解读 | CSA 软件定义边界(SDP)标准规范 2.0 VS 1.0

最新推荐文章于 2022-10-03 11:23:12 发布
最新推荐文章于 2022-10-03 11:23:12 发布
阅读量3.5k 收藏 7
点赞数 2
分类专栏: SDP 干货 文章标签: 网络 安全 安全架构 CSA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CCSA2018/article/details/125313463
版权
干货 同时被 2 个专栏收录
25 篇文章 0 订阅
订阅专栏
SDP
3 篇文章 0 订阅
订阅专栏

关注微信公众号,回复关键词“SDP标准”

即可阅读下载白皮书

2013年,国际云安全联盟CSA率先提出基于零信任理念的新一代网络安全模型—软件定义边界SDP,并于2014年发布了SDP首个标准规范。

2022年4月,CSA重磅发布《软件定义边界(SDP)标准规范2.0》。与1.0版本相比,SDP标准2.0主要更新:

  • SDP概念及其与零信任的关系
  • SDP架构及部署模型细化
  • 加载和访问流程
  • 新的SPA消息格式
  • SDP通信协议的安全改进
  • 对于物联网设备的支持

1、SDP概念及其与零信任的关系

1) SDP概念

SDP软件定义边界,聚焦于保护企业的关键资源,而不是边界。通过逻辑动态控制,取代传统物理边界防御设备。企业为了保护关键资源的安全,可以进行访问策略的定义,策略可以作用于网络的所有层面,基于风险的、动态的,以身份为中心的、上下文感知的访问策略,进行访问控制和处置。访问策略是站在更高的视角,更全面的维度,而非单一的策略。

SDP设计理念,支持多层无缝集成,能将多个异构的环境统一成通用的安全层,简化安全、网络、运维 ,实现全方位、高效、深入、灵活的保障应用、网络、用户、数据安全。

2) SDP与零信任的关系

SDP借鉴了机密网络中使用的零信任模型,将其并入标准工作流程。

SDP初衷是面向所有用户,而不仅仅是远程用户

访问网络之前,先进行身份和授权。
所有的服务器隐藏在远程访问网关设备后。
用户必须完成身份认证,才能被授予服务的可见权限并开放访问通道。并进行通道加密。
最小授权原则
近期,美国国家标准与技术研究院(NIST)中定义的零信任架构也包含这些原则。SDP保留了最小特权模型的有点,同时克服了必须借助远程访问网关设备的不足。SDP可以完成验证后(用户、设备、服务),允许在一个特定边界中访问所需服务。这些服务对未授权的资源保持不可见。

2、SDP架构及部署模型细化

1) SDP架构

SDP架构主要包括三大部分:控制器+发起主机(IH)+接受主机(AH)
在这里插入图片描述

在SDP标准2.0版本,明确了AH与服务器之间的关系。如下图案例所示:AH与服务可部署在一起,也可以分布在不同的网络中。

在这里插入图片描述

2) 六种SDP部署模型

在SDP标准2.0,提出了六种SDP部署模型,其中模型5、6为本次SDP2.0协议中新增的部署模型。

在这里插入图片描述
在这里插入图片描述

3、加载和访问流程

在SDP 标准2.0,新增了SDP组件工作流程,主要包括:加载和访问。

1) 控制器加载流程

每个SDP系统,可能有1个或多个控制器组成,至少必须保证有一个控制器随时可用。控制器必须可以从其他组件的运行位置进行网络访问。对于获得授权的用户/设备网络可达。
在这里插入图片描述

2) AH加载流程

根据实际业务情况,AH在线时间可长可短。与受保护的服务器生命周期同步。AH投入使用时,必须连接到控制器做认证,加载成功后,就可以接受SPA报文,并处理来自IH的访问。
在这里插入图片描述

3) IH加载流程

IH只需要加载一次,之后就可以启动访问流程。
在这里插入图片描述

4) 访问流程

在这里插入图片描述
在这里插入图片描述

4、新的SPA消息格式

SDP 标准2.0里面说明了SPA的重要性及原理,对SPA的格式做了改进和更新,SPA 2.0的消息格式更安全和更易扩展

1)SPA在SDP中实现的主要原则如下:

