2024软件定义边界和零信任.docx

《2024软件定义边界和零信任.docx》由会员分享，可在线阅读，更多相关《2024软件定义边界和零信任.docx（19页珍藏版）》请在优知文库上搜索。

1、软件定义边界和零信任目录序言5弓1口7目标9读者9零信任网络和SDP9为什么需要零信任10零信任解决哪些问题12实施零信任战略14零信任解决方案的优势和价值16商业价值17SDP零信任战略实施方针和POC概念验证18技术组件及架构技术风险及问题22假定2222所需资源23关键产业发展24交付实施24现状分析24相关说明25引用25引言软件定义边界（SoftWareDefinedPerimeter,SDP）是一个能够为OSl七层协议栈提供安全防护的网络安全架构。SDP可实现资产隐藏，并在允许连接到隐藏资产之前使用单个数据包通过单独的控制和数据平面建立信任连接。使用SDP实现的零信任网络使组织能够

2、防御旧攻击方法的新变种，这些新变种攻击方法不断出现在现有的以网络和基础设施边界为中心的网络模型中。企业实施SDP可以改善其所面临的攻击面日益复杂和扩大化的安全困境。最初，零信任网络（ZTN）概念是由美国国防部（DoD）在2000年代初开发的，同时定义了全球信息网格（GlG）网络运营（NetoPS）黑核（BIaCkeOre）路由和寻址架构，这是国防部以网络为中心的服务策略的一部分。随着时间的流逝，此概念在DOD情报和安全社区内演变为当前的ZTN/SDP框架和测试实验1o同时,市场咨询公司ForreStrer开始推广ZTN,指出ZTN是企业安全团队值得考虑的技术。如今，零信任在采用率和范围方面都得

3、到了广泛的进步。在题为Zero-Trust-eXtended-ZTX-Ecosystem,的报告中,Forrester分析师观察到网络边界正在变化的规律，这导致了零信任架构很快从“跨位置和托管模型的网络安全隔离”思想中诞生。Forrester断言，当前模型可应对挑战和消除当前安全策略中固有的信任假设的需求。它还指出应考虑使用各种新的基于自适应软件的方法。但是，它并没有为“扩展的生态系统框架”确定新的方向2。从本质上讲，零信任是一种网络安全概念，其核心思想是组织不应自动信任传统边界内外的任何事物，并旨在捍卫企业资产。实施零信任需要在授予访问权限之前验证所有尝试连接到资产的事物，并在整个连接期间对

4、会话进行持续评估。如图1所示，美国国家标准与技术研究院（NIST）描述了使用“信任边界”。图1：来源:NIST.800207,军俵任架构第：版草案https:/csrc.nist.gov/publications/detail/sp/800-207/draft什么是零信任呢？根据FOrreSter的研究，零信任概念有三个要点： 向网络引入信任的概念，以确保资源永远可以被安全地访问，无论是谁创建流量或流量来自何处，无论在任何位置或者使用何种托管模型，无论是在云上、私有部署、或者混合部署的资源。 采用最小授权策略（LPS）来实施访问控制，以消除访问禁用资源的人性诱惑。 持续记录用户流量并分析检查是

5、否存在可疑活动。什么是SDP?软件定义边界（SDP）是零信任策略的最高级实现方案。云安全联盟CSA已采用并倡导将以下结构应用于网络连接：&图2： SDP架构（来白CSASDP规范1.0） 将建立信任的控制平面与传输实际数据的数据平面分开。 使用动态全部拒绝（deny-all）防火墙（不是完全deny-all,而是允许例外）来隐藏基础架构（例如，使服务器变“黑”，不可见）丢弃所有未经授权的数据包并将它们用于记录和分析流量。 访问受保护的服务之前，通过单包授权（SPA）协议来认证和授权用户以及验证设备。-最小授权在此协议中是自带的。由于SDP对于底层的基于IP的基础架构是透明的，并且基于该基础架构

