• 目录
• 1、互联网边界-最重要的边界
• 2、互联网边界上开放的业务类型
  • 2.1、典型业务举例
  • 2.2、不同维度的业务系统分类
  • 2.3、从安全攻防视角选取分类维度
• 3、应用发布到互联网的多种姿势
  • 3.1、前台业务发布到互联网
  • 3.2、(中)后台业务发布到互联网
  • 3.2.4、4A/SSO系统发布到互联网
  • 3.3、非UI类型的(中)后台业务发布到互联网
  • 3.4、应用发布到互联网的模式总结

0、前言

以前也时不时会在freebuf上看文章，但是一直没发过。忽然发现freebuf可以自由投稿。先把以前在同名公众号（非典型产品经理笔记）上写的原创内容，挑一部分发一下。

后续新内容会考虑同步在freebuf上发送。

1、互联网边界-最重要的边界

互联网边界，对于绝大多数客户而言，是最危险、最重要的一道边界防护，没有之一。 根据浅析ATT&ck和Cyber Kill Chain)我们可知，攻击者非常关键的一步就是获取到Initial Access初始入口\突破点。

对互联网暴露的业务/应用，是攻击者首选攻击途径。

那么通常互联网边界上会开放哪些业务呢？

2、互联网边界上开放的业务类型

2.1、典型业务举例

不同的客户，通常有不同的对互联网开放的业务。我们可以尝试汇总一些和互联网有关的典型业务，再考虑尝试从中提取一些共性：

1)、员工邮箱：部分客户的办公邮箱可以通过互联网直接登录

2)、门户网站：不少客户有门户网站，允许互联网直接访问

3)、针对自身消费者/客户的业务系统、APP：比如说电商公司的商城网站、购物APP

4)、办公门户APP：部分客户在信息化、数字化过程中，将移动端视为重要组成部分，会将部分办公业务APP化

5)、测试类业务系统：一些互联网、金融客户，业务系统持续开发，且通常有测试环境，会需要开放到互联网进行测试联调工作

6)、运维端口：少数客户，或因运维方便、或因管理不慎，将运维端口（如3389、22）直接开放到互联网

7)、开放API接口服务：部分客户会有一些数据共享、服务共享类业务，比如说航空公司的机票对旅行公司开放接口、花呗的征信查询接口对合作方开放、供应链信息业务对关供应商开放以实现数字化等

８)、IPSEC/SD-WAN类边界组网网关：对于存在多数据中心、多办公职场的客户，除专线外，也会通过IPSEC/SD-WAN等方式进行组网，此时，这些组网网关通常也会暴露至互联网

９)、VPN/SDP类边界接入网关：不少客户重视互联网业务发布的安全性，会考虑通过VPN/SDP类边界接入网关进行业务发布，此时，接入网关自身也是一种特殊的业务

2.2、不同维度的业务系统分类

业务系统分类在不同的场景下，有不同的分类方式，如下是我们可能会遇到的一些分类方式

（注：下述业务、系统、应用均指代业务系统，特指同一含义，请按照各自习惯自行替换）：

按行业特征分类：to B业务、to C业务、to G业务

按面向对象分类(1)：前台业务、后台业务

按面向对象分类(2)：消费者业务、员工业务、合作伙伴业务

按使用主体特征分类：人机交互（UI）业务、非UI业务(

参考等级保护进行分类：设备类(主机设备/网络设备/安全设备/数据库/控制设备等)、应用系统/业务应用、终端和移动终端

按开放性划分：开放应用、内部应用

按内部职能分类：生产业务/系统、办公系统、测试系统、开发系统、运维系统等

按技术实现分类：WEB业务、CS业务

按终端分类：PC业务、APP业务

按敏感度分类：高敏业务、中敏业务、低敏业务

...

2.3、从安全攻防视角选取分类维度

在安全攻防中，暴露面是至关重要的影响因素。所以我们在选取合适的分类维度时，也需要重点考虑其**影响暴露面 **的相关因素。业务的使用者，往往影响业务的开放程度（即暴露面），本文采用了《云原生应用架构：微服务开发最佳实践》中的前台、后台，作为主要分类以辅助理解安全攻防。

前台业务：特指企业或机构面向其终端用户(客户)所使用的系统，是企业与客户进行交互的平台，例如用户直接访问的网站、App等都可以算作前台。

1)、使用者：终端用户。根据业务不同，可能是C端消费者，也可能是B端用户，也可能是G端用户。

2)、包含范围：电子商城、购物APP、门户网站等供终端用户可访问的业务系统。

后台业务：管理企业核心信息资源（数据）的后端系统、计算平台、基础设施。后台不会和终端用户直接交互。

1)、使用者：通常是内部员工、合作伙伴（渠道、供应商等）。

2)、包含范围：设备类（网络设备、安全设备、主机设备、数据库、虚拟化设备平台等）、员工/合作伙伴使用的办公类业务系统 均在此列

============

注：谈起前台、后台，有些读者会关联到中台。中台业务的特征，类似于后台业务，通常是非终端用户访问的（比如说提供给运营人员使用），在此并不对中台做过多阐述。 所以本文所述“后台业务”，也可理解为“中后台业务”，含义一致。