隐藏SDP组件:提供可信的SPA报文前,不对任何连接做反应,可配置默认丢弃的防火墙策略。

减轻对TLS的拒绝服务攻击:对于HTTPS协议,建立TCP、TLS连接的开销之前,拒绝所有未授权的连接。

攻击检测:AH收到任何非SPA报文,被视为攻击。

2)SPA不仅作为网络隐身协议,还可以作为数据传输协议

通过研究SPA方案和协议,发现SPA不仅作为网络隐身协议,还可以作为数据传输协议。SPA协议里消息内容字段,可以用来传输数据,这样就无须建立TCP或TLS连接。比如,可以应用于定期传输少量数据的物联网传感器设备。数据嵌入在SPA报文中,即可节省开销进行数据传输。
在这里插入图片描述

5、SDP通信协议的安全改进

在SDP1.0标准中,首先要进行TCP连接,再进行SPA敲门,如此一来会导致端口暴露,从而增加安全风险;而在SDP2.0标准中,将SPA流程放在了第一步进行。

在这里插入图片描述

接受主机AH与控制器通信
在这里插入图片描述

发起主机IH与控制器通信

IH连接到一个AH,接着把数据送到一个服务

6、对于物联网设备的支持

SDP标准2.0增加了物联网场景,随着物联网时代的发展,终端的种类和数量不断增长,对应的安全防护能力发展滞后,也面临着无人值守等风险,任何一个终端被恶意利用,都会导致整个物联网系统的安全坍塌。同时由于物联网终端的多样化,并且和应用高度融合,给物联网带来安全的不确定性,给物联网的发展带来挑战。未来SDP将更好的适应物联网场景,推出轻量级终端的SDP。

7、总结

SDP 是一种有效的零信任实现方案SDP2.0将促进企业采用零信任范式来保护其应用程序、网络、用户和数据的安全。这一点变得至关重要,因为企业正在向云计算的迁移以及威胁形势正在不断加剧。

