《軟件定義邊界架構(gòu)指南》

??版權(quán)所有2019云安全聯(lián)盟1SDP工作組|軟件定義邊界(SDP)架構(gòu)指南SDP工作組|軟件定義邊界(SDP工作組|軟件定義邊界(SDP)架構(gòu)指南主要作者JasonGarbisJuanitaKoilpillai貢獻者JunaidIslamNyaMurrayAaronPalermo云安全聯(lián)盟(CSA)對所有為制定本指南做出貢獻和提供支持的人員表示感謝。PreetaRamanMichaelRoza云安全聯(lián)盟員工ShamunMahmud?版權(quán)所有2019云安全聯(lián)盟2?版權(quán)所有2019云安全聯(lián)盟3SDP工作組|軟件定義邊界(SDP)架構(gòu)指南中文翻譯版說明由中國云安全聯(lián)盟(C-CSA)秘書處組織CSA大中華區(qū)SDP工作組專家對《SDP架構(gòu)指南》(SDP_Architecture_Guide)進行翻譯。參與本文檔翻譯的專家(排名不分先后)：組長：陳本峰(云深互聯(lián))組員：程長高(安全狗)、靳明星(易安聯(lián))、李鈉(奇安信)、吳濤(華云數(shù)據(jù))、余強(中宇萬通)、袁初成(締安科技)、劉德林、劉洪森、孫剛、王貴宗、楊洋、姚凱關(guān)于CSA大中華區(qū)SDP工作組：隨著云計算和移動互聯(lián)網(wǎng)的發(fā)展，傳統(tǒng)的基于邊界防御的企業(yè)安全模型已經(jīng)無法適應(yīng)需求，取而代之是SoftwareDefinedPerimeter(軟件定義邊界，即SDP)安全模型。目前，SDP已經(jīng)在國外逐漸被普遍采用，為了推動SDP在中國企業(yè)的應(yīng)用，并根據(jù)本土市場需求制定出更適應(yīng)中國市場的SDP實踐指南，在中國云安全聯(lián)盟的支持下，CSA大中華區(qū)成立SDP工作組。工作組于2019年3月成立，首批參與單位有：阿里云、騰訊云、京東云、奇安信、深信服、綠盟科技、UCloud、順豐科技、天融信、云深互聯(lián)、中宇萬通、華云數(shù)據(jù)、三未信安、上元信安、安全狗、易安聯(lián)、聯(lián)軟科技、上海云盾、締盟云、締安科技等三十多家單位。/ruanjiandingyibianjieSDP.html查看，聯(lián)盟聯(lián)系郵箱：info@。SDP工作組|軟件定義邊界(SDP)架構(gòu)指南軟件定義邊界SoftwareDefinedPerimeter(SDP)是一種具有創(chuàng)新性的網(wǎng)絡(luò)安全解決方案，這種解決方案又稱零信任網(wǎng)絡(luò)ZeroTrustNetwork(ZTN)。SDP或ZTN是基于云安全聯(lián)盟CSA提出的理念，用安全隱身衣取代安全防彈衣保護目標，使攻擊者在網(wǎng)絡(luò)空間中看不到攻擊目標而無法攻擊，從而使企業(yè)或服務(wù)商的資源受到保護。SDP的靈感來源于中央情報局情報社區(qū)和美國國防部高度安全網(wǎng)絡(luò)設(shè)計，因此CSA聘請了CIA原CTO為聯(lián)盟SDP研究工作組組長。ZTN靈感的最早發(fā)明者與實踐者是美國微軟公司，2007年由比爾蓋茨在RSA大會發(fā)布的微軟AnywhereAccess安全戰(zhàn)略就是ZTN的實現(xiàn)，微軟通過這項技術(shù)使公司員工甚至Windows使用者可以在互聯(lián)網(wǎng)直接訪問公司內(nèi)網(wǎng)，擯棄了傳統(tǒng)的網(wǎng)絡(luò)邊界、VPN、Firewall。本白皮書是CSA貢獻給業(yè)界的又一篇重磅白皮書，它是SDP規(guī)范之后的設(shè)計指南與參考架構(gòu)，適用于企業(yè)網(wǎng)絡(luò)環(huán)境、IaaS云環(huán)境、IoT車聯(lián)網(wǎng)環(huán)境、BYOD移動互聯(lián)網(wǎng)環(huán)境等，不僅對SDP的優(yōu)勢與價值做了闡述，還給出了具體技術(shù)設(shè)計指導(dǎo)。我代表CSA對大中華區(qū)參與此項翻譯工作的專家們表示由衷的感謝，特別是工作組組長陳本峰投入的大量精力，及CSA志愿工作者們的支持。iCSA云安全聯(lián)盟大中華區(qū)主席中國云安全與新興技術(shù)安全創(chuàng)新聯(lián)盟執(zhí)行理事長?版權(quán)所有2019云安全聯(lián)盟4?版權(quán)所有2019云安全聯(lián)盟5SDP工作組|軟件定義邊界(SDP)架構(gòu)指南介紹 7 受眾目標 8軟件定義邊界(SDP)簡介 9 單包授權(quán) 22SPA的好處 22SPA的局限 23 補充架構(gòu) 24 企業(yè)信息安全的元素 27安全信息和事件管理(SIEM) 28傳統(tǒng)防火墻 29入侵檢測和入侵防御系統(tǒng)(IDS/IPS) 31虛擬專用網(wǎng)(VPNs) 31下一代防火墻(NGFW) 32身份及訪問管理(IAM) 32SDP工作組|軟件定義邊界(SDP)架構(gòu)指南(NAC)解決方案 33終端管理(EMM/MDM/UEM) 33 負載均衡 34云訪問安全代理(CASB) 34基礎(chǔ)設(shè)施即服務(wù)(IaaS) 34軟件即服務(wù)(SaaS) 34平臺即服務(wù)(PaaS) 34治理、風(fēng)險管理及合規(guī)(GRC) 35公鑰基礎(chǔ)設(shè)施(PKI) 35軟件定義網(wǎng)絡(luò)(SDN) 35無服務(wù)器計算模型 35架構(gòu)關(guān)注點 35結(jié)論 36 ?版權(quán)所有2019云安全聯(lián)盟6SDP工作組|軟件定義邊界(SDP)架構(gòu)指南SDP方案結(jié)合了技術(shù)和架構(gòu)組件，可以比傳統(tǒng)的安全工具更高效、更有效地保護網(wǎng)絡(luò)應(yīng)用程序和基礎(chǔ)架構(gòu)。當今的網(wǎng)絡(luò)安全體系結(jié)構(gòu)、工具和平臺無法應(yīng)對當前安全威脅帶來的挑戰(zhàn)。無論您是在閱讀主流媒體的頭條新聞，還是作為網(wǎng)絡(luò)防御者進行日常工作，或者您是安全供應(yīng)商，這些潛在安全威脅都可能會影響到您。各種來源的持續(xù)攻擊會影響商業(yè)企業(yè)、政府組織、關(guān)鍵基礎(chǔ)設(shè)施等?，F(xiàn)在是時候讓我們信息安全行業(yè)擁抱創(chuàng)新的網(wǎng)絡(luò)安全工具，即軟件定義邊界(SDP)技術(shù)，將其應(yīng)用于所有的網(wǎng)絡(luò)層。SDP方案結(jié)合了技術(shù)和架構(gòu)組件，已經(jīng)證明可以比傳統(tǒng)的安全工具更好地保護網(wǎng)絡(luò)應(yīng)用程序和基礎(chǔ)架構(gòu)。由云安全聯(lián)盟CSA于2014年4月發(fā)布的“SDP規(guī)范1.0”概述了SDP技術(shù)的基礎(chǔ)知識：“SDP背后的原理并非全新。美國國防部(DoD)和美國情報體系(IC)內(nèi)的多個組織在網(wǎng)絡(luò)訪問之前已經(jīng)實施了基于認證和授權(quán)的類似網(wǎng)絡(luò)架構(gòu)。通常用于機密或高端網(wǎng)絡(luò)(由國防部定義)，每臺服務(wù)器隱藏在遠程訪問網(wǎng)關(guān)設(shè)備后面，用戶必須先通過該設(shè)備身份驗證，才能查看授權(quán)服務(wù)并進行訪問。SDP利用分類網(wǎng)絡(luò)中使用的邏輯模型，并將該模型納入標準工作流程中。在獲得對受保護服務(wù)器的網(wǎng)絡(luò)訪問之前，SDP要求端點進行身份驗證并首先獲得授權(quán)。然后在請求系統(tǒng)和應(yīng)用程序基礎(chǔ)架構(gòu)之間實時創(chuàng)建加密連接。14”14/initiatives/sdp/SDP_Specification_1.0.pdf?