1 软件定义边界 在IaaS中的应用 由SDP工作组提交 ©2016云安全联盟-版权所有保留所有权利。 您可以在电脑和手机等终端下载、存储、显示本报告,以及链接到云安全联盟官方网站上 (HTTPS://cloudsecurityalliance.org/download/international-standardization-council-policies-procedures)查看并打印本报告,但必须遵从如下条款: (a)本报告可单独用于个人、获取信息为目的,非商业盈利使用; (b)本报告不能以任何方式被改变或修正后再转发; (c)本报告不允许在未被授权情况下大量分发或转发; (d)商标、著作权或者其他条款不得删除。根据《美国版权法》合理使用条款,您可引用所允许的部分报告内容,但必须将引用部分注明来源于《国际标准化理事会政策与程序》。 致谢 在此,我们由衷地感谢所有为《软件定义边界在IaaS中的应用》提供意见和反馈的个人,您的贡献对这份报告带来了更多的价值和意义。 谢谢您们! 主要作者: JasonGarbisPuneetThapliyal SDP联合主席: BobFloresJunaidIslam 编辑: JohnYeoh 共同审稿人:BrentBilgerVinceCampitelliMatthewCarterAradhnaChetalGeraldGreerKevinFletcherJeffHuegelScottKennedy JuanitaKoilpillaiDanLogan NyaMurrayElamurianRVijayRangayyanJohnReel RezaRezaColinRobbins PuneetThapliyalYoshioTurnerFlavioVillanustreManishYadav ErkkiYli-JuutiXingZhang 设计者: StephenLumpe(封面设计者)KendallScoboria 中文版翻译说明: 由中国云安全联盟(C-CSA)秘书处组织翻译《软件定义边界在IaaS中的应用》(SoftwareDefinedPerimeterforInfrastructureasaService),中国云安全联盟专家委员会专家翻译并审校。 翻译审校工作专家:(按字母顺序排列)组长:陈本峰 组员:于新宇、马韶华、姚凯、沈传宝、方伟、莫展鹏 C-CSA工作人员: 朱晓璐(C-CSA研究助理) SDP工作组|软件定义边界在IaaS中的应用4 ©2017云安全联盟–版权所有 目录 致谢3 序言7 目标8 方法和范围9 执行摘要10 软件定义边界和云安全联盟提出的十二大安全威胁11 IaaS安全概述13 技术原理14 IaaS参考架构14 为什么IaaS安全性不同?15 位置是另外一个属性15 唯一不变的是变化15 IP地址难题15 安全要求和传统安全工具16 跳板机:三思而后行19 为什么是SDP而不是VPN20 虚拟桌面基础设施(VDI)21 SDP怎么解决这个问题?21 什么是软件定义边界(SDP)?22 基于用户而不仅仅是IP地址的策略23 SDP的优势23 运维效率23 简化的合规性工作23 降低成本23 SDP作为变革的催化剂24 SDP、身份及访问管理24 IaaS使用场景26 用例:开发人员安全访问IaaS环境26 不使用SDP的访问26 使用SDP的访问27 总结29 用例:保障业务人员访问内部企业应用系统的安全30 不使用SDP的访问30 使用SDP的访问31 总结36 使用场景:安全的管理面向公众的服务36 使用场景:当新服务实例创建时更新用户访问权限38 使用SDP接入39 总结41 使用场景:对于服务提供商的硬件管理平台访问42 SDP工作组|软件定义边界在IaaS中的应用5 ©2017云安全联盟–版权所有 总结:45 使用场景:通过多企业账号控制访问45 总结:45 增强SDP规范的建议46 混合云以及多云的环境47 替代计算模型和SDP48 容器和SDP49 结论与下一步计划50 SDP工作组|软件定义边界在IaaS中的应用6 ©2017云安全联盟–版权所有 序言 随着数字化及云服务的普及,企业对网络安全产品及解决方案的需求与日俱增。软件定义边界 (SoftwareDefinedPerimeter,SDP)作为新一代网络安全解决理念,最早由云安全联盟(CSA)于2013年提出,其整个中心思想是通过软件的方式,在移动+云时代,构建起一个虚拟的企业边界,利用基于身份的访问控制,来应对边界模糊化带来的控制粒度粗、有效性差问题,以此达到保护企业数据安全的目的。 2017年2月,CSA正式发布《SoftwareDefinedPerimeterforInfrastructureasaService》白皮书。该白皮书全面介绍了当前IaaS面临的安全挑战,为什么SDP可以改变IaaS安全现状,以及SDP在IaaS中的应用场景,从而为企业了解云安全问题及如何解决问题提供了有价值的参考。中国云安全与新兴技术安全创新联盟(简称:中国云安全联盟)特组织业界专家将该白皮书翻译为中文版本,相信一定会有助于更多的中国企业和IaaS公司从中获益。 中国云安全联盟和云安全联盟大中华区非常感谢翻译和支持工作者们和中国云安全联盟专家委员会专家们的无私贡献。 中国云安全与新兴技术安全创新联盟常务副理事长 CSA云安全联盟大中华区主席 李雨航YaleLi SDP工作组|软件定义边界在IaaS中的应用7 ©2017云安全联盟–版权所有 目标 软件定义边界(SDP)的应用正在迅速普及,1其有效性在许多企业和案例中得到了广泛的验证。如今,随着越来越多的企业战略性地拥抱云计算IaaS平台,并且迫切需要云上资源的安全访问。我们相信,致力于保护云上资源的安全架构——SDP的时机已经到来。 