什么是软件定义的边界 (SDP)?
软件定义边界 (SDP) 是一种网络基础架构,可使用远程功能保护基于云的数据中心和本地数据中心。 SDP 策略的目的是使用软件而不是硬件作为网络边界的基础。 SDP 由云安全联盟于 2013 年创建,作为安全网络的解决方案,可将数据泄露的危险降至最低。
SDP 提供对公共和私有云以及本地基于网络的服务、应用程序和系统的安全访问,因为它可以将系统隐藏在外围,因此其他人无法看到它们,SDP 技术经常被提及就像制造“乌云”一样。
SDP 软件旨在为大中型企业提供零信任应用程序和以工作负载为中心的网络连接所需的外围安全架构。 SDP 围绕网络层的虚拟边界不仅减少了攻击面,而且还通过在任何主机上进行安装而无需网络重新配置或设备锁定来消除供应商的混乱。
SDP的需求:
大多数公司以前都依赖于面向边界的安全方法。这种安全范式假定所有风险都来自公司外部,并且可以访问内部网络的任何人都是值得信赖的。这种安全方法检查所有传入和传出的数据流量,旨在通过将安全解决方案放置在网络外围,将攻击者拒之门外,将公司的重要数据拒之门外。虽然这种策略从未完全有效,但云计算和远程劳动力的出现使它变得不那么有效。
今天,公司的重要资源和员工被置于传统界限之外。因此,组织通常需要允许其他方访问其内部网络,以允许敏感数据在边界之外流动。现在的问题是确保这些数据传输是安全的,并且它们被定向到适当的接收者。这个问题可以使用软件定义的边界方法来解决。它通过根据用户身份限制对内部网络的访问,大大降低了公司的危险面和网络风险。
SDP的特点:
- 更好的用户体验
- 增强的安全性
- 零信任访问
- 降低第三方访问风险
- 更好地扩展远程云访问
SDP架构:
软件定义的外围架构有两个组件:
- SDP 主机
- SDP 控制器
SDP 主机
SDP 主机是控制设备和应用程序之间数据流的服务器。 SDP主机分为两类:
- 启动主机与 SDP 控制器连接,提供有关尝试加入网络的设备的信息,请求接受主机列表并与这些主机建立 TLS 连接。
- 接受主机将授权设备链接到已请求的应用程序。只有一个 SDP 控制器和启动主机连接到这种主机。
SDP 控制器
SDP 控制器使用识别系统来识别设备(公钥基础设施、指纹、地理位置、OpenID、Kerberos、Active Directory 等)。它还授予接受主机访问权限并执行访问规则。
SDP 主机可以根据 SDP 控制器的确定相互通信。 SDP 主机可以启动或接受连接。识别他们可以连接到哪些主机,并启动 SDP 主机与 SDP 控制器的连接。接受 SDP 主机只接受来自 SDP 控制器的已批准消息和连接。
网关在一些 SDP 拓扑中函数两个连接的设备/用户之间的接受主机。所有通信和用户/设备都通过控制器、主机和网关之间的加密连接(通常是虚拟专用网络 (VPN) 隧道)保持安全。
SDP 框架:
SDP 技术通过使用规则将服务与易受攻击的网络隔离开来创建安全边界。 CSA 的 SDP 实现了三个目标:
- 它提供了一个气隙、供应和按需的网络。
- 它将网络资源划分为已定义的网络边界。
- 在连接到隔离服务之前,它会在批准设备/用户组合之前对设备和用户进行身份验证。由于 SDP 框架,未经授权的设备和用户无法连接到隔离服务。
受信任的设备在身份验证后会收到与网络基础设施的一次性临时连接。组织可以使用软件定义的管理来简化应用程序安全和用户身份验证活动。
SDP工作流程:
- 发起主机在接收到多因素令牌和用户凭据后将其传输到 SDP 控制器。这些凭据包含设备类型、地理位置、生物特征数据(用于移动设备)等信息。
