您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[CSA GCR]:软件定义边界(SDP)和零信任 - 发现报告
当前位置:首页/行业研究/报告详情/

软件定义边界(SDP)和零信任

信息技术2023-02-22CSA GCRR***
AI智能总结
查看更多
软件定义边界(SDP)和零信任

©2020云安全联盟-版权所有1 软件定义边界(SDP) 和零信任 SDP工作组官网地址:https://www.c-csa.cn/ruanjiandingyibianjieSDP.html https://cloudsecurityalliance.org/software-defined-perimeter/ @2020云安全联盟-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及,或者访问云安全联盟官网(https://cloudsecurityalliance.org)。须遵守以下:(a)本文只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循美国版权法相关条款情况下合理使用本文内容,使用时请注明引用于云安全联盟。 致谢 主要作者: JuanitaKoilpillaiNyaAlisonMurray 贡献者: MichaelRozaMattConranJunaidIslamAdityaBhelkeEitanBremierTinoHirschmannSteveSwift SamHeuchertJohnMarkhRoupeSahans OscarMongeEspanaGerardoDiGiacomoVladimirKlasnya J.Lam ClaraAndress DanMountstephanManojSharma CSA分析师: ShamunMahmud CSA全球员工: AnnMarieUlskey(Design) 中文版翻译说明 由云安全联盟大中华区(CSAGCR)秘书处组织翻译《软件定义边界和零信任》(Software-Defined-Perimeter-and-Zero-Trust),云安全联盟大中华区专家翻译并审校。 翻译审校工作专家:(按字母顺序排序) 组长:陈本峰(云深互联)、郑大义(万物安全) 组员:崔泷跃、高巍、靳明星(易安联)、杨正权(易安联)、姚凯、于乐、余晓光(华为) 在此感谢以上参与该文档的翻译审校工作的专家及工作人员。如译文有不妥当之处,敬请读者联系CSAGCR秘书处给与雅正!联系邮箱:info@c-csa.cn;云安全联盟CSA公众号: 序言 2010年,原Forrester副总裁兼分析师,现PaloAltoNetworkCTO兼CSA大中华区顾问JohnKindervag以“永不信任,始终验证”思想提出零信任模型ZeroTrustModel,零信任概念开始得到业界关注并被广泛认可。2013年,云安全联盟CSA提出SDP(SoftwareDefinedPerimeter)软件定义边界,成为零信任的第一个解决方案,由组长BobFlores(原美国CIA的CTO)和包括CSA大中华区研究院专家在内的CSASDP工作组制定编写并发布了SDPSpec1.0等研究成果并提出零信任的ABCDE原则,在RSA安全大会上CSASDP挑战赛从未被黑客攻破。2019年,美国国家标准与技术研究院NIST主导,并由包括CSA大中华区研究院专家在内的业界众多安全专家参与,制定、编写并发布了NISTSP800-207ZTA零信任架构草案,被全球业界一致认为是零信任架构的标准。NISTZTA属于参考架构,它明确提出企业实现零信任的解决方案包括软件定义边界SDP,增强的身份治理IAM,及微隔离MSG。 本文中,CSA全球SDP工作组和CSA大中华区SDP工作组的多位专家们对SDP如何实现零信任的战略、价值、实施等内容做了原创和翻译,相信对广大的安全专家、CIO、CISO和公司业务高管在考虑企业的零信任落地时会有启示和帮助。 