本报告旨在探索和解释软件定义边界(SDP)部署于IaaS时,对提高安全性、合规性和运维效率的相关优势。通过本报告,读者能够清楚认识到企业IaaS所面临的安全挑战(基于共享责任模型),原有的IaaS访问控制与传统网络安全工具结合产生的安全问题,以及软件定义边界在各种场景中的解决之道。 1Gartner预测,到2017年底,使用SDP来保护网络服务的企业将从1%增加到10%,而2021,60%的企业将用SDP解决方案取代VPN。(Gartner, 《迎接新时代:隔离互联网污染环境与你的网络服务》,发布于2016年9月30日。)市场和市场预测未来5年的年复合增长率为34% (http://www.marketsandmarkets.com/PressReleases/software-defined-perimeter.asp)。其他分析师如ESG也预测增长:http://www.networkworld.com/article/3141930/security/goodbye-nac-hello-software-defined-perimeter-sdp.html 方法和范围 •本报告内容主要是基于公有云的IaaS产品,例如AmazonWebServices、MicrosoftAzure、GoogleComputeEngine和RackspacePublicCloud。其相关用例和方法同样适用于私有化部署的IaaS,如基于VMware或OpenStack的私有云。 •不管是按照SDP规范实现商业化的厂商,还是没有严格按照V1标准进行产品开发的厂商,在构建产品的过程中,都有各自不同的架构、方法和能力。在本报告中,我们对产商保持中立,并且避免头轮产商相关的能力。如果有因为产商能力产生的差异化案例,我们会使用“也许、典型的、通常”等词汇来解释这些差异,以不牺牲报告的可读性。 •由于大多数公有云IaaS提供商目前只支持IPv4,因此我们所讨论的内容在一定程度上有所束缚。不过,随着IPv6的应用在未来普及,在下一版本的报告中,我们将进一步完善相关内容。 •与核心SDP规范相一致,我们专注用户到服务(user-to-service)的访问控制(南北方向)。服务器到服务器Server-to-Server(也称为东西方向)通信不在本报告的范围之内(为响应市场发展趋势,在核心SDP规范和本报告的未来修订中,我们将会解决这一问题2)。服务器到服务器是核心规范V1中所提到的一个支持模型,但目前,该模型还未像用户到服务模型那样被高度采用。 •高可用性和负载均衡不在本报告讨论范围之内。 •SDP策略模型不在本报告讨论范围之内。报告中讨论的SDP用例和方法也可以适用于平台即服务的系统PaaS,这取决于它们如何支持和管理网络访问控制3。 在撰写这份文件时,我们努力做到内容聚焦。我们考虑了很多值得探讨的话题,但这些话题要么更适合包含在整个V2规范中,要么我们认为与本报告无关。请参阅“增强SDP规范的建议”部分,这些建议提及到V2规范的相关重点,比IaaS有更广泛的适用性,其非常重要。 虽然我们避开了这些话题,但该报告的内容仍超过了目标页数,不过我们相信,在平衡内容长度和范围方面我们做出了正确的选择。该报告也将为我们下一次内容的修订提供了良好的基础。 2注意,在IaaS环境中,实际上,在某些情况下,与内网环境相比,IAAS网络安全组更容易控制东西方向流量,因为IAAS网络安全组默认地拒绝跨服务器流量,这必须明确启用。 3例如,如果PAAS系统支持源IP地址限制,则它可以被配置为只接受来自SDP网关的访问,这样可以让SDP策略来控制用户访问。 执行摘要 如今,IT和安全管理者已深刻认识到,企业和云提供商有共同的责任共同面对IaaS安全挑战。IaaS与传统的内网相比,有着不同的(并且在某些方面更具挑战)用户访问需求和安全需求,然而,这些需求并不能完全由传统安全工具或者IaaS供应商提供的安全架构来满足。 例如,企业往往需要对用户访问网络资源进行一定程度的限制,但传统的网络访问控制 (NAC)和虚拟局域网(VLAN)解决方案在IaaS环境中并不适用,因为它是多租户、虚拟化的网络基础设施。另一个例子:在IaaS环境中,所有用户都需要对云资源进行“远程访问”,最成熟的手段无它,只有VPN。但是,随着当今移动办公、跨公司协作或动态云环境等场景广泛存在企业当中,VPN通过管理IP地址和端口的访问控制并不适用。企业越来越需要以用户为中心建立安全和访问模型。 使用软件定义边界(SDP)架构,企业用户可以安全地访问他们的IaaS资源,且不妨碍业务用户或IT生产力。事实上,当正确部署时,SDP可以成为改变网络安全在整个企业中实践的催化剂——无论是在内网还是公有云的环境。有了SDP,企业可以有一个集中管控并且策略驱动的网络安全平台,覆盖他们的整个基础设施(无论是在内网还是公有云环境)和他们的整个用户群体,这是一个引人注目的愿景。事实上,SDP也正在实现这一愿景。目前,世界各地的许多企业组织都在使用SDP来增强他们的网络安全,减少网络攻击面,增加业务和IT人员的生产力,并减少他们的合规负担——同时节省资金。 •本研究的重点是如何将SDP部署于(IaaS)基础设施的环境中,重点为以下用例: •开发人员安全访问IaaS环境 •业务用户安全访问内部公司应用服务 •管理员安全访问公共对外服务 •在创建新服务器实例时更新用户的访问权限 •服务提供商的硬件管理后台访问 •多企业帐户访问控制 此外,本研究报告还解释了为什么传统的网络安全方法不适用于IaaS环境,以及SDP部署在混合环境中的价值。 软件定义边界和云安全联盟提出的十二大安全威胁 云安全联盟公布了一个值得关注的网络安全威胁的报告,以此帮助企业对云计算的采用做出明智的风险管理决策。该报告反映了安全专家在CSA社区中就最重要的云上的安全问题所达成的一致意见:SDP可有效减少受攻击面,缓解或者彻底消除安全报告中