SDP工作组|软件定义边界(SDP)架构指南 ©版权所有2019云安全联盟1 SDP工作组|软件定义边界(SDP)架构指南 ©版权所有2019云安全联盟2 致谢 云安全联盟(CSA)对所有为制定本指南做出贡献和提供支持的人员表示感谢。 主要作者 贡献者 云安全联盟员工 JasonGarbis JuanitaKoilpillai JunaidIslam NyaMurray PreetaRaman MichaelRoza ShamunMahmud AaronPalermo 中文翻译版说明 由中国云安全联盟(C-CSA)秘书处组织CSA大中华区SDP工作组专家对《SDP架构指南》 (SDP_Architecture_Guide)进行翻译。 参与本文档翻译的专家(排名不分先后): 组长:陈本峰(云深互联) 组员:程长高(安全狗)、靳明星(易安联)、李钠(奇安信)、吴涛(华云数据)、余强(中宇万通)、袁初成(缔安科技)、刘德林、刘洪森、孙刚、王贵宗、杨洋、姚凯 关于CSA大中华区SDP工作组: 随着云计算和移动互联网的发展,传统的基于边界防御的企业安全模型已经无法适应需求,取而代之是SoftwareDefinedPerimeter(软件定义边界,即SDP)安全模型。目前,SDP已经在国外逐渐被普遍采用,为了推动SDP在中国企业的应用,并根据本土市场需求制定出更适应中国市场的SDP实践指南,在中国云安全联盟的支持下,CSA大中华区成立SDP工作组。工作组于2019年3月成立,首批参与单位有:阿里云、腾讯云、京东云、奇安信、深信服、绿盟科技、UCloud、顺丰科技、天融信、云深互联、中宇万通、华云数据、三未信安、上元信安、安全狗、易安联、联软科技、上海云盾、缔盟云、缔安科技等三十多家单位。 关于SDP工作组更多的介绍,请点击中国云安全联盟官网https://www.c-csa.cn/ruanjiandingyibianjieSDP.html查看,联盟联系邮箱:info@c-csa.cn。 序言 软件定义边界SoftwareDefinedPerimeter(SDP)是一种具有创新性的网络安全解决方案,这种解决方案又称零信任网络ZeroTrustNetwork(ZTN)。 SDP或ZTN是基于云安全联盟CSA提出的理念,用安全隐身衣取代安全防弹衣保护目标,使攻击者在网络空间中看不到攻击目标而无法攻击,从而使企业或服务商的资源受到保护。 SDP的灵感来源于中央情报局情报社区和美国国防部高度安全网络设计,因此CSA聘请了CIA原CTO为联盟SDP研究工作组组长。ZTN灵感的最早发明者与实践者是美国微软公司,2007年由比尔盖茨在RSA大会发布的微软AnywhereAccess安全战略就是ZTN的实现,微软通过这项技术使公司员工甚至Windows使用者可以在互联网直接访问公司内网,摈弃了传统的网络边界、VPN、Firewall。 本白皮书是CSA贡献给业界的又一篇重磅白皮书,它是SDP规范之后的设计指南与参考架构,适用于企业网络环境、IaaS云环境、IoT车联网环境、BYOD移动互联网环境等,不仅对SDP的优势与价值做了阐述,还给出了具体技术设计指导。 我代表CSA对大中华区参与此项翻译工作的专家们表示由衷的感谢,特别是工作组组长陈本峰投入的大量精力,及CSA志愿工作者们的支持。 