- 身份提供者从 SDP 控制器接收身份验证令牌和凭据。该服务提供商生成、维护和管理用户和设备识别所需的数据。如果识别成功,提供者将访问权限返回给 SDP 控制器。
- SDP 控制器搜索可以授予用户访问他们请求的资源的接受主机。然后将该主机的 IP 地址发送到启动主机。
- 发起主机通过加密的 VPN 连接连接到接受主机。
SDP的用例:
用作 VPN 的替代方案:SDP 允许用户更快地访问应用程序并通过单点登录验证他们的身份,让他们保持快乐和高效。被允许使用该应用程序的用户是唯一可以连接到它的用户。用户永远不会被连接到网络上,他们的 IP 地址也永远不会被泄露。
具有安全连接的多云访问:对于开发人员和最终用户,直接到云的策略可提供无缝的用户体验。无论应用程序类型、设备或位置如何。 SDP 非常灵活且可扩展,因为它是基于软件的,而设备不能超出其受限容量。 SDP 通过根据详细规则授予访问权限,在“需要知道”的基础上提供安全的远程访问。
降低风险:IT 管理员可以使用 SDP 限制第三方访问权限应用程序。这基本上可以防止用户在网络内横向移动。 VPN 网关不再需要第三方合作伙伴登录。
广泛的网络访问预防:由于 SDP,单个实体无法访问大型网络子网或网段。因此,设备只能连接到策略允许的指定主机和服务。这最大限度地减少了网络的攻击面。它还阻止恶意软件和个人检查漏洞。
SDP 可以连接任何东西:软件定义的安全性使员工能够连接到他们需要的 IT 资源。它还消除了对昂贵的安装硬件和耗时的管理的需求。
SDP 与 VPN:
SDP 也可能比 VPN 更容易管理,尤其是在内部用户需要多级访问的情况下。 SDP 可以使用 VPN 在用户设备和他们需要访问的服务器之间提供安全的网络连接。另一方面,SDP 与 VPN 不同。 SDP 在某些方面比 VPN 更安全,因为它们不共享网络连接并允许所有连接的用户访问整个网络。 SDP 可能比 VPN 更易于管理,尤其是在内部用户需要多级访问的情况下。 VPN 用于管理多个网络访问层,需要大量 VPN 部署。
另一方面,SDP 的粒度要大得多。没有每个人都使用相同资源连接的 VPN。相反,每个用户都有自己的网络连接。几乎每个人都有自己的个人虚拟专用网络 (VPN)。此外,SDP 同时检查设备和用户,使得攻击者更难仅使用被盗凭证访问系统。
SDP的优点:
- SDP 控制器必须先识别任何设备或用户,然后才能被信任。用户和资源具有动态和加密的关系。
- 如果用户具有适当的访问权限,他们只能通过 SDP 控制器连接到资源。对于某个职位、一组用户或单个用户,可能会限制访问。
- 任何信息,包括 DNS 服务器地址,都可能使用 SDP 对外界隐藏。已被识别的用户只能连接到他们被授予访问权限的资源;所有其他资源都对他们隐藏。
- SDP 由基于行业标准的组件组成,例如双向 TLS 和 VPN。它允许与其他常见安全系统进行简单集成。
- 数据传输使用 TLS、SAML 或 X.509 进行加密。
- SDP 混淆业务资源并禁止广泛的网络访问。黑客发现很难攻击他们不理解的东西。
SDP的缺点:
- 尽管兼容各种当前设备,但将过时的路由器或供应商特定设备连接到 SDP 软件可能很困难。
- SDP 混淆业务资源并禁止广泛的网络访问。黑客发现很难攻击他们不理解的东西。
- 控制器在 SDP 设计中发挥着关键函数,因为它们将设备连接到受保护的资源。如果控制器不可用,则很难连接到资源。
- SDP 与典型的网络安全措施不同。由于您需要修改所有设备和应用程序,因此实施 SDP 解决方案可能会在大公司中造成网络和基础设施中断。