版權(quán)所有2019云安全聯(lián)盟7SDP工作組|軟件定義邊界(SDP)架構(gòu)指南作為一個安全從業(yè)者和解決方案提供商組成的組織，我們對信息安全和網(wǎng)絡(luò)安全充滿熱情。我們相信SDP是一個重要的創(chuàng)新解決方案，可以應(yīng)對我們所有人面臨的安全威脅。受眾目標本文中的信息將使考慮或正在組織機構(gòu)中實施SDP項目的安全性、體系結(jié)構(gòu)和技術(shù)網(wǎng)絡(luò)團隊受益。主受眾目標本文中的信息將使考慮或正在組織機構(gòu)中實施SDP項目的安全性、體系結(jié)構(gòu)和技術(shù)網(wǎng)絡(luò)團隊受益。主要受眾包括從事信息安全、企業(yè)架構(gòu)和安全合規(guī)角色的專業(yè)人員。這些人員主要負責(zé)SDP解決方案的評估、設(shè)計、部署和運營。此外，作為解決方案提供商、服務(wù)提供商和技術(shù)供應(yīng)商的人員也將從本文提供的信息中獲益。商、系統(tǒng)、安全架構(gòu)師和企業(yè)組成的工作組，已經(jīng)構(gòu)建并部署了許多符合這些準則的系統(tǒng)。同時，我們了解了很多關(guān)于SDP實現(xiàn)的知識-特別是在缺乏原始規(guī)范的領(lǐng)域。通過本指南，我們將幫助企業(yè)和從業(yè)人員獲取有關(guān)SDP的信息；展示其可提供的經(jīng)濟和技術(shù)效益；并幫助用戶在其組織中成功實施SDP。如果實現(xiàn)以下目標，我們將認為此文檔是成功的:?提高SDP的市場認知度、可信度和企業(yè)采用率?提高人們對SDP在不同環(huán)境中的應(yīng)用的理解?提升企業(yè)使用SDP解決問題的動機?使用本文檔向內(nèi)部業(yè)務(wù)相關(guān)者介紹SDP?企業(yè)根據(jù)本白皮書中的體系結(jié)構(gòu)建議成功部署SDP解決方案。?版權(quán)所有2019云安全聯(lián)盟8SDP工作組|軟件定義邊界(SDP)架構(gòu)指南15http://www.waverleylabs.15/open-source-sdp/demo/SDP安全優(yōu)勢SDP旨在利用基于標準且已驗證的組件，如數(shù)據(jù)加密;SDP安全優(yōu)勢遠程認證(主機對遠程訪問進行身份驗證)、傳輸層安全(TLS，一種加密驗證客戶端信息的方法)、安全斷言標記語言(SAML)，它依賴于加密和數(shù)字簽名來保護特定的訪問及通過X.509證書公鑰驗證訪問。將這些技術(shù)和其它基于標準的技術(shù)結(jié)合起來，確保SDP與企業(yè)現(xiàn)有安全系統(tǒng)可以集成。?SDP通過最小化攻擊面來降低安全風(fēng)險。?SDP通過分離訪問控制和數(shù)據(jù)信道來保護關(guān)鍵資產(chǎn)和基礎(chǔ)架構(gòu)，使其中的每一個都看起來是“黑”?SDP通過分離訪問控制和數(shù)據(jù)信道來保護關(guān)鍵資產(chǎn)和基礎(chǔ)架構(gòu)，使其中的每一個都看起來是“黑”(不可見)的，從而阻止?jié)撛诘幕诰W(wǎng)絡(luò)的攻擊。?SDP提供了一個集成的安全體系結(jié)構(gòu)，這個體系結(jié)構(gòu)是現(xiàn)有安全產(chǎn)品(如NAC或反惡意軟件)難以實現(xiàn)的。SDP集成了以下獨立的架構(gòu)元素:?用戶感知的應(yīng)用程序?客戶端感知的設(shè)備?網(wǎng)絡(luò)感知的防火墻/網(wǎng)關(guān)?SDP提供了基于連接的安全架構(gòu)而不是基于IP的替代方案，因為當今IP環(huán)境的爆炸式增長和云環(huán)境中的邊界缺失使得基于IP的安全性變得脆弱。?SDP允許根據(jù)預(yù)先審查誰可以連接(從哪些設(shè)備、哪些服務(wù)、基礎(chǔ)設(shè)施和其他參數(shù))來控制所有連接。(SDP)規(guī)范以來，CSA已經(jīng)看到了SDP無論在知名度還是在企業(yè)的SDP創(chuàng)新應(yīng)用方面都取得了巨大的增長。雖然傳統(tǒng)的網(wǎng)絡(luò)安全方法在所有行業(yè)中似乎都讓IT和安全專業(yè)人員感到身心疲憊，但SDP技術(shù)使用和興趣卻在不斷增加，例如：?五個SDP工作組在其重點領(lǐng)域取得了重大進展，包括用于IaaS的SDP、防DDoS攻擊和汽車安全通信。14?已經(jīng)有多個供應(yīng)商處提供多種商業(yè)SDP產(chǎn)品，并已在多個企業(yè)中被使用。?針對SDP的防DDoS用例實施了開源(參考?已舉辦四個針對SDP的黑客松，并且攻破成功率保持為零。?行業(yè)分析師報告已開始將SDP納入研究和演示。14SDP-for-IaaS:/download/sdp-for-iaas/Anti-DDoS:/open-source-sdp/Software-DefinedPerimeterWorkingGroupInitiatives:/group/software-defined-perimeter/#_initiatives?版權(quán)所有2019云安全聯(lián)盟9SDP工作組軟件定義邊界架構(gòu)指南SDP商業(yè)優(yōu)勢SDP提供了許多業(yè)務(wù)優(yōu)勢，我們在這里概述這些優(yōu)勢以供您快速參考。我們期待與SDP社區(qū)合作，在未來的出版物中對這些益處進行深入的定性和定量檢驗。業(yè)務(wù)領(lǐng)域?qū)嵤㏒DP的優(yōu)勢節(jié)省成本及人力使用SDP替換傳統(tǒng)網(wǎng)絡(luò)安全組件可降低采購和支持成本。使用SDP部署并實施安全策略可降低操作復(fù)雜性，并減少對傳統(tǒng)安全工具的依賴。SDP還可以通過減少或替換MPLS和租用線路利用率來降低成本，因為組織機構(gòu)可以減少或消除對專用主干網(wǎng)的使用。SDP可以為組織機構(gòu)帶來效率和簡便性，最終有助于減少人力需求。提高IT運維的靈活性IT流程可能會拖累業(yè)務(wù)流程。相比之下，SDP的實現(xiàn)可以由IT或IAM事件自動驅(qū)動。這些優(yōu)勢加快了IT的速度，使其更快地響應(yīng)業(yè)務(wù)和安全需求。GRC好處與傳統(tǒng)方法相比，SDP降低了風(fēng)險。SDP可以抑制威脅并減少攻擊面，防止基于網(wǎng)絡(luò)或者應(yīng)用程序漏洞被利用的攻擊。SDP可以提供并響應(yīng)GRC系統(tǒng)(例如與SIEM集成)，以簡化系統(tǒng)和應(yīng)用程序的合規(guī)性活動。合規(guī)范圍增加及成本降低通過集中控制從注冊設(shè)備上的用戶到特定應(yīng)用程序/服務(wù)的連接，SDP可以改進合規(guī)性數(shù)據(jù)收集、報告和審計過程。SDP可為在線業(yè)務(wù)提供額外的連接跟蹤。SDP提供的網(wǎng)絡(luò)微隔離經(jīng)常用于減少合規(guī)范圍，這可能會對合規(guī)報告工作產(chǎn)生重大影響。安全遷移上云通過降低所需安全架構(gòu)的成本和復(fù)雜性，支持公有云、私有云、數(shù)據(jù)中心和混合環(huán)境中的應(yīng)用程序，SDP可以幫助企業(yè)快速、可控和安全地采用云架構(gòu)。與其他選項相比，新應(yīng)用程序可以更快地部署，且有更好的安全性。業(yè)務(wù)的敏捷性和創(chuàng)新SDP使企業(yè)能夠快速、安全地實施其優(yōu)先任務(wù)。例如：?SDP支持將呼叫中心從企業(yè)內(nèi)部機構(gòu)轉(zhuǎn)換為在家辦公的工作人員?SDP支持將非核心業(yè)務(wù)功能外包給專業(yè)的第三方?SDP支持遠程第三方網(wǎng)絡(luò)和位置上用戶自助服務(wù)的設(shè)備?SDP支持將公司資產(chǎn)部署到客戶站點，與客戶建立更強的集成并創(chuàng)造新的收入10SDP工作組軟件定義邊界架構(gòu)指南SDP主要功能SDP的設(shè)計至少包括五層安全性：(1)對設(shè)備進行身份認證和驗證；(2)對用戶進行身份驗證和授權(quán)；(3)確保雙向加密通信；(4)動態(tài)提供連接；(5)控制用戶與服務(wù)之間的連接并且同時將這些連接隱藏。