软件定义边界工作组官网网址: https://cloudsecurityalliance.org/research/working-groups/software-defined-perimeter @2022国际云安全联盟大中华区-保留所有权利。本文档发布在国际云安全联盟大中华区官网(http://www.c-csa.cn),您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档:(a)本文只可作个人信息获取,不可用作商业用途;(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明;(e)引用本报告内容时,请注明来源于国际云安全联盟。 ©2022国际云安全联盟大中华区版权所有2 序言 DNS作为互联网重要的基础服务之一,承担着将域名指向可由计算机识别的IP地址的重要作用,堪称互联网的“导航系统”,同时在企业的内网环境也承担着同等重要的职责。DNS的安全是保障网络畅通的核心和基础,也是数据安全的底层基石。 思科相关安全研究数据显示,近91.3%的已知恶意软件被发现使用DNS作为主要手段,但68% 的企业却忽略了这个问题,并没有对DNS解析进行监管,这种现象称之为“DNS盲点”。 正因为DNS如此重要的作用,其一旦出现漏洞或遭受攻击,必然会对网络的正常访问和使用造成严重影响,给政府和企业带来巨大的损失。 很多企业投入大量财力、物力、人力构建完善的安全防护体系,虽然网络安全架构已经十分完善,但DNS系统安全依旧成为百密一疏的防护漏洞,并且传统的安全防御体系在日益频繁DNS攻击的抵御防护中尤为吃力。 2022年5月CSA正式发布了《SDP标准规范2.0》。SDP为网络运营者提供动态灵活的边界功能部署能力,聚焦于保护关键的组织资产,实现精准授权,降低网络攻击的可能性。帮助零信任安全实现最小授权原则并隐蔽网络和资源。 本文通过2个实际用例解释了如何将DNS、企业管理DDI系统与SDP结合,使用DNS及企业管理DDI系统为SDP提供设备及网络行为的上下文信息,作为SDP系统输入,增强访问控制策略的决策能力,从而提供改进的安全可见性、恢复能力及响应能力,帮助组织机构通过零信任架构获取的安全保障更上一层楼。 最后感谢参与本次翻译和支持的工作者们的无私奉献。 李雨航YaleLiCSA大中华区主席兼研究院院长 ©2022国际云安全联盟大中华区版权所有3 致谢 《基于SDP和DNS融合的零信任安全增强策略模型(IntegratingSDPandDNSEnhancedZeroTrustPolicyEnforcement)》由CSA软件定义边界工作组专家编写,CSA大中华区秘书处组织翻译并审校。 中文版翻译专家组(排名不分先后): 组长:陈本峰 翻译组:单美晨江坤石瑞生汪海谢琴杨正权于继万于新宇余晓光 审校组:谢琴姚凯 研究协调员:潘国强李杰李金瑞陈龙感谢以下单位的支持与贡献: 北京奇虎科技有限公司北京启明星辰信息安全技术有限公司北京天融信网络安全技术有限公司华为技术有限公司 江苏易安联网络技术有限公司上海安几科技有限公司 云深互联(北京)科技有限公司中国电信股份有限公司研究院湖州市大数据发展促进会湖州市吴兴区大数据发展管理局西塞数字安全研究院 英文版本编写专家 主要作者:JasonGarbisJuanitaKoilpillaiSrikrupaSrivationPGMenon 贡献者:MichaelRoza 审核者:NaderZaveriAndreaKnoblauch CSA全球员工:ShamunMahmud ©2022国际云安全联盟大中华区版权所有4 献辞 本文是为了纪念JuanitaKoilpillai,一位安全领袖、影响者、导师和朋友。 软件定义边界(SDP)和零信任工作组是云安全联盟(CSA)的一个研究工作组,旨在促进采用零信任安 全原则,为组织机构能够并应该如何在云和非云环境中采用这些原则提供实用和技术上可靠的指导。