李雨航YaleLiCSA大中华区主席兼研究院院长 目录 致谢3 序言5 引言7 目标9 读者9 零信任网络和SDP9 为什么需要零信任10 零信任解决哪些问题12 实施零信任战略14 零信任解决方案的优势和价值16 安全价值16 商业价值17 SDP零信任战略实施方针和POC概念验证18 技术组件及架构21 技术风险及问题22 假定22 技术分析22 所需资源23 关键产业发展24 交付实施24 现状分析24 相关说明25 引用25 引言 软件定义边界(SoftwareDefinedPerimeter,SDP)是一个能够为OSI七层协议栈提供安全防护的网络安全架构。SDP可实现资产隐藏,并在允许连接到隐藏资产之前使用单个数据包通过单独的控制和数据平面建立信任连接。使用SDP实现的零信任网络使组织能够防御旧攻击方法的新变种,这些新变种攻击方法不断出现在现有的以网络和基础设施边界为中心的网络模型中。企业实施SDP可以改善其所面临的攻击面日益复杂和扩大化的安全困境。 最初,零信任网络(ZTN)概念是由美国国防部(DoD)在2000年代初开发的,同时定义了全球信息网格(GIG)网络运营(NetOps)黑核(BlackCore)路由和寻址架构,这是国防部以网络为中心的服务策略的一部分。随着时间的流逝,此概念在DoD情报和安全社区内演变为当前的ZTN/SDP框架和测试实验1。同时,市场咨询公司Forrestrer开始推广ZTN,指出ZTN是企业安全团队值得考虑的技术。如今,零信任在采用率和范围方面都得到了广泛的进步。 在题为“Zero-Trust-eXtended-ZTX-Ecosystem”的报告中,Forrester分析师观察到网络边界正在变化的规律,这导致了零信任架构很快从“跨位置和托管模型的网络安全隔离”思想中诞生。Forrester断言,当前模型可应对挑战和消除当前安全策略中固有的信任假设的需求。它还指出应考虑使用各种新的基于自适应软件的方法。但是,它并没有为“扩展的生态系统框架”确定新的方向2。 从本质上讲,零信任是一种网络安全概念,其核心思想是组织不应自动信任传统边界内外的任何事物,并旨在捍卫企业资产。实施零信任需要在授予访问权限之前验证所有尝试连接到资产的事物,并在整个连接期间对会话进行持续评估。如图1所示,美国国家标准与技术研究院(NIST)描述了使用“信任边界”。 1https://www.secureworldexpo.com/industry-news/pentagon-zero-trust-security-framework 2https://www.em360tech.com/wp-content/uploads/2019/04/The-Forres- er-Wave%E2%84%A2_-Zero-Trust-eXtended-ZTX-Ecosystem-Providers-Q4-2018-1-1.pdf 图1:来源:NIST,800-207,零信任架构第二版草案https://csrc.nist.gov/publications/detail/sp/800-207/draft 什么是零信任呢?根据Forrester的研究,零信任概念有三个要点: •向网络引入信任的概念,以确保资源永远可以被安全地访问,无论是谁创建流量或流量来自何处,无论在任何位置或者使用何种托管模型,无论是在云上、私有部署、或者混合部署的资源。 •采用最小授权策略(LPS)来实施访问控制,以消除访问禁用资源的人性诱惑。 •持续记录用户流量并分析检查是否存在可疑活动。 什么是SDP?软件定义边界(SDP)是零信任策略的最高级实现方案。云安全联盟CSA已采用并倡导将以下结构应用于网络连接: 图2:SDP架构(来自CSASDP规范1.0) •将建立信任的控制平面与传输实际数据的数据平面分开。 •使用动态全部拒绝(deny-all)防火墙(不是完全deny-all,而是允许例外)来隐藏基础架构(例如,使服务器变“黑”,不可见)-丢弃所有未经授权的数据包并将它们用于记录和分析流量。 •访问受保护的服务之前,通过单包授权(SPA)协议来认证和授权用户以及验证设备。-最小授权在此协议中是自带的。 