這些和其他組件通常都包含在SDP實現(xiàn)中。信息/基礎(chǔ)設(shè)施隱藏SDP架構(gòu)組件減輕或減少安全威脅額外效益服務(wù)器“變黑”所有外部網(wǎng)絡(luò)攻擊和跨域攻擊SDP組件(控制器、網(wǎng)關(guān))在嘗試訪問的客戶主機通過安全協(xié)議(如單包授權(quán)(SPA))進行身份驗證授權(quán)之前，不會響應(yīng)任何連接請求。減少拒絕服務(wù)(DoS)攻擊帶寬和服務(wù)器DoS攻擊(但請注意，SDP應(yīng)該通過ISP提供的上游反DoS服務(wù)來增強。)面向Internet的服務(wù)通常位于“拒絕所有”SDP網(wǎng)關(guān)(充當網(wǎng)絡(luò)防火墻)后面，因此能夠抵御DoS攻擊。SPA可以保護SDP網(wǎng)關(guān)免受DoS攻擊。檢測錯誤包快速檢測所有外部網(wǎng)絡(luò)和跨域攻擊。從任何其他主機到接受主機(AH)的第一個數(shù)據(jù)包是SPA數(shù)據(jù)包(或類似的安全構(gòu)造)。如果AH收到任何其他數(shù)據(jù)包，則將其視為攻擊。雙向加密的連接SDP架構(gòu)組件減輕或減少安全威脅額外效益驗證用戶和設(shè)備身份來自未授權(quán)用戶和設(shè)備的連接所有主機之間的連接必須使用相互身份驗證來驗證設(shè)備和用戶是否是SDP的授權(quán)成員。不允許偽造證書針對身份被盜的攻擊相互身份驗證方案將證書固定到由SDP管理的已知且受信任的有效根目錄。不允許中間人攻擊中間人攻擊相互握手技術(shù)可以防止在撤銷服務(wù)器證書之利用在線證書狀態(tài)協(xié)議(OCSP)響應(yīng)的中間人攻擊。11SDP工作組軟件定義邊界架構(gòu)指南“需知(NEEDTOKNOW)”訪問模型SDP架構(gòu)組件緩解或降低的安全威脅額外效益取證簡化惡意數(shù)據(jù)包和惡意連接對所有惡意數(shù)據(jù)包進行分析和跟蹤，以便進行取證行動。細粒度訪問控制來自未知設(shè)備的外部用戶的數(shù)據(jù)竊取只允許授權(quán)用戶和設(shè)備與服務(wù)器建立連接。設(shè)備認證來自未授權(quán)設(shè)備的威脅;證書竊取密匙被證實由請求連接的適當合法設(shè)備持有。保護系統(tǒng)免受已被入侵設(shè)備的攻擊來自被入侵設(shè)備的“內(nèi)網(wǎng)漫游”的威脅用戶只能訪問授權(quán)的應(yīng)用程序(而非整個網(wǎng)絡(luò))。動態(tài)訪問控制SDP架構(gòu)組件緩解或降低的安全威脅額外效益動態(tài)的、基于會員認證體系的安全隔離區(qū)基于網(wǎng)絡(luò)的攻擊通過動態(tài)創(chuàng)建和刪除訪問規(guī)則(出站和入站)來啟用對受保護資源的訪問。應(yīng)用層訪問SDP架構(gòu)組件緩解或降低的安全威脅額外效益取消廣域網(wǎng)接入攻擊面最小化;消除了惡意軟件和惡意用戶的端口和漏洞掃描設(shè)備只能訪問策略允許的特定主機和服務(wù)，不能越權(quán)訪問網(wǎng)段和子網(wǎng)。應(yīng)用程序和服務(wù)訪問控制攻擊面最小化;惡意軟件和惡意用戶無法連接到資源SDP控制允許哪些設(shè)備和應(yīng)用程序可訪問特定服務(wù)，例如應(yīng)用程序和系統(tǒng)服務(wù)。1213SDP工作組軟件定義邊界架構(gòu)指南SDP潛在應(yīng)用領(lǐng)域因為SDP是一種安全架構(gòu)，所以它能夠很好提供多種不同級別的安全，無法簡單把它歸類到現(xiàn)有的安全常見類別。下表列出了部分可由SDP實施保護的幾種場景。網(wǎng)絡(luò)場景現(xiàn)有技術(shù)的局限性SDP優(yōu)勢基于身份的網(wǎng)絡(luò)訪問控制傳統(tǒng)的網(wǎng)絡(luò)解決方案僅提供粗粒度的網(wǎng)絡(luò)隔離，并且以IP地址為導(dǎo)向。即使SDN這樣的新平臺，企業(yè)仍然難以及時實現(xiàn)以身份為中心且精確的用戶訪問控制。SDP允許創(chuàng)建與組織相關(guān)的以身份為中心的訪問控制，且訪問控制是在網(wǎng)絡(luò)層實施。例如，SDP支持僅允許財務(wù)用戶只能在公司允許的受控設(shè)備上通過Web訪問財務(wù)管理系統(tǒng)。SDP還允許只有IT用戶才能安全地訪問IT系統(tǒng)(SSH)。網(wǎng)絡(luò)微隔離通過傳統(tǒng)的網(wǎng)絡(luò)安全工具，使用微隔離服務(wù)來提高網(wǎng)絡(luò)安全性，是一種勞動密集型工作。SDP能夠?qū)崿F(xiàn)基于用戶自定義控制的網(wǎng)絡(luò)微隔離。通過SDP可以自動控制對特定服務(wù)的網(wǎng)絡(luò)訪問，從而消除了手動配置。安全的遠程訪問(VPN替代)VPN為用戶提供安全的遠程訪問，但范圍和功能有限。這種方式不保護本地用戶，并且通常僅提供粗粒度訪問控制(訪問整個網(wǎng)段或子網(wǎng))。這種安全和遵從風(fēng)險通常違反最小權(quán)限原則。SDP可以保護遠程用戶和本地用戶。公司組織可以使用SDP作為整體解決方案，摒棄VPN解決方案。而且，SDP解決方案還專為細粒度訪問控制而設(shè)計。用戶無法訪問所有未經(jīng)授權(quán)的資源，這符合最小權(quán)限原則。第三方用戶訪問安全團隊通常嘗試通過VPN，NAC的，無法在復(fù)雜環(huán)境中提供細粒度或全面的訪問控制。保護第三方訪問權(quán)限使企業(yè)能夠進行創(chuàng)新和適應(yīng)。例如，用戶可以從公司辦公過渡到家庭辦公以降低成本或者有時可以遠程工作，而且某些功能可以安全地外包給第三方專家。SDP可以輕松控制和保護第三方用戶的本地訪問。特權(quán)用戶訪問安全特權(quán)用戶(通常是管理員)訪問通常需要更高的安全性、監(jiān)控和合規(guī) (PAM)解決方案通過憑證加密存儲來管理訪問，但是該憑證加密存儲不提供網(wǎng)絡(luò)安全性、遠程訪問或敏感內(nèi)容訪問。對特權(quán)服務(wù)的訪問可以限制為授權(quán)用戶，并在網(wǎng)絡(luò)層受到保護，并且可以向未經(jīng)授權(quán)的用戶隱藏特權(quán)服務(wù)，從而限制攻擊范圍。SDP確保只有在滿足特定條件時(例如，在定義的維護窗口期或僅從特定設(shè)備)才允許訪問，然后可以記錄訪問日志以進行合規(guī)性報告。高價值應(yīng)用的安全訪問目前，對具有敏感數(shù)據(jù)的高價值應(yīng)用程序提供細粒度授權(quán)可能需要對多個功能層進行復(fù)雜且耗時的更程序、數(shù)據(jù)外部訪問。)可以通過集成用戶/身份感知，網(wǎng)絡(luò)感知和設(shè)備感知在不暴露完整的網(wǎng)絡(luò)的情況下限制對應(yīng)用程序的訪問;并依靠應(yīng)用程序或應(yīng)用程序網(wǎng)關(guān)進行訪問控制。SDP還可以促進應(yīng)用程序升級，測試和部署，并為DevOpsCI/CD提供所需的安全框架。SDP工作組軟件定義邊界架構(gòu)指南 網(wǎng)絡(luò)場景現(xiàn)有技術(shù)的局限性SDP優(yōu)勢 在托管安全服務(wù)提供商(MSSP)和可以通過業(yè)務(wù)流程來控制對托管服務(wù)器的訪大型IT可以通過業(yè)務(wù)流程來控制對托管服務(wù)器的訪托管服務(wù)器的訪問安全問。托管服務(wù)器的訪問安全問。