此外,SDP 已被证明可以保障企业的IaaS平台、网络功能虚拟化(NFV)、软件定义网络(SDN)和物联网IoT应用程序的安全。

我们看到了行业对零信任理念的热情拥抱以及越来越高的采用率。同时,市场上对于SDP的解决方案的兴趣和部署实施也相应增长。

云安全联盟大中华区
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
软件定义边界SDP)简介
姜宁的博客
02-14 1万+
软件定义边界SDP),也被称为“黑云(Black Cloud)”,是一种新的计算机安全方法,它是由2007年左右DISA在全球信息网格(GIG)网络倡议下所做的工作内容演变而来,后来被云安全联盟(Cloud security Alliance)采纳并用于联盟成员。 SDP要求在获得对受保护服务器的网络访问之前,先对端点进行身份验证和授权。然后,在请求系统和应用程序基础设施之间实时创建加密连接。...
SDP_Specification_2.0.pdf
10-30
软件定义边界 SDP 零信任 标准规范2.0 英文版 草案版本
信息安全-零信任技术-SDP是什么,SDP可以防御哪些安全威胁
码者人生的技术博客
10-03 6472
零信任 SDP 为用户提供独特的固定身份和微隔离访问,仅供访问所需的资源,如此一来,被感染设备对整个网络产生的影响就非常有限了。幸运的是,名为软件定义边界 (SDP) 的远程访问新范式采用零信任方法,以基于身份的细粒度访问代替广泛的网络接入,提供重要 IT 资源访问。从不掉线的软件定义边界在应用层守护网关安全,把守通往云基础设施及其相互之间的交通要道,构筑健壮的安全框架。名为软件定义边界 (SDP) 的远程访问新范式采用零信任方法,以基于身份的细粒度访问代替广泛的网络接入,提供重要 IT 资源访问。
理解SDP软件定义边界--概念、架构、流程
网络安全研究
03-09 4491
目前,虚拟专用网络(VPN)是很多公司远程访问的解决方案之一。但是,VPN用户一旦获得授权就可以广泛访问公司网络上的资源。这种广泛访问的方法使潜在的敏感资源和信息暴露给VPN用户和攻击者。因此,围绕软件定义边界解决方案(SDP)成为安全远程访问的一个更具吸引力的替代方案。
SDP架构初探
weixin_43047908的博客
12-22 2271
目录SDP简介SDP架构SDP部署模型SPA连接 实现零信任的框架主要有SDP和Google Beyondcorp模型,前者出现在乙方的安全解决方案中,后者多作为甲方落地零信任的参考。 SDP简介 SDP是Software Defined Perimeter的缩写,全称是软件定义边界软件定义边界SDP)是由云安全联盟(CSA)开发的一种安全框架,它根据身份控制对资源的访问。该框架基于美国国防部的“need to know”模型——每个终端在连接服务器前必须进行验证,确保每台设备都是被允许接入的。其核心
SDP实现等保2.0合规技术指南 白皮书 SDN相关.pdf
12-23
SDP 在等保中的技术指南
软件定义边界(SDP)标准规范2.0》.pdf《软件定义边界(SDP)标准规范2.0》.pdf
05-18
零信任 软件定义边界(SDP)标准规范2.0 对零信任sdp架构进行了详细说明
软件定义边界SDP标准规范2.0(试读本).pdf
09-16
软件定义边界SDP标准规范2.0 软件定义边界SDP)是一种新的网络安全架构,它通过使用基于软件边界来保护网络和应用程序免受攻击。SDP 规范2.0是 Cloud Security Alliance 颁布的最新规范,旨在提供一个统一...
软件定义边界SDP实现等保2.0合规技术指南.zip
02-25
安全联盟提出的 SDP 软件定义边界是实施零信任安全架构的解决方案, SDP将基于传统静态边界的被动防御转化为基于动态边界的主动防御,与等保 2.0 的防御思路非常吻合,成为满足等保 2.0 合规要求的优选解决方案。...
全维度软件定义边界SDP)资料汇编-专家级.zip
05-22
超值合集,全维度市场一线安全厂商技术调研、资料收集与竞品分析资料:含软件定义边界SDP标准规范、技术指南、安全方案、白皮书、场景化解决方案、最佳实践、竞品分析、等保2.0实现等等
SDP Specification v1.0
11-13
This document outlines a Cloud Security Alliance (CSA) initiated protocol for the Software Defined Perimeter specification, and requests discussion and suggestions for improvements.
零信任安全软件定义边界.docx
04-14
零信任安全(zero trust security) 零信任安全是一种IT安全模型。零信任安全要求对所有位于网络外部或网络内部的人和设备,在访问专用网络资源时,必须进行严格的身份验证。零信任安全需要通过多种网络安全技术实现。
SDP标准规范1.0.pdf
03-12
SDP标准规范1.0
SDP详细介绍与GB28181的SDP规定
weixin_44220298的博客
11-17 4667
参考: sdp文件详细总结 原文链接:https://blog.csdn.net/zhangjikuan/article/details/27367437 1 SDP 会话描述协议,Session Description Protocal SDP包括以下一些方面: (1)会话的名称和目的 (2)会话存活时间 (3)包含在会话中的媒体信息,包括: 媒体类型(video,audio, etc) 传输协议(RTP/UDP/IP,H.320, etc) 媒体格式(H.261video, MPEG video, et
蓝牙核心技术概述(四):蓝牙协议规范(HCI、L2CAP、SDP、RFOCMM)
热门推荐
CLK
07-30 10万+
关键词:蓝牙核心技术协议  HCI  L2CAP SDP RFCOMM作者:xubin341719(欢迎转载,请注明作者,请尊重版权,谢谢!)欢迎指正错误,共同学习、共同进步!!下载链接:Bluetooth PROFILE SPECIFICATIONS (基本涵盖所有蓝牙协议)、buletooth core 2.1-4.0 SPECIFICATION(三蓝牙版本的核心协议v2.1\v3.0\v4.
sdp白皮书-sdp标准规范文档2.0
最新发布
07-15
SDP白皮书-Sdp标准规范文档2.0是一个关于软件定义网络(Software-Defined Networking,SDN)的文档。SDN是一种新型的网络架构,通过将网络控制平面与数据平面分离,实现对网络的灵活控制和管理。 SDP白皮书-Sdp标准...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值