李雨航YaleLi CSA云安全联盟大中华区主席 中国云安全与新兴技术安全创新联盟执行理事长 目录 介绍7 目的8 受众目标8 软件定义边界(SDP)简介9 SDP安全优势9 SDP商业优势10 SDP主要功能11 SDP潜在应用领域13 SDP架构15 【客户端-网关】16 【客户端-服务器】17 【服务器-服务器】18 【客户端-服务器-客户端】18 【客户端-网关-客户端】19 【网关到网关】19 SDP部署模式和相应的场景20 SDP连接安全22 单包授权22 SPA的好处22 SPA的局限23 SDP和访问控制23 补充架构24 Forrester的零信任模型24 Google的BeyondCorp模型24 软件定义边界SDP与您的企业26 企业信息安全的元素27 安全信息和事件管理(SIEM)28 传统防火墙29 入侵检测和入侵防御系统(IDS/IPS)31 虚拟专用网(VPNs)31 下一代防火墙(NGFW)32 身份及访问管理(IAM)32 网络准入控制(NAC)解决方案33 终端管理(EMM/MDM/UEM)33 Web应用防火墙(WAF)33 负载均衡34 云访问安全代理(CASB)34 基础设施即服务(IaaS)34 软件即服务(SaaS)34 平台即服务(PaaS)34 治理、风险管理及合规(GRC)35 公钥基础设施(PKI)35 软件定义网络(SDN)35 无服务器计算模型35 架构关注点35 结论36 附录1:参考文献37 附录2:SDP详解38 介绍 SDP方案结合了技术和架构组件,可以比传统的安全工具更高效、更有效地保护网络应用程序和基础架构。 当今的网络安全体系结构、工具和平台无法应对当前安全威胁带来的挑战。无论您是在阅读主流媒体的头条新闻,还是作为网络防御者进行日常工作,或者您是安全供应商,这些潜在安全威胁都可能会影响到您。各种来源的持续攻击会影响商业企业、政府组织、关键基础设施等。 现在是时候让我们信息安全行业拥抱创新的网络安全工具,即软件定义边界(SDP)技术,将其应用于所有的网络层。SDP方案结合了技术和架构组件,已经证明可以比传统的安全工具更好地保护网络应用程序和基础架构。由云安全联盟CSA于2014年4月发布的“SDP规范1.0”概述了SDP技术的基础知识: “SDP背后的原理并非全新。美国国防部(DoD)和美国情报体系(IC)内的多个组织在网络访问之前已经实施了基于认证和授权的类似网络架构。通常用于机密或高端网络(由国防部定义),每台服务器隐藏在远程访问网关设备后面,用户必须先通过该设备身份验证,才能查看授权服务并进行访问。SDP利用分类网络中使用的逻辑模型,并将该模型纳入标准工作流程中。在获得对受保护服务器的网络访问之前,SDP要求端点进行身份验证并首先获得授权。然后在请求系统和应用程序基础架构之间实时创建加密连接。 14” 14https://downloads.cloudsecurityalliance.org/initiatives/sdp/SDP_Specification_1.0.pdf 目的 作为一个安全从业者和解决方案提供商组成的组织,我们对信息安全和网络安全充满热情。我们相信SDP是一个重要的创新解决方案,可以应对我们所有人面临的安全威胁。 自“SDP规范1.0”发布以来,我们作为一个由软件供应商、系统、安全架构师和企业组成的工作组,已经构建并部署了许多符合这些准则的系统。同时,我们了解了很多关于SDP实现的知识-特别是在缺乏原始规范的领域。 通过本指南,我们将帮助企业和从业人员获取有关SDP的信息;展示其可提供的经济和技术效益;并帮助用户在其组织中成功实施SDP。如果实现以下目标,我们将认为此文档是成功的: •提高SDP的市场认知度、可信度和企业采用率 •提高人们对SDP在不同环境中的应用的理解 •提升企业使用SDP解决问题的动机 •使用本文档向内部业务相关者介绍SDP •企业根据本白皮书中的体系结构建议成功部署SDP解决方案。 受众目标 本文中的信息将使考虑或正在组织机构中实施SDP项目的安全性、体系结构和技术网络团队受益。 主要受众包括从事信息安全、企业架构和安全合规角色的专业人员。这些人员主要负责SDP解决方案的评估、设计、部署和运营。 此外,作为解决方案提供商、服务提供商和技术供应商的人员也将从本文提供的信息中获益。 