SDP可以覆蓋復(fù)雜的網(wǎng)絡(luò)拓撲、簡化訪問，同時記錄用戶活動以滿足合規(guī)性要求托管服務(wù)器進行網(wǎng)絡(luò)訪問問，同時記錄用戶活動以滿足合規(guī)性要求通過傳統(tǒng)的網(wǎng)絡(luò)和安全工具很難實現(xiàn)，并且要求繁瑣的合規(guī)性報告。簡簡化網(wǎng)絡(luò)集成要求組織定期快速集成之前不同的網(wǎng)絡(luò)，例如，在并購或災(zāi)難恢復(fù)方案中借助SDP，網(wǎng)絡(luò)可以快速無中斷地互連，而無需進行大規(guī)模更改安全遷移到IaaS云環(huán)境采用基礎(chǔ)架構(gòu)即服務(wù)(IaaS)的組織急劇增加，但許多安全性問題仍待解決。例如，IaaS訪問控制可能與企業(yè)原有的訪問控制無法銜接，范圍僅限于云提供商環(huán)境內(nèi)部。SDP方案改進了IaaS安全性。不僅將應(yīng)用程序隱藏在默認防火墻之外，還會對流量進行加密，并且可以跨異構(gòu)企業(yè)定義用戶訪問策略。請參考《SDP在IaaS中的應(yīng)用》白皮書。強化身份認證方案對已有的應(yīng)用程序在安全性和合規(guī)性上可能需要額外的2FA。但這在非網(wǎng)絡(luò)應(yīng)用和不易更改的程序上是很難實現(xiàn)的。SDP需要在對特定應(yīng)用程序授予訪問權(quán)限之前添加2FA。并通過部署多因素身份驗證 (MFA)系統(tǒng)來改善用戶體驗，并可以添加MFA以增強遺留應(yīng)用程序的安全性。簡化企業(yè)合規(guī)性控制和報告合規(guī)性報告需要IT團隊付出極其耗時且成本高昂的工作。SDP降低了合規(guī)范圍(通過微隔離)，并自動執(zhí)行合規(guī)性報告任務(wù)(通過以身份為中心的日志記錄和訪問報告).防御DDoS攻擊傳統(tǒng)的遠程訪問解決方案將主機和端口暴露在Internet，并受到DDoS攻擊。所有的完整的數(shù)據(jù)包都被丟棄，而且低帶寬DDoS攻擊繞過了傳統(tǒng)的DDoS安全控制。SDP可以(讓服務(wù)器)對未經(jīng)授權(quán)的用戶不可見，并通過使用default-drop防火墻，只允許合法的數(shù)據(jù)包通過。4具體來說，我們正在討論用于遠程企業(yè)用戶訪問的VPN，而不是站點到站點VPN或消費者VPN方案。5在Gartner于2016年9月30日發(fā)表的一篇論文中，作者寫道：“到2021年，60％的企業(yè)將逐步淘汰數(shù)字商業(yè)通信的網(wǎng)絡(luò)VPN，轉(zhuǎn)而采用軟件定義邊界，而2016年不到1％“?！艾F(xiàn)在是時候?qū)⒛愕姆?wù)從互聯(lián)網(wǎng)沼澤中隔離出來了”/doc/3463617/time-isolate-services-internet-cesspool。14SDP工作組軟件定義邊界架構(gòu)指南SDP架構(gòu) (IH)】，服務(wù)端/【接受主機(AH)】和【SDP控制器】，AH和IH都會連接到這些控制器。【SDP主機】可以啟動連接(發(fā)起主機或IH)，也可以接受連接(接受主機或AH)。IH和AH之間的連接是通過IH和AH設(shè)備連接到【SDP控制器】，【SDP控制器】可以是一種設(shè)備或程序，它確保用戶是經(jīng)過身份驗證和授權(quán)、設(shè)備經(jīng)過驗證、通信是安全建立的、網(wǎng)絡(luò)中的用戶流量和管理流量是獨立的，來確保對隔離服務(wù)的安全訪問?！維DP控制器】與安全控制信道的交互來管理的。該結(jié)構(gòu)使得控制層能夠與數(shù)據(jù)層保持分離，以便實現(xiàn)完全可擴展的安全系統(tǒng)。此外，所有組件都可以是冗余的，用于擴容或提高穩(wěn)定運行時間。通過遵循此處概述的工作流程，可以使用圖1中概述的技術(shù)來保護這三個組件之間的連接。AH和控制器使用單包授權(quán)(SPA)結(jié)構(gòu)使得控制層能夠與數(shù)據(jù)層保持分離，以便實現(xiàn)完全可擴展的安全系統(tǒng)。此外，所有組件都可以是冗余的，用于擴容或提高穩(wěn)定運行時間。通過遵循此處概述的工作流程，可以使用圖1中概述的技術(shù)來保護這三個組件之間的連接。工作原理IH上的【SDP客戶端軟件】啟動與SDP的連接。包括筆記本電腦、平板電腦和智能手機在內(nèi)的IH設(shè)備面向用戶，也就是說SDP軟件在設(shè)備自身上運行。網(wǎng)絡(luò)可以是在部署SDP的企業(yè)的控制之外。AH設(shè)備接受來自IH的連接，并提供由SDP安全保護的一組服務(wù)。AH通常駐留在企業(yè)控制下的網(wǎng)絡(luò)(和/或直接的代表)。SDPSDPSDP規(guī)范1.0》中發(fā)布)的訪問。網(wǎng)關(guān)還可以對這些連接進行監(jiān)視、記錄和報告。告154.4.IH被驗證之后，【SDP控制器】確定IH被授權(quán)可以連接的AH列表。并啟動加密通信所需的任何可選策略。6.【SDP控制器】為IH提供AH列表，以及加密通信所需的任何可選策略。IHAHSPA然后IH和這些AH創(chuàng)建雙向加密連接(例如，雙向驗證TLS或mTLS)。SDP工作組軟件定義邊界架構(gòu)指南SDP的安全性遵循以下特定各步驟的工作流程：1.在SDP中添加并激活一個或多個【SDP控制器】并連接到身份驗證和授權(quán)服務(wù)，例如AM、PKI服務(wù)、設(shè)備驗證、地理位置、SAML、OpenIDOAuthLDAPKerberos子身份驗證、身份聯(lián)盟和其他類似的服務(wù)。2.在SDP中添加并激活一個或多個AH。它們以安全的方式連接控制器并進行驗證。AH不響應(yīng)來自任何其他主機的通信，也不會響應(yīng)任何未許可的請求。3.每個IH會在SDP中添加和激活，并與【SDP控制器】連接并進行身份驗證。8.IH通過AH并使用雙向加密的數(shù)據(jù)信道與目標系統(tǒng)通信。(注意：上一頁的圖1中未描述CSA的SDP標準規(guī)范1.0中定義了以下幾種在組織機構(gòu)中部署SDP的可能架構(gòu)：客戶端-網(wǎng)關(guān)-客戶端服務(wù)器-服務(wù)器客戶端-網(wǎng)關(guān)-客戶端服務(wù)器-服務(wù)器客戶端-服務(wù)器-客戶端客戶端-服務(wù)器網(wǎng)關(guān)-網(wǎng)關(guān)客戶端-服務(wù)器當一個或多個服務(wù)器必須在網(wǎng)關(guān)后面受到保護時，無論底層網(wǎng)絡(luò)拓撲如何，客戶端/IH和網(wǎng)關(guān)之間的連接都是安全的。網(wǎng)關(guān)既可以位于同一位置，也可以跨國的分布。圖2：【客戶端-網(wǎng)關(guān)】模型：一個或者多個服務(wù)器被網(wǎng)關(guān)保護在這個部署模式下，客戶端圖2：【客戶端-網(wǎng)關(guān)】模型：一個或者多個服務(wù)器被網(wǎng)關(guān)保護接連接到網(wǎng)關(guān)，并在網(wǎng)關(guān)終結(jié)mTLS隧道。如果要確保與服務(wù)器的連接是安全的，必須采取其他預(yù)防措施?！維DP控制器】可以位于云中或受保護服務(wù)器附近，因此控制器和服務(wù)器使用相同的SDP網(wǎng)關(guān)。在圖2中，(在一個或多個環(huán)境中的)服務(wù)器作為AH在SDP網(wǎng)關(guān)后受到保護。要確保穿過網(wǎng)關(guān)的服務(wù)器的連接安全性，服務(wù)器所處的環(huán)境應(yīng)由運行SDP的組織控制。網(wǎng)關(guān)和控制器被SPA和采用“缺省丟棄”(default-drop)策略防火墻所保護，除非通信來自于正常的客戶端/IH，服務(wù)器是不可訪問的。因此，服務(wù)器對于16SDP工作組軟件定義邊界架構(gòu)指南非授權(quán)用戶和潛在的攻擊者而言，這些服務(wù)器是不可見且不可訪問的。以位于服務(wù)器上(因此控制器和服務(wù)器使用相同的網(wǎng)關(guān))或者位于云中。