2022软件定义边界架构标准2.0.docx
《2022软件定义边界架构标准2.0.docx》由会员分享,可在线阅读,更多相关《2022软件定义边界架构标准2.0.docx(33页珍藏版)》请在课桌文档上搜索。
1、软件定义边界SDP架构标准2.02022目录1. 介绍91.1 义91.2 范围91.3 读者92. SDP设计102.1 SDP概念112.2 SDP的架构和组件112.3 SDP部署模型142.4 SDP工作流程162.5 IH加载流程示例192.6 单包授权(SPA)2()2.7 组件之间的传输层双向认证222.8 设备校验232.9 软件定义边界SDP与物联网设备242.10 访问策略243. SDP协议263.1 接受主机AH-控制器协议263.2 IH-控制器协议283.3 IH-AH协议313.4 日志34总结37参考文献37附录A:SDP,SDN和NFV39附录B:OSI/SD
2、P组件映射401.介绍软件定义边界(SDP)架构提供了动态灵活的网络安全边界部署能力,以在不安全网络上对应用和服务进行隔离。SDP提供了隔离的、按需的和动态配置的可信逻辑层,缓解来自企业内外部的网络攻击。SDP对未经授权实体进行资产隐藏,建立信任后才允许连接,并通过单独的控制平面和数据平面管理整个系统。企业借助SDP,可以实现零信任安全的目标,并且建立有效性和弹性的安全体系,从而摆脱传统(且基本无效)的基于物理边界防御的模型。1.1意义该规范是对国际云安全联盟CSA的软件定义边界工作组(SDPWG)于2014年4月发布的软件定义边界(SDP)标准规范VL0(以下简称“SDPvl)的升级。尽管初
3、版的规范是完整的,但没有充分讨论组件加载流程、保护NPE非人类实体(Non-PerSonEntities)等方面的问题】。此外,自SDPvl发布以来,SDP架构得到业界广泛认可,并包含在我们现在所说的零信任理念中。相比初版,本次修订版本的SDP标准规范进行了扩展和加强(包含对内容的添加、澄清和延展),并反映了当前最新的零信任行业状态。值得一提的是,该修订版基于SDP工作组发布的SDPVl及后期发布的其他文档进行修订,特别是基于SDP术语表和SDP架构指南。这两个文档的链接在本文的“参考文献章节。1.2范围该标准规范包含了SDP的架构组件、交互流程和基础安全通信协议,重点关注控制平面如何在安全边
4、界内授权安全连接,以及数据平面如何在在发起主机IH和接受主机AH(服务器、设备、服务)之间实现安全连接。1.3读者本标准规范的目标受众是:在企业中部署零信任和SDP产品的解决方案架构师和安全主管在方案中使用SDP架构实施零信任安全理念的供应商和技术提供商1非人类实体(NPE)是一个具有数字身份的实体.在网络空间中行动,但不是人类行为者。这可以包括硬件设备、软件应用和信息制品。2. SDP设计SDP的目标是让企业安全架构师、网络提供商和应用程序所有者能够: 部署动态的“软件定义”边界 隐藏网络和资源 防止非授权访问企业的服务 实施以身份为中心的访问策略模型SDP将物理的安全设备替换为安全逻辑组件
5、,无论组件部署在何处,都在企业的控制之下,从而最大程度地收缩逻辑边界。SDP执行零信任原则,即强制执行最小特权访问、假设被入侵、以及“信任但验证”,仅在认证和身份验证成功后,基于策略来授权对资源的访问。SDP的设计初衷是为IPv4和IPv6网络提供有效且易于集成的安全架构,包括对控制平面组件的保护和访问控制。SDP为跨数据平面通信的机密性和完整性提供保障,还包括一个“需知访问“模型,要在经过设备验证以及身份认证(用户和非人类实体NPE)成功之后才能以加密方式登录到边界网络。SDP的设计理念上提供多个层次的无缝集成-包括用户、用户设备、网络和设备的安全。SDP适用于任何基于IP的基础设施,无论是
6、基于硬件的传统网络、软件定义网络(SDN),还是基于云计算的基础设施。SDP的双向验证隧道实际上是一个加密层,可以部署在任何一种IP网络之上。因此,SDP能将多个异构的环境统一成通用的安全层,从而简化了网络、安全和运维。对于云计算基础设施,SDP在OSl网络模型七层中的五层集成了安全性,即: 网络层:在该层以虚拟化2的方式提供计算、存储和监测。 传输层:在该层云APl将虚拟化资产与资源池和用户联系起来。 会话层:该层用于管理底层虚拟化基础设施。 表示层:该层用中间件来管理应用层和应用。 应用层:为用户提供商业价值。未集成SDP的OSl层是数据链路层和物理层,TCP/IP网络模型将这两层合并为网
