簽名區塊鏈技術，符合Gartner 對于SASE的定義，根據區塊鏈不可篡改但可追源的特性，起到保護IT資產安全的作用。該技術形成的產品方案，我們稱之為區塊鏈SASE，使用密碼學常用的默克爾樹與哈希值算法，與時間軸形成比對函數，來確保每一個IT資產的唯一合法性。這與我們熟知的安全技術不同（如防火墻、態勢感知、token認證等），但可以配套使用。

      安全認證過程要保證快速實時性，且持續性。而區塊鏈被認為是低效率的分布式數據存儲，持續認證過程還比較容易理解，但相互認證的過程比較久，如何確保快速實時認證？原來，為了確保持續且實時性認證，與網幣型公鏈不同，區塊鏈SASE為用戶分布式部署私有區塊鏈，所有區塊不存儲任何業務數據。重要的事情說三遍：區塊不存儲任何業務數據，不存儲任何業務數據，不存儲任何業務數據。只存儲授權IT資產的唯一數字ID與唯一哈希值對應的區塊鏈簽名，近乎于空區塊。如此，訪問每個區塊的速度就會非常快。下圖舉例說明，不同IT資產對應的唯一哈希值。

      圖1，2M word文件

      圖2，336字節的Log日志         

      圖3，虛機鏡像  

      此外，為了保證各區塊相互認證的高效性，此區塊鏈架構，不同于普通架構。普通架構是所有區塊相互認證，而我們所介紹的區塊鏈SASE架構，是聯邦區塊鏈分布式認證。請見下圖：

圖4，普通公鏈的架構（摘自網絡），所有區塊相互認證

      圖5，聯邦鏈的架構

      企業應用場景

      作為特種軸承制造的龍頭企業F，在使用SD-WAN搭建企業內網的同時，要求確保企業內部研發文檔、圖紙、視頻等敏感資料的安全性。企業并進一步要求：首先只有公司內外的授權用戶才可以接觸這些資料，所有訪問都必須記錄在案，某些低級別授權用戶只可閱覽，不可修改；非授權用戶，零機會接觸敏感資料。

      使用區塊鏈SASE架構，做好安全部署，為受保護的數字資產，包括軟件、數據、存儲、服務器等，以及所有授權接觸這些資料的接入端（電腦、手機、Pad、虛機等），做好數字資產認證安全。受保護的IT資產接入SD-WAN網絡時，同時被授權接入私有區塊鏈，俗稱上鏈。私有部署的區塊鏈通過算法為IT資產提供唯一區塊鏈身份數字ID，并注冊登記在案。同時，在毫秒級的時間內將IT資產上鏈的唯一哈希值記入下一區塊根植，并產生該資產的唯一區塊鏈驗證簽名。此區塊鏈驗證簽名可以通過獨立算法來推算至相對應的區塊根值，達到隨時驗證目的。此后，每一次受保護資產接入SD-WAN網絡時，都會同時接受三個唯一安全認證：區塊鏈身份數字ID，區塊鏈驗證簽名，時間軸函數比對，系統不需要通過去讀取與分析日志來確保IT資產安全。在IT資產內，一旦受保護數據產生變化，區塊鏈及其運算系統會及時發現并指出具體變化所在，節省很多時間與資源。而如果有內部人利用授權IT資產，接入網絡，做了一些非授權動作，該私有區塊鏈就會留下記錄，同時做兩個動作：告警，并調度IT資產自動修復功能（如果提前設置好）。

      圖6，區塊鏈SASE架構

      簽名相當于藏寶圖，但是只給出了向左或向右的指示，如果進入迷宮的“人”，也就是資產哈希值不對，是不能到達寶藏地的

      受保護數據通過SD-WAN傳輸時，SD-WAN會識別出該數據特征，然后根據安全策略，調度事先制定的私有虛擬隧道（VxLan），將受保護數據傳輸到授權用戶端，非授權用戶無法知曉SD-WAN的傳輸路徑，也就無法通過網絡接觸到該業務數據。通過接入端IT資產身份保護與安全傳輸路徑的雙重保護，大大提高受保護數據的安全等級，非授權用戶非常難以接觸受保護IT資產。        

      圖7，SD-WAN + 區塊鏈SASE部署拓撲

      簡而言之，區塊鏈SASE有以下獨特優勢：

      1． 不可篡改，但可追溯

      2． 完全適合零信任環境

      3． IT資產的三重唯一認證：

      · 唯一上鏈身份ID

      · 唯一哈希值產生唯一區塊鏈驗證簽名，確保IT資產與哈希根值記錄唯一對應

      · 根哈希植與時間軸形成函數比對

      4． 分布式部署

      5． 可持續且實時驗證比對，無需讀取日志

      6． 業務數據流通過正常的VxLan直接傳輸到對端，不存儲在區塊中，也不會被分流到某個服務器被解密安全掃描后再加密傳出

      7． 可通過傳統IT手段擴展，并能保證毫秒級運行速度，不影響業務數據傳輸

      8． 與防火墻、態勢感知等其他安全技術原理完全不同，但可以配套使用，大幅提升企業的安全性。

       高效能的網絡性能與安全等級，在數字化場景中密不可分。凌銳藍信，深刻理解數字化業務，我們的 SD-WAN產品 ”睿智通iCONNECT” 正在升級至SASE架構，本年度將提供高價值的網絡與安全綜合服務。

本文為企業推廣，本網站不做任何建議，僅提供參考，作為信息展示！

推薦閱讀：a2100