受保護的服務(wù)器是無法訪問的，除了來自正常的客戶端/IH，并且網(wǎng)關(guān)和控制器使用帶有默認防火墻的SPA進行保護，因此它們是“黑暗的”并且對于未經(jīng)授權(quán)的用戶和潛在的攻擊者是不可訪問的。受保護的服務(wù)器可以包含在SDP中，而無需對服務(wù)器進行任何更改。但是，它們所在的網(wǎng)絡(luò)需要配置為僅允許從網(wǎng)關(guān)到受保護服務(wù)器的入站連接，這將防止未經(jīng)授權(quán)的客戶端繞過網(wǎng)關(guān)。圖3：【客戶端-服務(wù)器】模型：服務(wù)器上直接運行網(wǎng)關(guān)軟件服圖3：【客戶端-服務(wù)器】模型：服務(wù)器上直接運行網(wǎng)關(guān)軟件服務(wù)器受SDP網(wǎng)關(guān)保護(作為AH)。通過網(wǎng)關(guān)連接到服務(wù)器(在服務(wù)器環(huán)境中)的安全連接可以在服務(wù)器上的應(yīng)用程序/服務(wù)的所有者控制下，使所有者完全控制這些連接。因為網(wǎng)關(guān)和控制器通過使用“默認丟棄”(default-drop)策略的防火墻以及SPA進行保護，因此除了來自被允許的客戶端/IH的請求之外，受保護的服務(wù)器是不可訪問的。這意味著服務(wù)器對于內(nèi)部、外部攻擊者以及未經(jīng)授權(quán)的用戶是無法訪問的，這可以提供對內(nèi)部威脅的卓越保護。使用此模型，受保護的服務(wù)器將需要配備網(wǎng)關(guān)。服務(wù)器所在的網(wǎng)絡(luò)不需要配置為限制到受保護服務(wù)器的入站連接。這些服務(wù)器上的網(wǎng)關(guān)(執(zhí)行點)使用SPA來防止未經(jīng)授權(quán)的連接。此模型可以更輕松地使用現(xiàn)有的網(wǎng)絡(luò)安全組件，IDS/IPS或SIEM?？梢酝ㄟ^分析來自SDP網(wǎng)關(guān)/受保護服務(wù)器的丟棄數(shù)據(jù)包來監(jiān)控流量，從而保留客戶端/IH與服務(wù)器之間的mTLS連接。(另請注意，客戶端/IH雖然描述為用戶設(shè)備，但它本身可能是服務(wù)器。在這種情況下，請參閱下面的服務(wù)器到服務(wù)器模型。)【客戶端-服務(wù)器】模型非常適合將應(yīng)用程序遷移到云的組織。無論服務(wù)器環(huán)境位于何處(云或本地)，組織都可以完全控制與云中應(yīng)用程序的連接。服務(wù)器之間部署安全組件，從而保留了組織機構(gòu)使用其現(xiàn)有網(wǎng)絡(luò)安全組件(如IDS/IPS)的能力。從連接客戶端到網(wǎng)關(guān)的流量從mTLS隧道中流出之后，可以進流量監(jiān)控?？蛻舳?IH既可以是終端設(shè)備，也可以是服務(wù)器。(參考第16頁的【服務(wù)器-服務(wù)器】模型)【客戶端-網(wǎng)關(guān)】模型適用于將其應(yīng)用程序遷移到云的組織。無論服務(wù)器環(huán)境位于何處(云、本地或附近)，組織機構(gòu)都希望必須確保網(wǎng)關(guān)和應(yīng)用程序之間的數(shù)據(jù)安全。此模型還適用于保護本地遺留應(yīng)用程序，因為IH不需要進行任何更改?！究蛻舳?服務(wù)器】當組織機構(gòu)將應(yīng)用程序移動到IaaS環(huán)境并提供程序端到端地保護連接時，此模型將服務(wù)器和網(wǎng)關(guān)組合在一個主機中。客戶端/IH可以位于與服務(wù)器相同的位置，也可以是分布式的。在任何一種情況下，客戶端/IH和服務(wù)器之間的連接都是端到端的。該模型為組織提供了極大的靈活性，因為“服務(wù)器-網(wǎng)關(guān)”組合可以根據(jù)需要在多個IaaS提供商之間移動。此模型也適用于保護無法升級的本地遺留應(yīng)用程序。在此模型中，客戶端/IH通過mTLS隧道直接連接到安全服務(wù)器，并終結(jié)于安全服務(wù)器。SDP控制器可17SDP工作組軟件定義邊界架構(gòu)指南丟棄”(default-drop)丟棄”(default-drop)模式進行保護，因此服務(wù)器是不可見的(Dark)，攻擊者和未經(jīng)授權(quán)的用戶(內(nèi)部和外部)無法訪問這些服務(wù)器，從而提供了額外的保護免受內(nèi)部威脅。使用此模式，受保護的服務(wù)器將需要配備網(wǎng)關(guān)或輕量級SPA協(xié)議。受保護的服務(wù)器所在的網(wǎng)絡(luò)不需要配置為限制inbound(流量)連接。這些服務(wù)器上的網(wǎng)關(guān)(執(zhí)行點)利用SPA協(xié)議防止內(nèi)部和外部未經(jīng)授權(quán)的連接。該模式使應(yīng)用IDS/IPS和SIEMs等網(wǎng)絡(luò)安全組件變得更加容易。可以通過分析來自SDP網(wǎng)關(guān)/受保護服務(wù)器的所有丟棄包來監(jiān)控流量，從而保持受保護服務(wù)器之間的mTLS連接。該模式非常適合所有組織將物聯(lián)網(wǎng)和VM環(huán)境遷移到云上的環(huán)境。無論服務(wù)器環(huán)境位于何處(云環(huán)境還是本地環(huán)境)，企業(yè)組織都可以完全控制到云環(huán)境的連接。此模型最適合物聯(lián)網(wǎng)(IoT)和虛擬機(VM)環(huán)境，并確保服務(wù)器之間的所有連接都加密，無論底層網(wǎng)絡(luò)或IP基礎(chǔ)結(jié)構(gòu)如何。服務(wù)器到服務(wù)器模型還確保組織的SDP白名單策略明確允許通信?？绮皇苄湃蔚木W(wǎng)絡(luò)的服務(wù)器之間的通信是安全的，并且服務(wù)器使用輕量級SPA協(xié)議保持對所有未授權(quán)連接保持隱藏。此模型類似于上一頁中的客戶端到服務(wù)器模型，除了IH本身是服務(wù)器，并且還可以充當SDPAH。與【客戶端-服務(wù)器】模型一樣，【服務(wù)器-服務(wù)器】模型要求在每個服務(wù)器上安裝SDP網(wǎng)關(guān)或類似的輕量級技術(shù)，并使得所有【服務(wù)器-服務(wù)器】的流量相對整個環(huán)境中其他元素而言不可見?；诰W(wǎng)絡(luò)的IDS/IPS需要配置從SDP網(wǎng)關(guān)而不是從外部獲取數(shù)據(jù)包。此外，組織可能依賴基于主機的IDS/IPS?！究蛻舳?服務(wù)器-客戶端】在某些情況下，點對點通信通過中介服務(wù)器，例如IP電話、聊天和視頻會議服務(wù)。在這些情況下，SDP連接客戶端的IP地址，組件連接通過加密網(wǎng)絡(luò)，并通過SPA保護服務(wù)器/AH免受未經(jīng)授權(quán)的網(wǎng)絡(luò)連接。圖示4：【服務(wù)器-服務(wù)器】模型：任何通信包括了API調(diào)用和系統(tǒng)服務(wù)SDP控制器可以位于服務(wù)器上，以便控制器和服務(wù)器使用相同的SDP網(wǎng)關(guān)?！維DP控制器】也可以保留在云端。服務(wù)器在作為AH的SDP網(wǎng)關(guān)后面而受到保護。通過網(wǎng)關(guān)的服務(wù)器(在服務(wù)器環(huán)境中)的安全連接默認由服務(wù)器上的應(yīng)用程序/服務(wù)的所有者控制，這使得所有者可以完全控制這些連接。受保護的服務(wù)器除了來自其他白名單服務(wù)器外是不可訪問的，網(wǎng)關(guān)和控制器由SPA通過防火墻“默認圖5:客戶端到服務(wù)器到客戶端模式:用于對等連接的模式，如IP電話或聊天。18此模式是上面客戶機到服務(wù)器到客戶機的變形。該模式此模式是上面客戶機到服務(wù)器到客戶機的變形。該模式支持對等網(wǎng)絡(luò)協(xié)議，要求客戶端在執(zhí)行SDP訪問策略時直接相互連接。