2022软件定义边界架构标准2.0.docx

《2022软件定义边界架构标准2.0.docx》由会员分享，可在线阅读，更多相关《2022软件定义边界架构标准2.0.docx（33页珍藏版）》请在优知文库上搜索。

1、软件定义边界SDP架构标准2.02022目录1. 介绍91.1 义91.2 范围91.3 读者92. SDP设计102.1 SDP概念112.2 SDP的架构和组件112.3 SDP部署模型142.4 SDP工作流程162.5 IH加载流程示例192.6 单包授权(SPA)2()2.7 组件之间的传输层双向认证222.8 设备校验232.9 软件定义边界SDP与物联网设备242.10 访问策略243. SDP协议263.1 接受主机AH-控制器协议263.2 IH-控制器协议283.3 IH-AH协议313.4 日志34总结37参考文献37附录A：SDP,SDN和NFV39附录B:OSI/SD

2、P组件映射401.介绍软件定义边界（SDP）架构提供了动态灵活的网络安全边界部署能力，以在不安全网络上对应用和服务进行隔离。SDP提供了隔离的、按需的和动态配置的可信逻辑层，缓解来自企业内外部的网络攻击。SDP对未经授权实体进行资产隐藏，建立信任后才允许连接，并通过单独的控制平面和数据平面管理整个系统。企业借助SDP,可以实现零信任安全的目标，并且建立有效性和弹性的安全体系，从而摆脱传统（且基本无效）的基于物理边界防御的模型。1.1意义该规范是对国际云安全联盟CSA的软件定义边界工作组（SDPWG）于2014年4月发布的软件定义边界（SDP）标准规范VL0（以下简称“SDPvl）的升级。尽管初

3、版的规范是完整的，但没有充分讨论组件加载流程、保护NPE非人类实体（Non-PerSonEntities）等方面的问题】。此外，自SDPvl发布以来，SDP架构得到业界广泛认可，并包含在我们现在所说的零信任理念中。相比初版，本次修订版本的SDP标准规范进行了扩展和加强（包含对内容的添加、澄清和延展），并反映了当前最新的零信任行业状态。值得一提的是，该修订版基于SDP工作组发布的SDPVl及后期发布的其他文档进行修订，特别是基于SDP术语表和SDP架构指南。这两个文档的链接在本文的“参考文献章节。1.2范围该标准规范包含了SDP的架构组件、交互流程和基础安全通信协议，重点关注控制平面如何在安全边

4、界内授权安全连接，以及数据平面如何在在发起主机IH和接受主机AH（服务器、设备、服务）之间实现安全连接。1.3读者本标准规范的目标受众是：在企业中部署零信任和SDP产品的解决方案架构师和安全主管在方案中使用SDP架构实施零信任安全理念的供应商和技术提供商1非人类实体（NPE）是一个具有数字身份的实体.在网络空间中行动，但不是人类行为者。这可以包括硬件设备、软件应用和信息制品。2. SDP设计SDP的目标是让企业安全架构师、网络提供商和应用程序所有者能够： 部署动态的“软件定义”边界 隐藏网络和资源 防止非授权访问企业的服务 实施以身份为中心的访问策略模型SDP将物理的安全设备替换为安全逻辑组件

5、，无论组件部署在何处，都在企业的控制之下，从而最大程度地收缩逻辑边界。SDP执行零信任原则，即强制执行最小特权访问、假设被入侵、以及“信任但验证”，仅在认证和身份验证成功后，基于策略来授权对资源的访问。SDP的设计初衷是为IPv4和IPv6网络提供有效且易于集成的安全架构，包括对控制平面组件的保护和访问控制。SDP为跨数据平面通信的机密性和完整性提供保障，还包括一个“需知访问“模型，要在经过设备验证以及身份认证（用户和非人类实体NPE）成功之后才能以加密方式登录到边界网络。SDP的设计理念上提供多个层次的无缝集成-包括用户、用户设备、网络和设备的安全。SDP适用于任何基于IP的基础设施，无论是

