2022软件定义边界架构指南.docx

《2022软件定义边界架构指南.docx》由会员分享，可在线阅读，更多相关《2022软件定义边界架构指南.docx（36页珍藏版）》请在优知文库上搜索。

1、软件定义边界（SDP）架构指南目录介绍7目的8受众目标8软件定义边界(SDP)简介9SDP安全优势9SDP商业优势10SDp主要功能11SDP潜在应用领域13SDP架构15【客户端-网关】16【客户端-服务器】17【服务器-服务器】18【客户端-服务器-客户端】18【客户端-网关-客户端】19【网关到网关】19SDP部署模式和相应的场景20SDP连接安全22单包授权22SP的好处22SPA的局限23SDP和访问控制23补充架构24FOITeSter的零信任模型24Google的BeyondCorp模型24软件定义边界SDP与您的企业26企业信息安全的元素27安全信息和事件管理(SIEM)28传

2、统防火墙29入侵检测和入侵防御系统(IDS/IPS)31虚拟专用网(VPNs)31下一代防火墙(NGFW)32身份及访问管理(IAM)32网络准入控制(NAC)解决方案3终端管理(EMMMDVUEM)33Web应用防火墙(IMF)33负载均衡34云访问安全代理(CASB)34基础设施即服务(IaaS)34软件即服务(SaaS)34平台即服务(PaaS)34治理、风险管理及合规(GRC)35公钥基础设施(PKD35软件定义网络(SDN)35无服务器计算模型35架构关注点35结论36附录2：SDP详解38介绍SDP方案结合了技术和架构组件，可以比传统的安全工具更高效、更有效地保护网络应用程序和基础

3、架构。当今的网络安全体系结构、工具和平台无法应对当前安全威胁带来的挑战。无论您是在阅读主流媒体的头条新闻，还是作为网络防御者进行日常工作，或者您是安全供应商，这些潜在安全威胁都可能会影响到您。各种来源的持续攻击会影响商业企业、政府组织、关键基础设施等。现在是时候让我们信息安全行业拥抱创新的网络安全工具，即软件定义边界（SDP）技术，将其应用于所有的网络层。SDP方案结合了技术和架构组件，已经证明可以比传统的安全工具更好地保护网络应用程序和基础架构。由云安全联盟CSA于2014年4月发布的“SDP规范1.0概述了SDP技术的基础知识：“SDP背后的原理并非全新。美国国防部（DoD）和美国情报体系

4、（IC）内的多个组织在网络访问之前已经实施了基于认证和授权的类似网络架构。通常用于机密或高端网络（由国防部定义），每台服务器隐藏在远程访问网关设备后面，用户必须先通过该设备身份验证，才能查看授权服务并进行访问。SDP利用分类网络中使用的逻辑模型，并将该模型纳入标准工作流程中。在获得对受保护服务器的网络访问之前，SDP要求端点进行身份验证并首先获得授权。然后在请求系统和应用程序基础架构之间实时创建加密连接。14”目的作为一个安全从业者和解决方案提供商组成的组织，我们对信息安全和网络安全充满热情。我们相信SDP是一个重要的创新解决方案，可以应对我们所有人面临的安全威胁。自“SDP规范1.0发布以来

5、，我们作为一个由软件供应商、系统、安全架构师和企业组成的工作组，已经构建并部署了许多符合这些准则的系统。同时，我们了解了很多关于SDP实现的知识特别是在缺乏原始规范的领域。通过本指南，我们将帮助企业和从业人员获取有关SDP的信息；展示其可提供的经济和技术效益；并帮助用户在其组织中成功实施SDPo如果实现以下目标，我们将认为此文档是成功的： 提高SDP的市场认知度、可信度和企业采用率 提高人们对SDP在不同环境中的应用的理解 提升企业使用SDP解决问题的动机 使用本文档向内部业务相关者介绍SDP 企业根据本白皮书中的体系结构建议成功部署SDP解决方案。受众目标本文中的信息将使考虑或正在组织机构中