SDP工作組軟件定義邊界架構(gòu)指南 SDP控制器可能位于服務(wù)器上(因此控制器和服務(wù)器使用相同的SDP網(wǎng)關(guān))或云中。如上所述，服務(wù)器在充當AH的SDP網(wǎng)關(guān)后面受到保護。默認情況下，通過網(wǎng)關(guān)到服務(wù)器的安全連接由服務(wù)器上的應(yīng)用程序/服務(wù)的所有者控制。受保護的服務(wù)器是不可訪問的，除非來自其他被允許的客戶端，而且網(wǎng)關(guān)和控制器由SPA通過防火墻這將導(dǎo)致客戶機之間的邏輯連接(每個客戶機都充當IH、AH或兩者的角色，具體取決于應(yīng)用程序協(xié)議)。注意，應(yīng)用程序協(xié)議將決定客戶端如何進行彼此連接，SDP網(wǎng)關(guān)充當它們之間的防火墻。未來將發(fā)布更多的關(guān)于這個模式的信息。【網(wǎng)關(guān)到網(wǎng)關(guān)】“默認丟棄”(Default-drop)進行保護，因此服務(wù)器是不可見的，并攻擊者和未經(jīng)授權(quán)的用戶(內(nèi)部和外部)無法訪問服務(wù)器，以提供額外的保護免受內(nèi)部威脅。使用此模式，受保護的服務(wù)器將需要配備網(wǎng)關(guān)或輕量級SPA協(xié)議。受保護服務(wù)器所在的網(wǎng)絡(luò)不需要限制入向(inbound)連接。服務(wù)器上的網(wǎng)關(guān)(執(zhí)行點)使用SPA來防止內(nèi)部和外部未經(jīng)授權(quán)的連接。該模式使應(yīng)用IDS/IPS和SIEMs等網(wǎng)絡(luò)安全組件變得更加容易。可以通過分析來自SDP網(wǎng)關(guān)/受保護服務(wù)器的所有丟包來監(jiān)控流量，從而保持客戶端和受保護服務(wù)器之間的mTLS連接。該模式非常適合于組織機構(gòu)將其對等應(yīng)用程序遷移到云中。無論服務(wù)器環(huán)境位于何處(云環(huán)境還是本地環(huán)境)，組織都可以完全控制到客戶端的連接。網(wǎng)關(guān)到網(wǎng)關(guān)模式?jīng)]有包含在SDP規(guī)范1.0的初始發(fā)布中。該模式非常適合于某些物聯(lián)網(wǎng)環(huán)境。在此場景中，一個或多個服務(wù)器位于AH后面，因此AH充當客戶端和服務(wù)器之間的網(wǎng)關(guān)。與此同時，一個或多個客戶端位于IH后面，因此IH也充當網(wǎng)關(guān)。圖7:網(wǎng)關(guān)到網(wǎng)關(guān)模式:一個或多個服務(wù)器或客戶端在網(wǎng)關(guān)后面【客戶端-圖7:網(wǎng)關(guān)到網(wǎng)關(guān)模式:一個或多個服務(wù)器或客戶端在網(wǎng)關(guān)后面受受到保護在這個模型中，客戶端設(shè)備不運行SDP軟件。這些設(shè)備可能包括那些不需要或不可能安裝SDP客戶機的設(shè)備，例如打印機、掃描儀、傳感器和物聯(lián)網(wǎng)設(shè)備。在這個模型中，網(wǎng)關(guān)作為防火墻，也可能作為路由器或代理，具體取決于實現(xiàn)部署方式。圖6:客戶端到網(wǎng)關(guān)到客戶端模型:用于保護客戶端到客戶端的通信。?版權(quán)所有2019,云SDP工作組軟件定義邊界架構(gòu)指南SDP部署模式和相應(yīng)的場景下表顯示了哪些部署模式可以對應(yīng)到哪些SDP場景。每種類型的部署都需要保護不同的連接。網(wǎng)絡(luò)場景服務(wù)器服務(wù)器客戶端戶端關(guān)基于身份的網(wǎng)絡(luò)訪問控制YY*YYYY**所有的SDP模式都支持身份驅(qū)動的網(wǎng)絡(luò)訪問控制。*此模式提供到網(wǎng)絡(luò)和服務(wù)的安全連接。**此模式為，SDP識別設(shè)備的程度取決于特定的SDP實現(xiàn)執(zhí)行設(shè)備識別和驗證的方式。例如，MAC地址提供的身份驗證比802.1x更弱。網(wǎng)絡(luò)微隔離Y*Y**Y***YYY的所有的SDP模式都通過保護單個連接來提供網(wǎng)絡(luò)微隔離。的*此模式通過保護客戶端和網(wǎng)關(guān)之間的連接來提供微隔離，但不提供到網(wǎng)關(guān)后面服務(wù)器的微分隔連接。**該模式通過保護到服務(wù)器的所有連接來提供網(wǎng)絡(luò)微隔離。此外，承載網(wǎng)關(guān)的服務(wù)器是隱藏的。***該模式通過保護到指定服務(wù)器的所有連接來提供網(wǎng)絡(luò)微隔離。此外，承載網(wǎng)關(guān)的服務(wù)器是隱藏。安全遠程訪問(VPN替代)YYYYYYSDP是傳統(tǒng)VPN的替代品。在所有情況下，控制器和網(wǎng)關(guān)/AH必須能夠被遠程設(shè)備訪問他們可以使用SPA啟動連接。第三方用戶訪問YYY*YYY根據(jù)需要保護的連接，SDP支持對所有場景的第三方訪問。第三方可能是遠程或現(xiàn)場，也可以有一個獨立的身份提供程序?qū)ζ溥M行身份驗證。*SDP模式為，提供保護連接從第三方應(yīng)用對內(nèi)部應(yīng)用程序的訪問，第三方應(yīng)用程序作為客戶端。特權(quán)用戶訪問安全YYNYYNSDP保護來自客戶端特權(quán)用戶的訪問連接。通常，特權(quán)用戶訪問指的是訪問服務(wù)器的客戶機(身份或權(quán)限)，但可以應(yīng)用于所有模式，具體取決于所涉及的應(yīng)用程序。高價值應(yīng)用的安全訪問YYYYN除了網(wǎng)關(guān)到網(wǎng)關(guān)模式以外，所有保護模式都提供特定的方式來進行高價值應(yīng)用程序的訪問保護。托管服務(wù)器的訪問安全Y*YYNY2021 此場景用于服務(wù)提供者訪問托管服務(wù)器。服務(wù)器可以完全由網(wǎng)關(guān)隱藏，或者在托管服務(wù)環(huán)境中，只有管理界面由網(wǎng)關(guān)隱藏。*在該模型中， 此場景用于服務(wù)提供者訪問托管服務(wù)器。服務(wù)器可以完全由網(wǎng)關(guān)隱藏，或者在托管服務(wù)環(huán)境中，只有管理界面由網(wǎng)關(guān)隱藏。*在該模型中，SDP網(wǎng)關(guān)軟件部署在服務(wù)器上。服務(wù)器被隱藏，MSSP/托管服務(wù)被檢測和控制服務(wù) 簡化網(wǎng)絡(luò)集成YY*Y*YYY所有SDP部署模式都支持此場景，不同模式有不同的安全連接。*對于這些模式，另一個優(yōu)點是服務(wù)器上的服務(wù)可以通過網(wǎng)關(guān)隱藏。 環(huán)境YYYYYY環(huán)境這個場景涉及到將服務(wù)從本地遷移到云。強化身份驗證方案YYY*YYY所有SDP模式都提供增強身份驗證的能力，通常通過多因素/逐步驗證。*此模式下沒有用戶，無法提示輸入一次性密碼。但是，它可以支持多因素身份驗證，比如使用PKI或基于服務(wù)器的HSM。身份管理系統(tǒng)可以(也應(yīng)該)用于系統(tǒng)或設(shè)備，而不僅僅是用戶。簡化企業(yè)合規(guī)性控制和報告所有SDP模式都通過集成控制方式幫助企業(yè)簡化合規(guī)性。防御DDoS攻擊YYYYYY因為所有的SDP模型都在網(wǎng)關(guān)中使用SPA，它們提高了組織對DDoS攻擊的彈性。在這種情況下,我們不使用拒絕網(wǎng)關(guān)服務(wù)，與內(nèi)部托管服務(wù)相比，面向互聯(lián)網(wǎng)的服務(wù)更頻繁的受到DDoS攻擊。SDP工作組軟件定義邊界架構(gòu)指南SDP連接安全SPA的好處SDP架構(gòu)提供的協(xié)議在網(wǎng)絡(luò)棧所有層都對連接提供保護。圖8描述了被各種SDP部署模式保護的連接。