该小组将以美国国家标准与技术研究所(NIST)的零信任研究和方法为基础并发挥作用。该工作组还 将推广SDP作为实现零信任价值和原则的推荐架构。此外,它将修订和扩展SDP规范以获取和编纂从过去的经验中获得的知识。最后,在推广和推荐SDP的同时,该工作组将采取包容性的方法替代安全架构,并客观地支持它们(前提是符合零信任哲学)。 在此感谢以上专家。如译文有不妥当之处,敬请读者联系CSAGCR秘书处给与雅正!联系邮箱: research@c-csa.cn;国际云安全联盟CSA公众号。 ©2022国际云安全联盟大中华区版权所有5 目录 序言3 致谢4 1.引言7 1.1目的7 1.2范围7 1.3受众7 1.4域名系统(DNS)8 1.4.1动态主机配置协议(DHCP)9 1.4.2互联网协议地址管理(IPAM)10 1.4.3实现云端管理10 1.5基于DNS的安全11 1.5.1恶意软件控制点11 1.5.2阻止数据泄露12 1.5.3域名生成算法(DGAs)控制点13 1.5.4基于类别的过滤15 1.6零信任策略执行15 1.6.1SDP和零信任策略执行16 1.6.2DNS和零信任策略执行17 2SDP/零信任和DNS用例18 2.1用例#1:DNS向SDP提供上下文和元数据18 2.1.1⽤例1中的策略执行21 2.1.2响应恶意行为22 2.1.3基于位置的访问控制23 2.1.4基于设备的访问控制23 2.1.5基于用户的访问控制24 2.2用例#2-SDP控制器将策略结果发布到DNS24 2.2.1在DNS中的策略执行-一个额外的安全层25 3.结论26 4.参考文献27 5.缩略词29 ©2022国际云安全联盟大中华区版权所有6 1.引言 在网络复杂度飙升和安全威胁加剧的背景下,组织机构需要能够简化、优化并保护网络通讯的解决方案。域名系统(DNS)将人类可读的域名(例如,cloudsecurityalliance.org)映射到互联网协议(IP)地址,对于可靠的互联网运营和连接至关重要。无论网络连接是从用户的Web浏览器、在线设备还是业务服务器发起,几乎每个都是以DNS查询开始。不幸的是,DNS的无处不在以及该协议的开放性、无连接性和未加密性,使得DNS成为恶意软件渗透到网络中并窃取数据(通常不易被发现)的常用目标。但是,组织机构可以集成软件定义边界(SDP)架构与DNS,获得安全能力的提升。DNS可作为一个零信任网络策略执行点,与SDP策略执行点协同工作,通过挖掘出有价值的DNS数据,加快SDP的威胁响应速度。 网络连接规模化所需的另外两个核心服务是动态主机配置协议(DHCP)和互联网协议地址管理(IPAM)。这三个核心网络服务统称为DDI(DNS、DHCP、IPAM)。集成这三个组件有助于为当今高度分布式的现代化网络提供控制力、自动化和安全性。DDI组合具有独特的优势,可以记录网络上的人员、人员的去向以及(更重要的是)去过的地方。当DDI系统与威胁情报源结合使用时,将具备足够信息,在控制平面和DNS层配置并实施策略。 在DNS层配置和实施策略的好处是,它不是计算密集型的,并且可以扩展到数百万级别。但是,我们必须注意到DNS层的策略是粗粒度的(例如域名)。因此,需要其他机制提供细粒度的策略框架和实施方案,以利用好DDI数据库。DDI服务可以为企业提供可见性和控制力,并且,当它与软件定义边界SDP结合使用时,可以在很大程度上提高安全性并帮助组织机构在零信任安全之旅中更上一层楼。 1.1目的 本研究文档的目的是解释DNS和企业管理的DDI系统可以如何与软件定义边界SDP结合,以提供改进的安全可见性、恢复能力和响应能力。 1.2范围 本白皮书探讨了企业管理的DDI与SDP集成以提高安全性、上下文感知能力和响应能力的两个用例。这种类型的集成(将传统意义上不同的系统结合在一起以得到更全面的实施方案)是零信任安全方案的标志。