7、络层。有关SDP和分层网络模型的更多信息,请参见附录Bo作为SDN和网络功能虚拟化(NFV)的补充,SDP可以保护SDN仓IJ建的基于IP的网络连接。基于过往的反馈以及SDP标准规范1.0实施中的经验教训,本次更新的SDP标准规范2.0将进一步阐明上一版本标准规范中定义的以及SDP架构指南白皮书中阐述的各种部署模型中的访问控制问题3。SDP提供了个显著更好的方法预防、监测和应对那些针对应用程序和基础设施的各种网络2参见关于SDP和网络功能虚拟化(NFV)的论文-https:WwW3https:/cloudsecurityalliance.org/artifacts/sdp-architectu
8、re-guide-v2/攻击及跨域攻击。SDP通过尽可能缩小攻击面、采用最小特权原则实现这一点,即使用户通过不受信任的公共网络(如互联网)访问资源也能得到保护。传统的网络安全解决方案侧重于保护网络和系统的安全,而SDP侧重于以身份为中心保护数字资产。从传统边界防护转变到SDP,使企业能够更加从容地应对DDoS.凭证失窃和对企业资源的勒索软件等攻击。2.1 SDP概念SDP聚焦于保护组织机构的关键资源,而非组织机构的边界。它能够为网络的所有层面定义和执行基于风险的、动态的,以身份为中心的、且上下文感知的访问策略。SDP为定义和执行访问策略提供了基础,这些策略对于业务、应用程序和网络的负责人来说意
9、义重大,尤其在组织机构内第一次实施的时候。SDP能够为应用程序和企业资源所有者提供的边界防护能力有: 可以将服务安全部署到假定被入侵的网络上(即“假定被入侵。 通过不受信任的网络访问企业资源时,可以精细化调整用户身份权限。一个典型的用例是替换VPN。SDP使用由应用负责人控制操作的逻辑组件取代了传统边界防御设备(通常是物理的)SDP通过访问策略进行设备认证和身份验证后,才允许用户对应用程序的访问。SDP背后的原理并非全新的。美国国防部(DoD)和美国情报机构(IC)内的多个组织,已经实施构建了相应的网络架构,即访问网络之前先进行身份验证和授权。通常在机密或“高端网络(如国防部定义的网络)中,所
10、有服务器都隐藏在远程访问网关设备后面,用户必须完成身份验证,才能被授予服务的可见权限并开放访问通道CSDP借鉴了机密网络中使用的逻辑模型,将其合并进入标准工作流程。多年来,相关安全负责人逐步达成了对这些概念的共识,最具代表性的开端就是2004年举办的Jericho论坛。近期,在美国国家标准与技术研究院(NIST)中定义的零信任架构中也包含了这些原则,SDP保留了上述“需知(最小特权)模型的优点,同时克服了必须借助远程访问网关设备的不足。事实上,SDP访问控制设计的初衷是面向所有用户,而不仅仅是远程用户。SDP要求任何终端在获得对受保护的服务器和相关服务的网络访问权之前,首先要进行终端的身份验证
11、和鉴权,然后就在请求系统和应用程序之间实时创建加密连接。概括来说,SDP可以在对相关资源(如用户、设备和服务)完成安全验证后,允许其在一个特定边界中访问所需的服务,这些服务对未经授权的资源保持不可见。2.2 SDP的架构和组件简单来说,SDP由两个逻辑组件构成:SDP主机和SDP控制器。4-参见NIST零信任架构文档-SP800-207https:/CSrC.nist.gov/publications/detail/sp/800-207/finalSDP主机,通常是全栈主机或轻量级服务,可以发起或接受连接。这些动作由SDP控制器管理,通过控制平面上的安全信道交互。数据则通过数据平面中单独的安全
12、信道通信。控制平面与数据平面分离,实现系统架构的灵活性且高度可扩展性。此外,出于规模化或可用性的目的,所有组件均可以做冗余部署。SDP主机(发起主机或接受主机)与SDP控制器进行通信,SDP控制器是一个设备或服务器进程,它确保用户经过身份验证和授权、以及设备得到验证,并建立安全通信,保证网络上的数据流量和控制流量是分离的。BM*SDP”I接受主机SDP的架构由以下组件组成: SDP控制罂一该组件的设计初衷是用于管理所有的身份验证和访问流程。SDP控制器本质上是整个解决方案的“大脑”,负责定义和评估相应访问策略。它充当了零信任架构下的策略决策点(PDP职能)。SDP控制器负责同企业身份验证方(例