3、应用发布到互联网的多种姿势

3.1、前台业务发布到互联网

前台业务由于其面向对象的开放性，一般会直接暴露到互联网，再通过FW、IPS、WAF、RASP、HIDS等安全防护手段进行保护。

3.2、(中)后台业务发布到互联网

(中)后台业务中，最主要部分是 人机交互业务，即给人使用的业务。

3.2章节中的下述方式，均是指 给人使用的人机交互业务。此处的人，可以是自身员工、合作伙伴员工等。

值得注意的是，此处UI包含了CLI（命令行界面）和GUI（图形界面），比如说SSH协议连接后的terminal终端，也是提供给人使用的，也被归纳为人机交互业务的一部分。

3.2.1、直接暴露到互联网

比如说邮箱、ERP等办公类系统，在不考虑安全的情况下，均可以直接暴露至互联网。

3.2.2、通过IP ACL限制后发布到互联网

因为互联网边界都有firewall，所以通过IP ACL方式发布，可以无需依赖其他外部设备。但是IP的方式，因为互联网动态IP会经常变，添加不及时，会导致不可用，删除不及时，则会导致风险；同时如果IP越多，维护起来也越困难。

所以此方案使用起来很不便利，通常可能会在一些很小的场景下使用（如部分公司几个IT人员需要远程运维），或者IP相对固定的场景下使用，比如说合作机构的互联网出口固定不变的情况下可以使用。

场景1：部分客户通过互联网直接发布运维端口

场景2：部分客户通过IP ACL将业务开放给合作伙伴、合作机构的访问者访问

3.2.3、VPN/SDP类边界接入网关

场景1：堡垒机也属于一种边界接入网关，有时会被部分客户用作发布资源到互联网边界。当然更多客户会结合VPN/SDP此类互联网边界接入网关整合，以增强其安全性

场景2：VPN/SDP同样属于边界接入网关，且主要针对互联网边界，通常也用于将业务发布到互联网。

3.2.4、4A/SSO系统发布到互联网

还有的客户OA/CRM等系统，是直接映射至互联网。

但是当用户访问 OA或CRM等业务系统时，如果未认证，就会跳转到SSO/4A系统去认证，如果认证不通过，则不能访问。

在此模式下，其实所有业务系统是直接暴露至互联网的。但是认证能力，相当于是公共的，多个业务系统都复用SSO系统的认证机制。

3.3、非UI类型的(中)后台业务发布到互联网

剩下一小部分是给机器、程序调用的非UI业务，比如说开放API服务等。

3.3.1、直接暴露互联网

给机器访问的业务，在不考虑安全的情况下，也可以直接暴露互联网。

3.3.2、IPSEC/SD-WAN类边界组网网关

组网也属于一种特殊的业务。

两个数据中心组网，通常需要有一个数据中心暴露其组网端口，供另外一方去建立连接，组建网络。

3.3.3、通过开放API认证网关发布API服务

API网关有两种使用场景，除了科技型企业内部所需要使用的微服务网关（场景上有点类似于上一个技术时代流行的ESB总线），还有一种是针对开放API提供的API认证网关。

所谓开放API，就是将企业/机构自身独有的服务型API提供给合作伙伴进行调用，比如说航空公司，提供票务相关开放接口；证券公司，提供证券服务相关接口给合作机构。

典型开源API网关比如说Kong、apisix，其最原始的出发点是为了提供微服务网关场景使用。但是两者的基础能力是一致的，只是发展方向会有所差异。此处不再赘述。

3.3.4、基于IP ACL发布到互联网

非UI业务，当访问者IP比较固定时，也可以通过IP ACL进行发布。

比如说开放API服务，如果合作伙伴机构是固定的，也可以约束仅合作伙伴调用。

3.3.5、通过负载均衡设备/安全认证网关使用双向SSL证书认证发布业务

还有一种常用非UI业务的方式，是通过双向SSL证书。比如说给合作伙伴机构，颁发一张证书，合作伙伴调用时，通过该证书进行双向SSL校验身份，确保安全。

mTLS(https://en.wiki敏pedia感.org/wiki/Mutual\_authentication^[1])，双向证书认证，是一种典型的双向认证实现方式，典型的负载均衡设备或专门的安全认证网关都具备相应能力。

3.4、应用发布到互联网的模式总结

1、前台业务由于其访问IP的开放性、访问主体身份的不确定性，通常是通过IPS、WAF等威胁检测类设备进行安全发布。

2、中后台业务需要区分 人机交互业务和非UI业务。

其中，人机交互业务是提供给身份更为确认的自身员工、合作伙伴员工进行访问，网络环境、人员位置、终端类型、人员角色岗位、业务系统多种多样，风险高，从安全角度，较优方式是采用专门针对于互联网边界的VPN/SDP类边界接入网关对访问过程进行安全保护。

非UI业务主要包含网络组网、开放API，较优方式是通过边界组网风关、API认证网关等针对性手段进行安全保护。

image-20220614092917710

参考资料

[1]

https://en.wiki敏pedia感.org/wiki/Mutual_authentication: https://en.wiki敏pedia感.org/wiki/Mutual_authentication

相关：

#13 HVV-Learning-004-区域边界网络下的攻击链路与攻击事件(BLA&UKC)

HVV-Learning-003-浅析ATT&CK和Cyber Kill Chain

#7 HVV-Learning-002-攻防演练的典型网络以及攻防现状(2021)

HVV-Learning-001-初步了解网络安全攻防演练