6、保证所有连接的安全，而且它可以部署在OSI/TCP/IP传输层协议之前的网络层并在会话层的应用之前，因此它是采用零信任策略的最佳架构。这一点很重要，因为传输层可以为应用程序提供主机到主机的通信服务，而会话层是终端应用程序进程之间打开、关闭和管理会话的机制。两者都有已知的和未发现的弱点，例如TLS漏洞和建立会话时的TCP/IPSYN-ACK攻击。下表将ISO开放系统互连(OSI)模型与Internet工程任务组(IETF)TCP/IP协议相关联。OSI层TCP/IP层协议数据封装描述7应用层应用层数据网络进程到应用6表示层数据数据表示和加密5会话层数据主机间通信4传输层传输层段端到端连接和可靠性

7、3网络层网络层包路径确定寻址2数据链路层数据访问层帧物理寻址1物理层字段媒介、信号和二进制传输儆：来源:httpsyfwww.iso.orgics35.100h(tpstools.ietf.orghtmlrfc1180目标本文将展示如何使用SDP来实现ZTN,以及为什么将SDP应用于网络连接，以及为什么是最先进的ZTN实现。读者安全专家、CI0CISO和其他公司高管正在考虑将“零信任”技术作为有效防御大规模违规行为的防护措施，是本文的目标读者。零信任网络和SDP安全行业承认现有的防御机制只能解决部分问题。SDP可以在TCP/IP和TLS之前执行，从而减少了威胁参与者将易受攻击的协议作为攻击向量

8、的可能性。符合CSASDP第一版规范的软件定义边界实现了零信任，可以阻止常见的DDoS.凭证盗用以及OWASP发布的著名的十大威胁等攻击方法。SDP是已被证明的零信任实践方案，它可以使资产是隐藏不可见的，直到与访问者关联的身份被成功验证并授权。实际上，“零信任”是位于SDP架构背后的理念。SDP的基本原则是ABCD：“A不假设任何事(Assumenothing),B不相信任何人(Believenobody),C检查所有内容(Checkeverything),D阻止威胁(Defeatthreats)。”尽管SDP零信任被应用在ISoOSl模型的第3层网络层上，但鉴于常见的架构模式(例如访问混合云

9、服务的应用程序)，在将零信任网络部署在尽可能接近域边界的位置时必须小心，要确保最佳的性能并防止不必要的服务延迟。为什么需要零信任当今的网络安全实施类似于建筑物的墙和门，犯罪分子可能尝试开门撬锁。如今，组织依赖其安全“门锁”，并进行严密监控确保犯罪分子不会闯入。最好是围护数字资产，然后通过威胁阻止未经授权的用户。我们可能想看看谁在敲门，但为了防止恶意行为绝对不要让坏人有可以碰到锁的机会。这就是为什么迫切需要有效的零信任部署的本质所在。止匕外，众所周知，威胁参与者的主要目标是渗透进网络并横向移动，从而访问具有更高特权凭证的系统。零信任可以防止未经授权用户的隐藏活动，从而将访问限制在授权用户。下列问

10、题要求快速更改网络安全性的实现方式。a)不断变化的边界传统范式下，网络边界固定，受信任的内网受负载均衡和防火墙之类的网络设备保护，但这个范式已被虚拟网络取代并且过去的网络协议也被认为不是原生安全的。实际上，许多当前的网络协议(例如IPSec和SSLVPN)都存在已知的漏洞3o此外，大量的移动和物联网设备对传统固定网络中边界网络的本质带来了挑战。随着云的引入，环境已经发生了变化。除了云之外，BYOD的要求、机器到机器的连接、远程访问的增加和网络钓鱼攻击的增加都使得传统方法不断受到挑战。企业有许多内部设备，以及各种各样的用户。一个常见的用例是现场承包商必须访问内部和云中的网络资源。混合架构也正在发