13、如,身份提供商IdP,多因子身份验证MFA服务)的通信,统一协调身份验证和授权分发。它是一个中心控制点,用于查看和审计所有被访问策略定义的合法连接。 发起主机(IH)-这类访问实体可以是用户设备或NPE(非人类实体),例如,硬件(如终端用户设备或服务器)、网络设备(用于网络连接)、软件应用程序和服务等。SDP用户可以使用SDP客户端或浏览器来发起SDP连接。 接受主机(AH)-这些实体是逻辑组件,通常被放置在受SDP保护的应用程序、服务和资源的前端。AH充当零信任架构下的策略执行点(PEP职能),PEP通常由具备SDP功能的软件或硬件实现。它根据SDP控制器的指令来执行网络流量是否允许发送到目
14、标服务(可能是应用程序、轻量级服务或资源)。从逻辑上讲,AH可以与目标服务可以部署在一起或者分布在不同网络上。这些SDP组件可以部署在本地或云上,出于扩容或可用性目的可以进行冗余部署。以下我们详细介绍每个组件:1) SDP控制器SDP控制器是一个关于策略的定义、验证和决策的组件(零信任架构中的策略决策点PDP),5httpsClOUdSeCUriyalliance.orgartifactsSofIWare-defined-perimeter-and-zero-trust/第6页其维护的信息包括:哪些身份(如用户和组)可以通过哪些设备访问组织架构中的服务(本地或云中)。它决定了哪些SDP主机可以
15、相互通信。一旦用户(在IH上)连接到控制器,控制器将对该用户进行身份验证,并根据用户的上下文(包括身份和设备属性)判定是否允许其访问被授权的服务(通过AHs)o为了对用户进行身份验证,控制器可以使用内部用户表或者连接到第三方的身份和访问管理(IAM)服务(本地或云中)执行认证,并且可以加上多因子认证(MFA)身份验证方式通常基于不同用户类型和身份。例如,企业员工可以通过身份验证提供商进行身份验证,而外部承包商可以通过存储在数据库中的凭据或使用联合身份进行身份验证。为了对用户访问服务进行授权,控制器可以使用内部的“用户到服务”映射策略模型,或第三方服务:如LDAP、活动目录(AD)或其他授权解决
16、方案(本地或云上的)。授权通常由用户角色和细粒度信息决定:基于用户或设备属性,或者用户被授权访问的实际数据元素/数据流。实际上,SDP控制器所维护的访问控制策略可以由其他组织型的数据结构(如企业服务目录和标识存储)来输入。通过这种方式,SDP控制器实现了NIST定义的零信任原则中的动态零信任策略。此外,控制器可以从外部服务获取信息,例如地理位置信息或主机验证服务,以进一步验证(在IH上的)用户。此外,控制器可以向其他网络组件提供上下文信息,例如有关用户身份验证失败或访问敏感服务的信息。SDP控制器与零信任PDP概念组件密切相关。根据SDP架构的配置需求,它可以部署在云上或本地。SDP控制器由单
17、包授权(SPA)协议的隔离机制保护,使其对未授权的用户和设备不可见和不可达。该机制可以由控制器前端的SDP网关提供,也可以由控制器本身提供。2) SDP发起主机IHSDP的发起主机IHs与SDP控制器通信,以便开启通过AH接受主机来访问受保护的公司资源的过程。控制器通常要求IH在认证阶段提供用户身份、硬件或软件清单以及设备健康状况等信息。控制器还必须为IH提供某种机制(如凭证密钥),以便IH与AH建立安全通信。IH的形式可以是安装在终端用户机器上的客户端程序或Web浏览器。使用客户端程序可以提供更丰富的能力,例如主机检查(设备安全状态检查)、流量路由和更便捷的身份验证。发起主机(IH)最重要的