6、实施SDP项目的安全性、体系结构和技术网络团队受益。主要受众包括从事信息安全、企业架构和安全合规角色的专业人员。这些人员主要负责SDP解决方案的评估、设计、部署和运营。此外，作为解决方案提供商、服务提供商和技术供应商的人员也将从本文提供的信息中获益。概述软件定义边界（SDP）简介SDP旨在利用基于标准且已验证的组件，如数据加密;、远程认证（主机对远程访问进行身份验证）、传输层安全（TLS,一种加密验证客户端信息的方法）、安全断言标记语言（SAML）,它依赖于加密和数字签名来保护特定的访问及通过X509证书公钥验证访问。将这些技术和其它基于标准的技术结合起来，确保SDP与企业现有安全系统可以集成

7、。自云安全联盟（CSA）首次发布软件定义边界（SDP）规范以来，CSA已经看到了SDP无论在知名度还是在企业的SDP创新应用方面都取得了巨大的增长。虽然传统的网络安全方法在所有行业中似乎都让IT和安全专业人员感到身心疲惫，但SDP技术使用和兴趣却在不断增加，例如： 五个在其重点领域取得了重大进展，包括用于IaaS的SDP、防DDOS攻击和汽车安全通信。M已经有多个供应商处提供多种商业SDP产品，并已在多个企业中被使用。 针对SDP的防DDOS用例实施了开源（参考15）O 已举办四个针对SDP的黑客松，并且攻破成功率保持为零。行业分析师报告已开始将SDP纳入研究和演ZjoSDP安全优势 SDP通

8、过最小化攻击面来降低安全风险。 SDP通过分离访问控制和数据信道来保护关键资产和基础架构，使其中的每一个都看起来是“黑”（不可见）的，从而阻止潜在的基于网络的攻击。 SDP提供了一个集成的安全体系结构，这个体系结构是现有安全产品（如NAC或反恶意软件）难以实现的。SDP集成了以下独立的架构元素：用户感知的应用程序客户端感知的设备网络感知的防火墙/网关 SDP提供了基于连接的安全架构而不是基于IP的替代方案，因为当今IP环境的爆炸式增长和云环境中的边界缺失使得基于IP的安全性变得脆弱。 SDP允许根据预先审查谁可以连接（从哪些设备、哪些服务、基础设施和其他参数）来控制所有连接。SDP商业优势SD

9、P提供了许多业务优势，我们在这里概述这些优势以供您快速参考。我们期待与SDP社区合作，在未来的出版物中对这些益处进行深入的定性和定量检验。业务领域实施SDP的优势使用SDP替换传统网络安全组件可降低采购和支持成本。使用SDP部署并实施安全策略可降低操作复杂性，并减少对传统安全工具的依节省成本及人力赖。SDP还可以通过减少或替换MPLS和租用线路利用率来降低成本，因为组织机构可以减少或消除对专用主干网的使用。SDP可以为组织机构带来效率和简便性，最终有助于减少人力需求。提高IT运维的灵活性IT流程可能会拖累业务流程。相比之下，SDP的实现可以由IT或IAM事件自动驱动。这些优势加快了IT的速度，

10、使其更快地响应业务和安全需求。GRC好处与传统方法相比，SDP降低了风险。SDP可以抑制威胁并减少攻击面，防止基于网络或者应用程序漏洞被利用的攻击。SDP可以提供并响应GRC系统（例如与SlEM集成），以简化系统和应用程序的合规性活动。通过集中控制从注册设备上的用户到特定应用程序/服务的连接，SDP可以改进合规性数据收集、报告和审计过程。合规范围增加及成本降低SDP可为在线业务提供额外的连接跟踪。SDP提供的网络微隔离经常用于减少合规范围，这可能会对合规报告工作产生重大影响。安全迁移上云通过降低所需安全架构的成本和复杂性，支持公有云、私有云、数据中心和混合环境中的应用程序，SDP可以帮助企业快