6、基于硬件的传统网络、软件定义网络（SDN）,还是基于云计算的基础设施。SDP的双向验证隧道实际上是一个加密层，可以部署在任何一种IP网络之上。因此，SDP能将多个异构的环境统一成通用的安全层，从而简化了网络、安全和运维。对于云计算基础设施，SDP在OSl网络模型七层中的五层集成了安全性，即： 网络层：在该层以虚拟化2的方式提供计算、存储和监测。 传输层：在该层云APl将虚拟化资产与资源池和用户联系起来。 会话层：该层用于管理底层虚拟化基础设施。 表示层：该层用中间件来管理应用层和应用。 应用层：为用户提供商业价值。未集成SDP的OSl层是数据链路层和物理层，TCP/IP网络模型将这两层合并为网

7、络层。有关SDP和分层网络模型的更多信息，请参见附录Bo作为SDN和网络功能虚拟化（NFV）的补充，SDP可以保护SDN仓IJ建的基于IP的网络连接。基于过往的反馈以及SDP标准规范1.0实施中的经验教训，本次更新的SDP标准规范2.0将进一步阐明上一版本标准规范中定义的以及SDP架构指南白皮书中阐述的各种部署模型中的访问控制问题3。SDP提供了个显著更好的方法预防、监测和应对那些针对应用程序和基础设施的各种网络2参见关于SDP和网络功能虚拟化(NFV)的论文-https:WwW3https:/cloudsecurityalliance.org/artifacts/sdp-architectu

8、re-guide-v2/攻击及跨域攻击。SDP通过尽可能缩小攻击面、采用最小特权原则实现这一点，即使用户通过不受信任的公共网络（如互联网）访问资源也能得到保护。传统的网络安全解决方案侧重于保护网络和系统的安全，而SDP侧重于以身份为中心保护数字资产。从传统边界防护转变到SDP,使企业能够更加从容地应对DDoS.凭证失窃和对企业资源的勒索软件等攻击。2.1 SDP概念SDP聚焦于保护组织机构的关键资源，而非组织机构的边界。它能够为网络的所有层面定义和执行基于风险的、动态的，以身份为中心的、且上下文感知的访问策略。SDP为定义和执行访问策略提供了基础，这些策略对于业务、应用程序和网络的负责人来说意

9、义重大，尤其在组织机构内第一次实施的时候。SDP能够为应用程序和企业资源所有者提供的边界防护能力有： 可以将服务安全部署到假定被入侵的网络上（即“假定被入侵。 通过不受信任的网络访问企业资源时，可以精细化调整用户身份权限。一个典型的用例是替换VPN。SDP使用由应用负责人控制操作的逻辑组件取代了传统边界防御设备（通常是物理的）SDP通过访问策略进行设备认证和身份验证后，才允许用户对应用程序的访问。SDP背后的原理并非全新的。美国国防部（DoD）和美国情报机构（IC）内的多个组织，已经实施构建了相应的网络架构，即访问网络之前先进行身份验证和授权。通常在机密或“高端网络（如国防部定义的网络）中，所

10、有服务器都隐藏在远程访问网关设备后面，用户必须完成身份验证，才能被授予服务的可见权限并开放访问通道CSDP借鉴了机密网络中使用的逻辑模型，将其合并进入标准工作流程。多年来，相关安全负责人逐步达成了对这些概念的共识，最具代表性的开端就是2004年举办的Jericho论坛。近期，在美国国家标准与技术研究院（NIST）中定义的零信任架构中也包含了这些原则，SDP保留了上述“需知（最小特权）模型的优点，同时克服了必须借助远程访问网关设备的不足。事实上，SDP访问控制设计的初衷是面向所有用户，而不仅仅是远程用户。SDP要求任何终端在获得对受保护的服务器和相关服务的网络访问权之前，首先要进行终端的身份验证