18、作用之一是使用SPA启动连接,本文稍后将对此进行详细讨论。在某些实现中,SPA报文可能由基于浏览器的SDP客户端生成。IH可以是人类用户的设备(如员工或承包商的计算机或移动设备)、应用程序(如胖客户端)或是物联网(IoT)设备(如远程水表)。在刚刚的最后一个例子(远程水表)中,其身份是一个非人类身份,但还是需要经过身份验证和授权。有关这个话题的更多讨论,请参阅翔微掇钠啊播节。3) SDP接受主机AH接受主机(AH)是SDP策略执行点(PEP),用于隐藏企业资源(或服务)以及实施基于身份的访问控制。AH可以位于本地、私有云、公共云等各种环境中。受AH保护的服务不仅限于Web应用程序;可以是任何基
19、于TCP-或UDP的应用程序,例如SSHsRDP、SFTPSMB或胖客户端访问的专有应用程序。默认情况下,对AH的任何网络访问都被阻止,只有经过身份验证和授权的实体才能访问。接受主机(AH)从SDP控制器接收控制信息,并只接受经过控制器确认的那些发起主机(IH)的连接请求。利用从控制器接收到的控制信息,接受主机(AH)保证只有经过授权的发起主机(IH,包括用户和设备)才能访问到受保护的服务。接受主机(AH)作为安全通信的交换站,从发起主机(IH)接收访问流量然后转发到被保护的后端服务。后端服务的响应信息通过接受主机(AH)返回到发起主机(IH)oSDP是一个面向连接的逻辑层协议,可以用来保护多
20、种网络拓扑架构。下图3介绍了多种SDP部署模型和架构的细节。它们在SDP架构指南一文中有详细的说明,阐述了不同部署模型下各个SDP组件的配置。2.3 SDP部署模型SDP把客户端(包括人类和非人类实体)连接到资源(在下图中资源被描述为服务器)。资源可以是任意类型能被网络访问到的服务。它可以是在物理服务器中或虚拟机中运行的服务,或是在IaaS.PaaS平台上运行的服务或容器化的服务。本节概述了六种SDP部署模型。尽管不同模型使用了不同的网络拓扑,但在逻辑上提供了同样的价值,都是对受保护的资源进行严格的访问限制。要请参阅SDP架构指南6了解这些部署模型的详细情况。6关于完整的描述.请参见CSA软件
21、定义边界架构指南,2019年5月,第14到18页下图中,蓝线表示被双向认证加密协议(如mTLS协议和IKE协议等)保护的网络连接,从而可以抵御中间人攻击(MlTM)。灰线表示使用应用程序原有协议的网络连接,这些连接可能是加密的,也可能是未加密的。在图表中为了表述简单,省略了SDP控制器。其中有部分部署模型用到了SDP网关。SDP网关是SDP接受主机(AH)的软件程序,为受保护的后端服务提供隔离性和访问控制能力。当一个或多个服务器需要被SDP网关保护时,不论底层网络拓扑如何,发起主机(IH)和接受主机(AH,网关)之间的通信连接将会被加密保护。在客户端-网关模型中,网关可以被远程访问,但同时也是
22、隐藏的,从而提供了安全边界。这个模型不需要受保护服务器侧进行任何改造。客户端服务器模服务器客户端HiTLS由SDP保护当一个组织机构需要端到端的安全通信的时候,客户端-服务器模型将服务器和接受主机(AH)绑定在同一个主机上。在这个模型中,服务器隐藏在安全边界内的,服务器端必须要安装一个SDP软件,用来实现客户接受主机(AH)的功能。服务静-服务谎模mTLS由SDP保护服务器服务器-服务器模型下,不论底层网络拓扑如何,可以保证所有服务器之间的通信连接全部经过加密来保护。在这个模型下,服务器都隐藏在安全边界内。客户端-服务器-客户端模型mTLS一一mTLSSDP保护SDP保护客户端服务器客户螃在一
23、些点对点的通信场景中(如VOIP,聊天和视频会议服务等),点对点的流量都通过中间服务器来转发。在这个模型下,服务器隐藏在安全边界内。客户端-网关-客户端模型mTLS-SDPMmTlS一SOPKlPmTLSSDP保护客户网关客户端SDPO1客户端客户端-网关-客户端模型是客户端-服务器-客户端模型的变体。这个模型支持在点对点网络协议下,由一个客户端直接向其他客户端连接的场景中执行访问控制策略。在这个模型下,网关都隐藏在安全边界内。网关-网关模型原有流量(未变 化)在SDP规范1.0中未包含网关网关模型。这个模型很适合用于某些物联网场景。在这个模型下,网关都隐藏在安全边界内。2.4 SDP工作流程
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022 软件 定义 边界 架构 标准 2.0
链接地址:https://www.desk33.com/p-1202564.html