软件定义周界(SDP)工作组发布了修订版的SDP规范,旨在为组织提供一种动态部署网络安全周界功能的方法,以应对基于网络的攻击。该规范的更新旨在增强零信任安全原则的采纳,通过动态配置和信任建立机制,提供可信赖的网络隔离覆盖,确保资源的安全访问。
主要更新和重点:
-
架构组件与交互:SDP架构由SDP控制器、启动主机(或接受主机)构成,控制器管理身份验证和访问流,启动主机则负责连接或接受连接,两者通过安全通道在控制平面交互,而数据在数据平面中传输,实现控制平面与数据平面的分离。
-
核心功能与应用:SDP的核心能力在于通过加密技术将资源签名到外围,从而在隐藏服务的同时提供安全连接。它适用于各种IP基础设施,包括传统硬件、软件定义网络(SDN)和云计算环境。
-
部署模型:SDP支持多种部署模型,包括客户端至服务器、客户端至网关、客户端至客户端等,以及网关至网关和服务器至服务器连接,以适应不同的网络拓扑需求。
-
体系结构与组件:SDP控制器作为策略定义、验证和决策中心,负责管理访问策略、认证用户、授权访问,并在必要时提供上下文信息给其他网络组件。启动主机(如用户设备或服务)与控制器交互以开始访问受保护资源的过程。接受主机作为被保护的服务或应用程序,负责接收并处理来自控制器的规则和策略。
-
工作流与入职流程:SDP工作流涉及控制器与可选身份验证服务的连接、控制器与接受主机的初始化连接、以及用户(或非人类实体)的认证过程。入职流程包括设备证明、身份验证和授权,确保只有经过认证的用户和设备才能访问资源。
-
零信任原则:SDP遵循零信任原则,强调动态访问控制,要求所有连接和访问都基于最小权限和实时验证,以减少潜在的安全风险。
总体目标:通过此次更新,SDP规范旨在提升网络安全性,特别是在零信任环境中,通过动态部署和严格控制访问策略,增强组织对内外部威胁的抵御能力,确保关键资源的安全访问。