通過在關(guān)鍵位置部署網(wǎng)關(guān)和控制器，實施人員能夠?qū)Ｗ⒂诒Ｗo對組織最關(guān)鍵的連接，并保護這些連接免受網(wǎng)絡(luò)攻擊和跨域攻擊。SDP技術(shù)最關(guān)鍵的組成部分之一是要求并強制實施“先認證后連接”模型，該模型彌補了TCP/IP開放且不安全性質(zhì)的不足。SDP通過單包授權(quán)(SPA)實現(xiàn)這一點。SPA是一種輕量級安全協(xié)議，在允許訪問控制器或網(wǎng)關(guān)等相關(guān)系統(tǒng)組件所在的網(wǎng)絡(luò)之前先檢查設(shè)備或用戶身份。包括請求方的IP地址等在內(nèi)的連接請求的信息，在單一的網(wǎng)絡(luò)消息中被加密和認證。SPA的目的是允許服務(wù)被防火墻隱藏起來并被默認丟棄。該防火墻系統(tǒng)應(yīng)該丟棄所有TCP和UDP數(shù)據(jù)包，不回復(fù)那些連接嘗試，從而不為潛在的攻擊者提供任何關(guān)于該端口是否正被監(jiān)聽的信息。在認證和授權(quán)后，用戶被允許訪問該服務(wù)。SPA對于SDP不可或缺，用于在客戶端和控制器、網(wǎng)關(guān)和控制器、客戶端和網(wǎng)關(guān)等之間的連接中通信。圖8：被各種SDP部署模式保護的連接SPA在SDP中起很大作用。SDPSPA在SDP中起很大作用。SDP的目標之一是克服TCP/IP開放和不安全的基本特性。TCP/IP的這個特性允許“先連接后認證”。鑒于今天的網(wǎng)絡(luò)安全威脅形勢，允許惡意行為人員掃描并連接到我們的企業(yè)系統(tǒng)是不可被接受的。與SDP組合的SPA通過兩種方式應(yīng)對這個弱點。使用SDP架構(gòu)的應(yīng)用被隱藏在SDP網(wǎng)關(guān)/AH后面，從而只有被授權(quán)的用戶才能訪問。另外，SDP組件自身，如控制器和網(wǎng)關(guān)也被SPA保護。這允許它們被安全地面向互聯(lián)網(wǎng)部署，確保合法用戶可以高效可靠地訪問，而未授權(quán)用戶則看不到這些服務(wù)。SPA提供的關(guān)鍵好處是服務(wù)隱藏。防火墻的Default-drop(默認丟棄)規(guī)則緩解了端口掃描和相關(guān)偵查技都應(yīng)該能滿足以下原則：1.數(shù)據(jù)包必須被加密和認證2.數(shù)據(jù)包必須自行包含所有必要的信息；單獨的數(shù)據(jù)包頭不被信任3.生成和發(fā)送數(shù)據(jù)包必須不依賴于管理員或底層訪問權(quán)限；不允許篡改原始數(shù)據(jù)包4.服務(wù)器必須盡可能無聲地接收和處理數(shù)據(jù)包；不發(fā)送回應(yīng)或確認22SDP工作組軟件定義邊界架構(gòu)指南術(shù)帶來的威脅。這種防火墻使得SPA組件對未授權(quán)用戶不可見，顯著減小了整個SDP的攻擊面。相比與VPN的開放端口以及在很多實現(xiàn)中都存在的已知弱點，SPA更安全。(Deny-all)的防火墻，可以阻止、允許或防止網(wǎng)絡(luò)數(shù)據(jù)包在IH和AH間流動。至少，SDP使組織機構(gòu)能夠定義和控制自己的訪問策略，決定哪些個體能夠從哪些被批準的設(shè)備訪問哪些網(wǎng)絡(luò)服務(wù)。SPA相對于其他類似技術(shù)的另一個優(yōu)勢是零日(Zero-day)保護。當一個漏洞被發(fā)現(xiàn)時，如果只有被認證的用戶才能夠訪問受影響的服務(wù)，使該漏洞的破壞性顯著減小。SPA也可以抵御分布式拒絕服務(wù)(DDoS)攻擊。如果一個HTTPS服務(wù)暴露在公共互聯(lián)網(wǎng)而能被攻擊，很少的流量就可能使其宕機。SPA使服務(wù)只對認證的用戶可見，因而所有DDoS攻擊都默認由防火墻丟棄而不是由被保護的服務(wù)自己處理。SPA的局限SPA只是SDP多層次安全的一部分，僅其自身并不完整。雖然SPA實現(xiàn)應(yīng)該設(shè)計成能夠抵御重放攻擊，但是SPA仍然可能遭受中間人(MITM)攻擊。具體而言，如果一個MITM敵方能夠捕獲并修改SPA數(shù)據(jù)包，雖然該敵方不能建立到被授權(quán)客戶端的連接，但是可能有能力建立到控制器/AH的連接。但該敵方將不能在沒有客戶端證書的情況下完成mTLS連接。因此控制器/AH應(yīng)該拒絕這個連接嘗試并關(guān)閉TCP連接。即使是在MITM場景下，SPA也遠比標準TCP安全。SDP并不嘗試去替代已有的身份和訪問管理方案，但對用戶認證的訪問控制進行了加強。SDP通過將用戶認證和授權(quán)與其它安全組件集成(見第8頁的“SDP的主要功能”)顯著減小了潛在攻擊面。例如，用戶Jane可能沒有登錄公司生產(chǎn)財務(wù)管理服務(wù)器的密碼，但該服務(wù)器即使只是簡單地在網(wǎng)絡(luò)上對Jane的設(shè)備可見，就仍然存在風(fēng)險。如果Jane的公司部署了SDP架構(gòu)，財務(wù)管理服務(wù)器就對Jane的設(shè)備隱藏了。所以，即使攻擊者已經(jīng)在Jane的設(shè)備上立足，SDP將阻止從該設(shè)備連接到財務(wù)管理服務(wù)器。即使Jane確實有允許訪問財務(wù)管理服務(wù)器的密碼，在她的設(shè)備上安裝SDP客戶端也提供了額外的保護。攻擊者仍然將被多因子身份認證加上強力的設(shè)備驗證拒之門外。不同供應(yīng)商的SPA實現(xiàn)可能有輕微差異。Fwknop(FireWallKNockOperator)項目14提供了一個開源的SPA參考實現(xiàn)，請參考第38頁附錄2。另一個很好的參考是EvanGilman和DougBarth《零信任網(wǎng)絡(luò)》(O’ReillyMedia,Inc.,2017)一書的《信任其流量》一章。SDP和訪問控制SDP作為一個新興架構(gòu)的價值在于加強了訪問控制管理，并為實施用戶訪問管理、網(wǎng)絡(luò)訪問管理和系統(tǒng)認證控制等設(shè)定了標準。SDP有能力通過阻止來自于未授權(quán)用戶和/或使用未批準設(shè)備的網(wǎng)絡(luò)層訪問的方式實施訪問控制。因為SDP部署了“全部拒絕” 1/fwknop/3?版權(quán)所有2019,云3SDP從一個默認的、拒絕所有的網(wǎng)關(guān)開始，并嚴格按照白名單訪問模型訪問，個體只有在明確被SDPSDP從一個默認的、拒絕所有的網(wǎng)關(guān)開始，并嚴格按照白名單訪問模型訪問，個體只有在明確被SDP控制器允許時才能訪問SDP自身和聯(lián)網(wǎng)的應(yīng)用。這是最小特權(quán)原則的本質(zhì)。Google的BeyondCorp模型BeyondCorp是Google內(nèi)部網(wǎng)絡(luò)的安全訪問平臺，用于幫助其員工訪問內(nèi)部資源。BeyondCorp強調(diào)通過設(shè)備許可管理企業(yè)提供的Chromebook。這個系統(tǒng)已經(jīng)被充分研究和記錄3，并且已經(jīng)成為Google在過去五年中的一個成功的內(nèi)部項目。與SDP模型有所區(qū)別的是，BeyondCorp是一個基于Web代理的方案，支持HTTP、HTTPS和SSH協(xié)議。SDP實現(xiàn)通常支持更多IP協(xié)議，在某些實現(xiàn)中甚至支持所有IP協(xié)議。SDP也比BeyondCorp支持更細SDP工作組軟件定義邊界架構(gòu)指南rp的，SDP的，SDP天然地且強力地執(zhí)行最小特權(quán)原則。外兩個新思路：由行業(yè)分析公司Forrester最早推動的“零信任”概念和Google內(nèi)部的BeyondCorp舉措。Forrester的零信任模型Forrester的零信任模型2在過去的幾年中擴大了其范圍，零信任模型建立在三個原則之上：?不管用戶和資源所處位置，確保所有資源訪問都是安全的?記錄和檢查所有流量?執(zhí)行最小權(quán)限原則這些原則與SDP所提供的一致。SDP架構(gòu)可能是實施這些零信任原則的最佳方法。