11、速、可控和安全地采用云架构。与其他选项相比，新应用程序可以更快地部署，且有更好的安全性。SDP使企业能够快速、安全地实施其优先任务。例如：SDP支持将呼叫中心从企业内部机构转换为在家办公的工作人员业务的敏捷性和创新 SDP支持将非核心业务功能外包给专业的第三方 SDP支持远程第三方网络和位置上用户自助服务的设备 SDP支持将公司资产部署到客户站点，与客户建立更强的集成并创造新的收入SDP主要功能SDP的设计至少包括五层安全性：（1）对设备进行身份认证和验证；（2）对用户进行身份验证和授权；（3）确保双向加密通信；（4）动态提供连接；（5）控制用户与服务之间的连接并且同时将这些连接隐藏。这些和其

12、他组件通常都包含在SDP实现中。信息/基础设施隐藏SDP架构组件减轻或减少安全威胁额外效益SDP组件（控制器、网关）在尝试访问的客户服务器“变黑”所有外部网络攻击和跨域攻击主机通过安全协议（如单包授权（SPA）进行身份验证授权之前，不会响应任何连接请求。带宽和服务器DoS攻击（但请注意，SDP应该通过ISP提供的面向Internet的服务通常位于拒绝所有SDP网减少拒绝服务（DoS）攻击关（充当网络防火墙）后面，因此能够抵御DoS攻击。SPA可以保护SDP网关免受DoS攻击。上游反DoS服务来增强。）从任何其他主机到接受主机（AH）的第一个检测错误包快速检测所有外部网络和跨域攻数据包是SPA数

13、据包（或类似的安全构造）。击。如果AH收到任何其他数据包，则将其视为攻击。双向加密的连接SDP架构组件减轻或减少安全威胁额外效益验证用户和设备身份来自未授权用户和设备的连接所有主机之间的连接必须使用相互身份验证来验证设备和用户是否是SDP的授权成员。不允许伪造证书针对身份被盗的攻击相互身份验证方案将证书固定到由SDP管理的已知且受信任的有效根目录。不允许中间人攻击中间人攻击相互握手技术可以防止在撤销服务器证书之利用在线证书状态协议（OCSP）响应的中间人攻击。“需知（NEEDTOKNOW）”访问模型SDP架构组件缓解或降低的安全威胁额外效益取证简化恶意数据包和恶意连接对所有恶意数据包进行分析和

14、跟踪，以便进行取证行动。细粒度访问控制来自未知设备的外部用户的数据窃取只允许授权用户和设备与服务器建立连接。设备认证来自未授权设备的威胁；证书窃取密匙被证实由请求连接的适当合法设备持有。保护系统免受己被入侵设备的攻击来自被入侵设备的“内网漫游”的威胁用户只能访问授权的应用程序（而非整个网络）,动态访问控制SDP架构组件缓解或降低的安全威胁额外效益动态的、基于会员认证体系的安全隔离区基于网络的攻击通过动态创建和删除访问规则（出站和入站）来启用对受保护资源的访问。应用层访问SDP架构组件缓解或降低的安全威胁额外效益取消广域网接入工方曹St始如亚白田内设备只能访问策略允许的特定主机和服务,不能越权访问网段和子的端口和漏洞扫描阴应用程序和服务访问控制由工壮*SDP控制允许哪些设备和应用程序可访问特定服务,例如应用程接到资源序和系统服务。SDP潜在应用领域因为SDP是一种安全架构，所以它能够很好提供多种不同级别的安全，无法简单把它归类到现有的安全常见类别。下表列出了部分可由SDP实施保护的几种场景。网络场景现有技术的局限性SDP优势基于身份的网络访问控制传统的网络解决方案仅提供粗粒度的网络隔离，并且以IP地址为导向。即使SDN这样的新平台，企业仍然难以及时实现以身份为中心且精确的用户访问控制。SDP允许创建与组织相关的以身份为中心的访问控制