11、展，在这种架构中，企业工作站通过云赋能异地客户和合作伙伴处的员工可以共用站点设施。此外，在这些情况下,通过站点到站点的连接(包括与第三方的互连)重新定义了域边界。b)IP地址挑战今天一切都依赖于对OSl网络堆栈1-4层上IP地址的信任，但这带来了一个问题：IP地址缺乏任何类型的用户信息来验证设备请求的完整性。IP地址根本无法拥有用户上下文信息。IP地址仅提供连接性信息，但不对终端或用户的可信度提供指示。TCP是OSl网络堆栈第4层上的双向通信协议，因此与外部不可信主机进行通信的内部可信主机可以接收到不可信消息。IP地址的任何更改都可能意味着复杂的配置，从而允许错误在网络安全组和网络访问控制列表

12、中蔓延。被遗忘的内部主机可以通过默认响应过去的协议(如ICMP网络支持)为黑客提供入口。最后，IP地址会动态分配，或者当用户从一个位置移至另一个位置时会发生变化，因此不应用作网络位置的基准。G)实施集成控制的挑战网络连接的可见性和透明性对于网络安全性和安全工具的实现存在问题。当前，对控制的集成是通过收集多个日志中的数据并转发给安全信息与事件管理(SecurityInformation&EventManagement,SIEM)或安全编排自动化响应(SecurityOrchestrationAutomationResponse,SOAR)技术分析。网络连接的单点信任很难实现。在允许通过防火墙访问

13、之前集成身份管理是一项非常消耗资源的任务。此外，对于大多数开发/运营/网络团队而言，使用安全编码规范、应用程序层防火墙和防DDoS保护非常重要。为单个应用程序提供控制安全态势的能力目前是一个巨大的挑战。改造应用程序和容器平台的安全性需要集成访问控制、身份管理、令牌管理、防火墙管理、代码、脚本、管道和图像扫描，以及对集成的整体编排。这对大多数团队非常困难。零信任解决哪些问题以下是当今网络架构中常见的固有弱点，因此需要一种全新方法设计网络安全：a)先连接再验证一一大多数网络装置都允许在验证身份之前进行访问。由于没有万无一失的守护者可以检验身份声明，因此访问控制机制可以被绕过。身份验证、授权和基于令

14、牌的访问控制系统，不论是否经过加密，都可能存在多个缺陷。今天用于连接的主要网络协议是传输控制协议(TransportControlProtocol,TCP)o当应用程序使用该协议连接时，将使用先连接再验证模型运行。当客户端要进行通信并访问某个应用程序时，需要首先建立连接，而后进行身份验证。客户端通过身份验证后，即可交换数据。此模型允许客户端首先连接到网络，从而允许未经授权用户进入。然后验证客户端身份，但仅在允许连接之后验证。这意味着已连接但未经授权的用户现在处于网络中并且可以执行恶意活动。由于在身份验证前不知道谁是合法客户端，因此这些用户通常会在其身份声明未被质疑时绕过身份验证方法。本质上讲，

15、组织为设备提供连接到Internet的IP地址时做了三件事： 拒绝尝试连接的恶意行为者，这个群体主要依靠威胁情报来标识。 通过漏洞、补丁和配置管理功能加固机器，使其无懈可击。但事实证明这种做法不可行。 部署没有用户上下文的网络层防火墙设备。这些防火墙容易受到内部攻击，或使用过时的静态配置。(注意：下一代防火墙(NeXtGenerationFirewalls,NGFs)确实考虑了用户上下文，应用上下文和会话上下文，但仍是基于IP的，会由于应用层漏洞而导致不确定的结果。详细信息请参阅SDP架构文档。）SDP观点：这些技术都不能有效防止攻击。零信任的实现要求对网络、主机和应用平台基础架构上各层攻击免疫。b）监视端点需要消耗大量计算、网络和人力资源使用Al进行端点监视尚无法正确检测出或防止未经授权的访问。虽然受保护资源有各种虚拟的隔离，但是随着时间的推移，（攻击者）可以通过捕获身份的详细信息了解授权机制以及伪造人员、角色和应用的身份验证凭证，从而进行破坏。现如今人工智能模型是简单的行为模型，大多基于多重线性回归分析和/或专家