SDP對用戶和設(shè)備進行強認證，并對網(wǎng)絡(luò)連接進行加密，從而保證不管用戶所在位置，所有資源都被安全地訪問。SDP通常作為覆蓋層部署在現(xiàn)有網(wǎng)絡(luò)上，因此也確保無論資源是部署在內(nèi)部、云上或其他位置，都可以被安全地訪問。在SDP實現(xiàn)中，網(wǎng)絡(luò)連接也受控制，提供了一個中心位置記錄哪些個體(人或機器)正在訪問哪些資產(chǎn)。如果需要對數(shù)據(jù)包進行深度檢測，SDP能夠很容易地與網(wǎng)絡(luò)流量探測系統(tǒng)集成。最后，也許是最重要15/report/The+Forrester+Wave+Zero+Trust+eXtended+ZTX+Eco-system+Providers+Q4+2018/-/E-RES141666and/blogs/next-genera-tion-access-and-zero-trust/顆粒度的訪問控制。在Google的系統(tǒng)中，應(yīng)用都被16/beyondcorp/#researchPapers17/istio/24SDP工作組軟件定義邊界架構(gòu)指南分配成若干“可信級別”。通過用戶和設(shè)備上下文信息，SDP支持更細顆粒度和獨立的訪問控制。盡管Google的BeyondCorp不能在市場中買到，但Google已經(jīng)在其用于保護微服務(wù)的開源平臺Istio4中包括了BeyondCorp平臺的一些組件。Google也發(fā)布了一個稱為身份感知代理(Identity-AwareProxy，IAP)的免費組件5，控制對Google云平臺(GoogleCloudPlatform，GCP)中資源的訪問。IAP不是SDP，也不具有BeyondCorp的全部能力。據(jù)Google稱，“云IAP是BeyondCorp的一個構(gòu)成模塊”。如果你的企業(yè)在考慮構(gòu)建建一個零信任安全環(huán)境，或者你的團隊喜歡BeyondCorp方法，你可能也不妨評估一下SDP，因為它提供了類似的好處且有多個可在市場中購買到的產(chǎn)品?？傊?，SDP架構(gòu)能夠保證零信任原則的成功實現(xiàn)。BeyondCorp實現(xiàn)為讀者提供了將SDP架構(gòu)結(jié)合到BYOD戰(zhàn)略中的成功參考。18/iap/25SDP工作組軟件定義邊界架構(gòu)指南因為組織機構(gòu)中的許多利益相關(guān)者都存在安全風(fēng)險和顧慮，企業(yè)信息安全架構(gòu)很復(fù)雜。無論底層IP基礎(chǔ)設(shè)施如何，軟件定義邊界SDP都能確保安全連接。軟件定義邊界SDP因為包含以下關(guān)鍵概念，所以可以作為企業(yè)安全架構(gòu)的基礎(chǔ)：和事件平臺中進行進一步分析。每個連接的“誰、何時、何地”信息變得更容易收集。軟件定義邊界如何影響應(yīng)用程序發(fā)布/DevOps許多組織機構(gòu)都采用了DevOps許多組織機構(gòu)都采用了DevOps或CI/CD(持續(xù)集成/持續(xù)交付)19等快速應(yīng)用程序發(fā)布流程。這些流程及其支持的自動化框架與安全系統(tǒng)的集成需要經(jīng)過深思熟慮，SDP也不例外。SDP可以有效地保護授權(quán)用戶在DevOps時可與開發(fā)環(huán)境連接。SDP還可以在操作期間保護連接，即使是合法用戶到受特殊保護的服務(wù)器和應(yīng)用程序間的連接也得以保護。安全架構(gòu)師們必須理解他們的SDP部署模型，以及他們組織的DevOps機制將如何與之集成。因為API集成通常是DevOps工具集集成的需求，安全團隊應(yīng)該查看他們的SDP實現(xiàn)所支持的一組API。2.雙向加密通信3.拒絕一切(Deny-all)的防火墻動態(tài)規(guī)則和服務(wù)器隱身功能4.集成應(yīng)用上下文和細顆粒度的訪問控制在本節(jié)中，我們提出了架構(gòu)師們在其企業(yè)中規(guī)劃部署軟件定義邊界SDP時應(yīng)考慮的一些問題。這些問題將幫助架構(gòu)師們考慮安全性的各個方面，這些方面包括用戶群、網(wǎng)絡(luò)、服務(wù)器環(huán)境以及安全性和合規(guī)性要求。SDP如何影響用戶，特別是業(yè)務(wù)用戶？SDP的部署如何適應(yīng)現(xiàn)有的網(wǎng)絡(luò)技術(shù)？安全團隊經(jīng)常努力使其解決方案對用戶盡可能透明，SDP支持這種方法。如果實現(xiàn)了最小權(quán)限原則，用戶明，SDP支持這種方法。如果實現(xiàn)了最小權(quán)限原則，用戶將可以完全訪問他們需要的一切，而且不會注意到不必要的訪問被拒絕。根據(jù)SDP部署模型，用戶將在其設(shè)備上運行SDP客戶端軟件。安全架構(gòu)師應(yīng)該與IT部門協(xié)作，對用戶體驗、客戶端軟件分發(fā)和設(shè)備安裝過程進行規(guī)劃。署模型，同時必須理解某些模型中網(wǎng)關(guān)可能代表一個額外的在線網(wǎng)絡(luò)組件。這可能會影響到他們組織的網(wǎng)絡(luò)，例如需要對防火墻或路由進行一些更改，確保受保護的服務(wù)器是不可見的，并且只能通過SDP網(wǎng)關(guān)訪。SDP如何影響監(jiān)控和日志系統(tǒng)？19/wiki19/wiki/DevOpsand/wiki/CI/CD連接接受方AH之間使用mTLS協(xié)議，因此網(wǎng)絡(luò)流量對于可能用于安全、性能或可靠性監(jiān)控目的的中介服務(wù)不透明。架構(gòu)師們必須了解哪些系統(tǒng)正在運行，以及軟件定義邊界對網(wǎng)絡(luò)流量的相關(guān)更改如何影響這些系統(tǒng)。由于軟件定義邊界通常為用戶訪問提供更豐富的、以身份為中心的日志記錄，因此它們還可以用于補充和增強現(xiàn)有的監(jiān)控系統(tǒng)。此外，所有軟件定義邊界網(wǎng)關(guān)和控制器丟棄的數(shù)據(jù)包都可被記錄到安全信息2627SDP工作組軟件定義邊界架構(gòu)指南企業(yè)信息安全的元素圖9表明了企業(yè)安全架構(gòu)的主要元素。該圖是混合企業(yè)的簡化視圖，描述了安全基礎(chǔ)設(shè)施原型的主要元素以及這些元素之間的關(guān)系。EnterpriseEnterpriseSecurityArchitecture企業(yè)安全架構(gòu)入侵檢測系統(tǒng)/入侵防御系統(tǒng)安全信息和事件管理系統(tǒng)身份與訪問控制系統(tǒng)治理，風(fēng)險管理與合規(guī)公鑰基礎(chǔ)設(shè)施負載均衡企業(yè)移動管理平臺基礎(chǔ)設(shè)施即服務(wù)安全組非軍事區(qū)圖9：安全基礎(chǔ)設(shè)施原型的主要元素此企業(yè)安全體系結(jié)構(gòu)示例由內(nèi)部部署和基于云的資源(IaaS和SaaS/PaaS)組成，其中包含一組標準的安全、IT和合規(guī)性組件。以下幾頁將詳細地探討這些標準組件如何與SDP集成。應(yīng)用防火墻直接連接軟件即服務(wù)和平臺即服虛擬專用網(wǎng)客戶端云訪問安全代虛擬專用網(wǎng)網(wǎng)關(guān)下一代防火準入控制堡壘機防火墻SDP工作組軟件定義邊界架構(gòu)指南安全信息和事件管理(SIEM)SIEM系統(tǒng)14提供對應(yīng)用程序和網(wǎng)絡(luò)組件生成的日志信息和安全警報進行分析的功能。SIEM系統(tǒng)集中存儲并解析日志，支持近乎實時地分析，這使得安全人員能夠快速采取防御措施。SIEM系統(tǒng)還提供了基于法律合規(guī)通常所需的自動化集中報告。存儲起來，以便進一步分析潛在的黑客企圖或評估消耗。這種級別的記錄優(yōu)于傳統(tǒng)防火墻生成的IP地址和端口列表。SDP還增強了SIEM系統(tǒng)關(guān)聯(lián)跨多個設(shè)備發(fā)