本文并不涉及DNS基础设施安全性本身。 1.3受众 ©2022国际云安全联盟大中华区版权所有7 本文档的目标读者包括: 部署零信任/SDP产品的企业架构师和安全领导者,他们希望采取整体方案。 负责企业DNS、DHCP和IPAM系统的安全和IT从业人员,他们寻求提高系统安全有效性的方法。 在产品或解决方案中实施零信任/SDP架构的供应商或技术提供商。 1.4域名系统(DNS) DNS是一种分层命名系统,它构建在一个为计算机、服务或任何连接到互联网或专用网络的资源而设的分布式数据库上。DNS将域名转换为与网络设备关联的数字标识符,定位和寻址全球设备。类似于系统“电话簿”,DNS使浏览器将“https://cloudsecurityalliance.org”转换为CSAWeb服务器的实际IP地址。 公共DNS面向所有互联网用户,以递归名称服务器方式运行。公共DNS服务的示例包括CiscoOpenDNS,GooglePublicDNS,Cloudflare以及由大多数互联网服务提供商(ISP)运营的公共DNS服务器。但是,公共DNS服务器或包含在许多互联网服务包中的DNS通常并不适合企业。通常,组织机构使用商业或开源DNS服务器作为私有DNS服务器,增强控制力、安全性、可靠性和内部使用速率。 这些参考文献中描述了几种不同的DNS服务器类型。12它们必须协同工作才能将域名解析为IP地址。如果DNS服务器不具备这些属性,就可能会查询其他DNS服务器(一种称为“递归”的操作)。递归过程如“图1:企业中的递归DNS解析”所示。 1Johnson,D.(2021,February16).WhatisaDNSserver?HowDomainNameSystemserversconnectyoutotheinternet.BusinessInsider.RetrievedMarch9,2022,fromhttps://www.businessinsider.com/what-is-a-dns-server?r=US&IR=T 2OmniSecu.com.(n.d.).RecursiveandIterativeDNSQueries.RetrievedMarch9,2022,fromhttps://www.omnisecu.com/tcpip/recursive-and-iterative-dns-queries.php ©2022国际云安全联盟大中华区版权所有8 图1:企业中的递归DNS解析 # 动作 描述 1 客户端到本地DNS 客户端(访问发起主机)将DNS查询发送到本地DNS服务器以获取它所查找的应用程序的IP地址。本地DNS服务器如果具有该信息(即本地企业应用程序的IP地址),则会响应。 2 本地DNS服务器到互联网 如果本地DNS服务器没有该信息,它会将查询请求转发给其他DNS服务器。 3 互联网到外部DNS服务器 所有域都根据域名层次结构注册。DNS服务器可能通过其他递归层解析查询。 4 外部DNS服务器到互联网 DNS响应通过互联网返回。 5 互联网到本地DNS服务 本地DNS服务器缓存该响应以供将来使用。 6 本地DNS服务器到客户端 本地DNS服务器将该响应转发给客户端。 1.4.1动态主机配置协议(DHCP) DHCP是一种自动配置协议服务,可在连接时将IP地址分配给网络设备,这对于将设备连接到网络至关重要。每个设备都必须有一个IP地址才能通信。DHCP允许自动配置设备,无需网络管理员干预,并提供一个中央数据库跟踪连接到网络的设备。此外,DHCP可防止两个设备被意外地配置了相同的IP地址。 DHCP和DNS在开放系统互连(OSI)模型的“第7层或应用层”上运行。 ©2022国际云安全联盟大中华区版权所有9 设备 IP地址 DHCP指纹 1.4.2互联网协议地址管理(IPAM) 互联网协议地址管理是企业在私有网