11、和鉴权，然后就在请求系统和应用程序之间实时创建加密连接。概括来说，SDP可以在对相关资源（如用户、设备和服务）完成安全验证后，允许其在一个特定边界中访问所需的服务，这些服务对未经授权的资源保持不可见。2.2 SDP的架构和组件简单来说，SDP由两个逻辑组件构成：SDP主机和SDP控制器。4-参见NIST零信任架构文档-SP800-207https:/CSrC.nist.gov/publications/detail/sp/800-207/finalSDP主机，通常是全栈主机或轻量级服务，可以发起或接受连接。这些动作由SDP控制器管理,通过控制平面上的安全信道交互。数据则通过数据平面中单独的安全

12、信道通信。控制平面与数据平面分离，实现系统架构的灵活性且高度可扩展性。此外，出于规模化或可用性的目的，所有组件均可以做冗余部署。SDP主机（发起主机或接受主机）与SDP控制器进行通信，SDP控制器是一个设备或服务器进程，它确保用户经过身份验证和授权、以及设备得到验证，并建立安全通信，保证网络上的数据流量和控制流量是分离的。BM*SDP”I接受主机SDP的架构由以下组件组成： SDP控制罂一该组件的设计初衷是用于管理所有的身份验证和访问流程。SDP控制器本质上是整个解决方案的“大脑”，负责定义和评估相应访问策略。它充当了零信任架构下的策略决策点（PDP职能）。SDP控制器负责同企业身份验证方（例

13、如，身份提供商IdP,多因子身份验证MFA服务）的通信，统一协调身份验证和授权分发。它是一个中心控制点，用于查看和审计所有被访问策略定义的合法连接。 发起主机（IH）-这类访问实体可以是用户设备或NPE（非人类实体），例如，硬件（如终端用户设备或服务器）、网络设备（用于网络连接）、软件应用程序和服务等。SDP用户可以使用SDP客户端或浏览器来发起SDP连接。 接受主机（AH）-这些实体是逻辑组件，通常被放置在受SDP保护的应用程序、服务和资源的前端。AH充当零信任架构下的策略执行点（PEP职能）,PEP通常由具备SDP功能的软件或硬件实现。它根据SDP控制器的指令来执行网络流量是否允许发送到目

14、标服务（可能是应用程序、轻量级服务或资源）。从逻辑上讲，AH可以与目标服务可以部署在一起或者分布在不同网络上。这些SDP组件可以部署在本地或云上，出于扩容或可用性目的可以进行冗余部署。以下我们详细介绍每个组件：1） SDP控制器SDP控制器是一个关于策略的定义、验证和决策的组件（零信任架构中的策略决策点PDP）,5httpsClOUdSeCUriyalliance.orgartifactsSofIWare-defined-perimeter-and-zero-trust/第6页其维护的信息包括：哪些身份（如用户和组）可以通过哪些设备访问组织架构中的服务（本地或云中）。它决定了哪些SDP主机可以

15、相互通信。一旦用户（在IH上）连接到控制器，控制器将对该用户进行身份验证，并根据用户的上下文（包括身份和设备属性）判定是否允许其访问被授权的服务（通过AHs）o为了对用户进行身份验证，控制器可以使用内部用户表或者连接到第三方的身份和访问管理（IAM）服务（本地或云中）执行认证，并且可以加上多因子认证（MFA）身份验证方式通常基于不同用户类型和身份。例如，企业员工可以通过身份验证提供商进行身份验证，而外部承包商可以通过存储在数据库中的凭据或使用联合身份进行身份验证。为了对用户访问服务进行授权，控制器可以使用内部的“用户到服务”映射策略模型，或第三方服务：如LDAP、活动目录（AD）或其他授权解决方案（本地或云上的）。授权通常由用户角色和细粒度信息决定：基于用户或设备属性，或者用户被授权访问的实际数据元素/数据流。实际上，SDP控制器所维护的访问控制策略可以由其他组织型的数据结构（如企业服务目录和标识存储）来输入。通过这种方式，SDP控制器实现了NIST定义的零信任原则中的动态零信任策略。此外，控制器可以从外部服务获取信息，例如地理位置信息或主机验证服务，以进一步验证（在IH上