目前,虚拟专用网络(VPN)是很多公司远程访问的解决方案之一。但是,VPN用户一旦获得授权就可以广泛访问公司网络上的资源。这种广泛访问的方法使潜在的敏感资源和信息暴露给VPN用户和攻击者。因此,围绕软件定义的边界解决方案(SDP)成为安全远程访问的一个更具吸引力的替代方案。

1. SDP简介

虚拟专用网 (VPN) 面世二十多年,为我们提供了加密的安全通信信道与数据传输渠道。虽然 VPN 类型很多,比如常见的 SSL VPN 和 IPSec,但无论实现方式如何,其基本理念都是一样的:创建安全 IP 传输隧道,以加密访问的方式保障数据安全。

构建并部署 VPN 的基本前提就是存在企业边界,表面上受到 IDS/IPS 和防火墙等边界安全设备保护。远程用户或商业合作伙伴可通过 VPN 隧道穿透企业网络边界,访问企业内部资源,即使不在企业内部也能享有本地访问权限。

然而,现代 IT 企业的现实是边界已不复存在,员工、承包商和合作伙伴遍布全世界,在本地、远程和云端完成作业。这就是促使 SDP 诞生的环境及其将要解决的问题。

软件定义边界 (SDP) 的概念相对较新,出现于 2013 年,最初受云安全联盟 (CSA) 指导。SDP 模型没有默认信任假设,不会因为采用了传输层安全 (TLS) 就认为加密隧道是安全的,所以很多供应商在与 SDP 相关的产品上采用了 “零信任” 这一术语。

2. SDP设计目标

  1. 对设备进行身份认证和验证
  2. 对用户进行身份验证和授权
  3. 确保双向加密通信
  4. 动态提供连接
  5. 控制用户与服务之间连接,同时隐藏这些连接

3. SDP架构

SDP的安全模型融合了设备身份验证、基于身份的访问和动态配置连接三大组件,虽然SDP中的安全组件都很常见,但这三者的集成却是相当创新的。

3.1 SDP组件

SDP架构
SDP架构主要包括三大组件:

  • SDP控制器(SDP Controler)
  • SDP连接发起主机(IH,Initial host)
  • SDP连接接受主机(AH,Accept host)

SDP主机可以发起连接也可以接受连接,IH和AH会直接连接到SDP控制器,通过控制器与安全控制信道的交互来管理。该结构使得控制层能够与数据层保持分离,以便实现完全可扩展的安全系统。

3.2 SDP工作流程

  1. 在 SDP 中添加并激活一个或多个【SDP 控制器】并连接到身份验证和授权服务,例如 AM、 PKI 服务、设备验证、地理位置、SAML、 OpenID、OAuth、LDAP、Kerberos、多因子身份验证、身份联盟和其他类似的服务。
  2. 在 SDP 中添加并激活一个或多个 AH。它们以安全的方式连接控制器并进行验证。 AH不响应来自任何其他主机的通信,也不会响应任何未许可的请求。
  3. 每个 IH 会在 SDP 中添加和激活,并与【SDP 控制器】连接并进行身份验证。
  4. IH 被验证之后,【SDP 控制器】确定 IH 被授 权可以连接的 AH 列表。
  5. 【SDP 控制器】指示 AH 接受来自 IH 的通信, 并启动加密通信所需的任何可选策略。
  6. 【SDP 控制器】为 IH 提供 AH 列表,以及加密通信所需的任何可选策略。
  7. IH 向每个授权的 AH 发起 SPA(SPA,单包授权,使未授权的用户和设备无法感知或访问)。然后 IH 和这 些 AH 创建双向加密连接(例如,双向验证 TLS 或 mTLS)。
  8. IH 通过 AH 并使用双向加密的数据信道与目标系统通信。

3.3 SPA单数据包授权技术

单数据包授权技术(SPA)是SDP框架中极为重要的一项技术。

SPA作用于SDP客户端与SDP网关之间,以实现强大的服务隐蔽性。有了SPA技术,才能够实现SDP中的资产隐藏功能。所谓的资产隐藏功能,就是未经过身份验证的SDP客户端无法“看见”敏感资产,既然看不见就更谈不上访问请求了。

SPA会根据内置算法生成一个单数据包,在经过加密分组等等一些手段发送到SDP网关之上,若是这个数据包通过了SDP网关的验证,这样才会同意与SDP客户端建立连接。除此之外SDP网关都直接将该数据包丢弃,让其他终端无法确认对方是否存在。

有了SPA,在SDP网络中,你无法“看到”除SDP控制器之外的任何其他资产(终端/端口等等)。

4. 商业解决方案

目前市场中有很多商业和开源解决方案提供SDP功能。

  • Vidder和CryptZone有推向市场的SDP解决方案。
  • 一些网络软件产品中也提供SDP中的关键元素,例如Cisco ACI(以及类似的开源项目),VMware NSX,Nuage VSP。
  • 谷歌已经发布了BeyondCorp来分享这些概念。
  • Cisco,HPE,Juniper提供的NAC解决方案也提供类似SDP的解决方案。

5. 参考

SDP(软件定义边界)让SDN更安全,你的对面可不能是一条狗!

Logo
亚马逊云科技技术品牌专区

更多推荐

STM32节点移植lorawan协议连接腾讯云物联网开发平台(IoT Explorer)

STM32移植lorawan协议连接腾讯云物联网开发平台(IoT Explorer)前言前言在移植协议之前,先给大家科普一下Lora 和 lorawan 的区别。LoRa 是LPWAN通信技术中的一种,是美国Semtech公司采用和推广的一种基于扩频技术的超远距离无线传输方案。这一方案改变了以往关于传输距离与功耗的折衷考虑方式为用户提供一种简单的能实现远距离、长电池寿命、大容量的系统,进而扩...

avatar 亚马逊云科技技术品牌专区
cover

物联网主机E6000引领工业自动化的新篇章

avatar 亚马逊云科技技术品牌专区

搞 IoT 物联网,你居然要懂这么多种协议...

物联网协议是指在物联网环境中用于设备间通信和数据传输的协议。根据不同的作用,物联网协议可分为传输协议、通信协议和行业协议。传输协议:一般负责子网内设备间的组网及通信。例如 Wi-Fi、Ethernet、NFC、 Zigbee、Bluetooth、GPRS、3G/4G/5G等。这些协议能够确保在网络上传输的数据的安全性和可靠性。通讯协议:主要是运行在传统互联网TCP/IP协议之上的设备通讯协议,负责

avatar 亚马逊云科技技术品牌专区