由于SDP对于底层的基于IP的基础架构是透明的,并且基于该基础架构保证所有连接的安全,而且它可以部署在OSI/TCP/IP传输层协议之前的网络层并在会话层的应用之前,因此它是采用零信任策略的最佳架构。这一点很重要,因为传输层可以为应用程序提供主机到主机的通信服务,而会话层是终端应用程序进程之间打开、关闭和管理会话的机制。两者都有已知的和未发现的弱点,例如TLS漏洞和建立会话时的TCP/IPSYN-ACK攻击。下表将ISO开放系统互连(OSI)模型与Internet工程任务组(IETF)TCP/IP协议相关联。 # OSI层 TCP/IP层 协议数据封装 描述 7 应用层 应用层 数据 网络进程到应用 6 表示层 数据 数据表示和加密 5 会话层 数据 主机间通信 4 传输层 传输层 段 端到端连接和可靠性 3 网络层 网络层 包 路径确定寻址 2 数据链路层 数据访问层 帧 物理寻址 1 物理层 字段 媒介、信号和二进制传输 图3:来源:https://www.iso.org/ics/35.100/x/,https://tools.ietf.org/html/rfc1180 目标 本文将展示如何使用SDP来实现ZTN,以及为什么将SDP应用于网络连接,以及为什么是最先进的ZTN实现。 读者 安全专家、CIO、CISO和其他公司高管正在考虑将“零信任”技术作为有效防御大规模违规行为的防护措施,是本文的目标读者。 零信任网络和SDP 安全行业承认现有的防御机制只能解决部分问题。SDP可以在TCP/IP和TLS之前执行,从而减少了威胁参与者将易受攻击的协议作为攻击向量的可能性。符合CSASDP第一版规范的软件定义边界实现了零信任,可以阻止常见的DDoS、 凭证盗用以及OWASP发布的著名的十大威胁等攻击方法。SDP是已被证明的零信任实践方案,它可以使资产是隐藏不可见的,直到与访问者关联的身份被成功验证并授权。 实际上,“零信任”是位于SDP架构背后的理念。SDP的基本原则是ABCD:“A不假设任何事(Assumenothing),B不相信任何人(Believenobody),C检查所有内容(Checkeverything),D阻止威胁(Defeatthreats)。”尽管SDP零信任被应用在ISOOSI模型的第3层网络层上,但鉴于常见的架构模式(例如访问混合云服务的应用程序),在将零信任网络部署在尽可能接近域边界的位置时必须小心,要确保最佳的性能并防止不必要的服务延迟。 为什么需要零信任 当今的网络安全实施类似于建筑物的墙和门,犯罪分子可能尝试开门撬锁。如今,组织依赖其安全“门锁”,并进行严密监控确保犯罪分子不会闯入。最好是围护数字资产,然后通过威胁阻止未经授权的用户。我们可能想看看谁在敲门,但为了防止恶意行为绝对不要让坏人有可以碰到锁的机会。这就是为什么迫切需要有效的零信任部署的本质所在。此外,众所周知,威胁参与者的主要目标是渗透进网络并横向移动,从而访问具有更高特权凭证的系统。零信任可以防止未经授权用户的隐藏活动,从而将访问限制在授权用户。 下列问题要求快速更改网络安全性的实现方式。a)不断变化的边界 传统范式下,网络边界固定,受信任的内网受负载均衡和防火墙之类的网络设备保护,但这个范式已被虚拟网络取代并且过去的网络协议也被认为不是原生安全的。实际上,许多当前的网络协议(例如IPSec和SSLVPN)都存在已知的漏洞3。此外,大量的移动和物联网设备对传统固定网络中边界网络的本质带来了挑战。 随着云的引入,环境已经发生了变化。除了云之外,BYOD的要求、机器到 机器的连接、远程访问的增加和网络钓鱼攻击的增加都使得传统方法不断受到挑战。企业有许多内部设备,以及各种各样的用户。一个常见的用例是现场承包商必须访问内部和云中的网络资源。混合架构也正在发展,在这种架构中,企业工作站通过云赋能异地客户和合作伙伴处的员工可以共用站点设施。此外,在这些情况下,通过站点到

你可能感兴趣

hot

软件定义边界在IaaS中的应用

信息技术
CSA GCR2023-02-22
hot

软件定义边界架构指南

信息技术
CSA GCR2023-02-22