概述 软件定义边界(SDP)简介 SDP旨在利用基于标准且已验证的组件,如数据加密;、远程认证(主机对远程访问进行身份验证)、传输层安全(TLS,一种加密验证客户端信息的方法)、安全断言标记语言(SAML),它依赖于加密和数字签名来保护特定的访问及通过X.509证书公钥验证访问。将这些技术和其它基于标准的技术结合起来,确保SDP与企业现有安全系统可以集成。 自云安全联盟(CSA)首次发布软件定义边界 (SDP)规范以来,CSA已经看到了SDP无论在知名度还是在企业的SDP创新应用方面都取得了巨大的增长。虽然传统的网络安全方法在所有行业中似乎都让IT和安全专业人员感到身心疲惫,但SDP技术使用和兴趣却在不断增加,例如: •五个SDP工作组在其重点领域取得了重大进展,包括用于IaaS的SDP、防DDoS攻击和汽车安全通信。14 •已经有多个供应商处提供多种商业SDP产品,并已在多个企业中被使用。 •针对SDP的防DDoS用例实施了开源(参考 15)。 •已举办四个针对SDP的黑客松,并且攻破成功率保持为零。 •行业分析师报告已开始将SDP纳入研究和演示。 14SDP-for-IaaS:https://cloudsecurityalliance.org/download/sdp-for-iaas/Anti-DDoS:http://www.waverleylabs.com/open-source-sdp/ Software-DefinedPerimeterWorkingGroupInitiatives:https://cloudsecurityalliance.org/group/software-defined-perimeter/#_initiatives 15http://www.waverleylabs.com/open-source-sdp/demo/ SDP安全优势 •SDP通过最小化攻击面来降低安全风险。 •SDP通过分离访问控制和数据信道来保护关键资产和基础架构,使其中的每一个都看起来是“黑”(不可见)的,从而阻止潜在的基于网络的攻击。 •SDP提供了一个集成的安全体系结构,这个体系结构是现有安全产品(如NAC或反恶意软件)难以实现的。SDP集成了以下独立的架构元素: »用户感知的应用程序 »客户端感知的设备 »网络感知的防火墙/网关 •SDP提供了基于连接的安全架构而不是基于IP的替代方案,因为当今IP环境的爆炸式增长和云环境中的边界缺失使得基于IP的安全性变得脆弱。 •SDP允许根据预先审查谁可以连接(从哪些设备、哪些服务、基础设施和其他参数)来控制所有连接。 SDP商业优势 SDP提供了许多业务优势,我们在这里概述这些优势以供您快速参考。我们期待与SDP社区合作,在未来的出版物中对这些益处进行深入的定性和定量检验。 业务领域实施SDP的优势 节省成本及人力 使用SDP替换传统网络安全组件可降低采购和支持成本。 使用SDP部署并实施安全策略可降低操作复杂性,并减少对传统安全工具的依赖。 SDP还可以通过减少或替换MPLS和租用线路利用率来降低成本,因为组织机构可以减少或消除对专用主干网的使用。 SDP可以为组织机构带来效率和简便性,最终有助于减少人力需求。 提高IT运维的灵活性IT流程可能会拖累业务流程。相比之下,SDP的实现可以由IT或IAM事件自动驱动。这些优势加快了IT的速度,使其更快地响应业务和安全需求。 GRC好处 与传统方法相比,SDP降低了风险。SDP可以抑制威胁并减少攻击面,防止基于网络或者应用程序漏洞被利用的攻击。 SDP可以提供并响应GRC系统(例如与SIEM集成),以简化系统和应用程序的合规性活动。 合规范围增加及成本降低 通过集中控制从注册设备上的用户到特定应用程序/服务的连接,SDP可以改进合规性数据收集、报告和审计过程。 SDP可为在线业务提供额外的连接跟踪。 SDP提供的网络微隔离经常用于减少合规范围,这可能会对合规报告工作产生重大影响。 安全迁