软件定义边界(Software-Defined Perimeter,SDP)是由云安全联盟(CSA)于2013年提出的一种以身份为中心实施对资源访问控制的安全框架,是零信任模型的一种实现方式。
该框架基于美国国防部的“Need-to-Know”模型,每个终端在连接服务器前必须进行验证,确保每台设备都是被允许接入的。其核心思想是通过SDP架构隐藏核心网络资产与设施,使之不直接暴露在互联网下,使得网络资产与设施免受外来安全威胁。
SDP安全模型由3大组件构成,分别是:
-
SDP Client,即:SDP客户端软件
-
SDP Gateway,即:SDP业务代理网关
-
SDP Controller,即:SDP控制中心
3大组件构成控制平面和数据平面两个平面。SDP客户端和SDP网关之间的连接通过SDP Controller与安全控制信道的交互来管理。该结构使得控制平面能够与数据平面保持分离,以便实现完全可扩展的安全系统。
SDP的核心是使用单包授权技术(SPA,Single-Packet Authorization )实现业务系统的隐藏,并使用类似“IP白名单”的访问控制模式,阻止未经认证授权的客户端对业务资源的访问。
SDP建立连接过程,摘自《软件定义边界(SDP)标准规范2.0》
单包授权技术的工作流程大致是:
a. 终端发送SPA包到网关,请求TCP连接;
b. 如果网关判断SPA合法有效(向Controller进行验证),则允许访问源IP建立TCP连接,随后进行建立mTLS连接所需的双向身份认证;
c. 终端发起带有独特服务标识的服务连接请求到网关;
d. 网关代替客户端与业务服务建立连接;
e. 网关告知客户端连接请求是否成功;
f. 客户端通过网关与业务服务进行数据消息转发,即正常的业务访问;
g. 由客户端或者网关发送给对方服务关闭消息,将连接关闭,完成业务访问过程。
信域与SDP的相同点
-
都采用了软件定义网络(SDN)思想
信域和SDP都采用了SDN思想,将网络分成控制平面与数据平面。
控制平面负责对网络实体身份进行集中管理,对访问源进行身份验证,对访问策略进行集中的编排。
数据平面由客户端软件和网关组成,负责业务访问流量的加解密和转发。
因此,信域和SDP都具备控制中心、客户端、网关这三个关键组件。
-
都强调以身份为中心
传统的边界安全模型基于IP地址构建网络访问控制体系,信域和SDP都认为在分布式网络里,基于IP地址的安全模型不再有效,需要以身份为中心重新定义安全边界。
-
都采用了先认证授权,后允许访问的模式
信域和SDP都认为互联网和内网都是不可信任的,威胁可能来自任何位置,应采取默认任何企业内外部的任何人、事、物均不可信,所有接入网络和访问都需验证的零信任策略。
所有访问源在接入网络和发起访问请求之前,都需要先经过认证和授权,未经验证授权的访问源看不到业务资源,无法对业务资源发起任何访问请求。通过这种”白名单“访问控制模式,企业可避免来自不可信网络的威胁。
-
都认为信任是动态的,需要具备动态权限调整能力
信域和SDP都认为信任是动态的,需要通过多种数据源对访问源进行可信分析,并能通过分析结果动态的调整访问权限。
信域与SDP的不同点
-
底层网络结构不同
SDP的底层网络是一种星型网络,SPA过程中的Token校验需要在Controller上执行,因此Controller在大规模网络里将承受Token验证的性能压力。
SDP的设计初衷是为了解决终端用户与业务资源的安全访问,通过mTLS方法来验证访问源的合法性,通过SPA技术来实现SDP网关服务端口的隐藏。
但SDP在网络通讯层面则需要依附于企业的网络能力:
- 如果SDP网关部署在企业内网中(终端用户远程访问内网SDP网关),网络层面则需要使用传统的隧道方式(例如VPN)进行访问;
- 如果SDP网关部署互联网上,则终端用户直接通过互联网进行访问。
- 当在业务访问过程中发现异常行为,需要将异常用户或终端退出网络,则需要结合企业其他网络安全设备进行联动处置。
信域的设计初衷并非只是建立一个加密通信隧道,而是采用Overlay虚拟网络技术帮企业构建一张完整的去中心化网络,将企业分布在各地的终端和业务资源重新整合在一张FullMesh结构的点对点加密网络里。在Overlay网络中具备二、三层组网能力,在Underlay网络中采用自研协议进行数据身份化、加密、封装,确保数据在Underlay网络传输中的可靠性和安全性。
在信域安全云网里,任意节点与其他节点在逻辑上都是直连关系。当一个终端用户加入到这个信域之后,这个终端就成为了云网的一部分,可同时跟网络中的所有信域网关进行通信,可以同时访问所有授权的业务资源。同样,网关与网关之间(业务与业务横向连接)、终端与终端之间也是一样的网络对等关系,也可以通过设置授权策略实现可信的互联互通。
-
信任机制不同
SDP通过SPA+mTLS方式对业务访问源进行身份校验,从而起到SDP服务端口以及业务端口的隐藏,避免非法用户与SDP网关建立SSL/TLS连接。
在SDP1.0标准中,首先要进行TCP连接,再进行SPA敲门,如此一来会导致端口暴露,从而增加安全风险;而在SDP2.0标准中,将SPA流程放在了第一步进行。
信域是一种去中心化网络,每一个信域客户端在用户认证登录后即与其他信域安全云网中的终端或网关形成网络对等体关系,信域客户端生成自己的公私钥对,并将公钥同步给其他对等体。
当用户访问信域网关代理的业务资源时,信域客户端混合对应的信域网关公钥、自身私钥等多种加密因子生成数据流对称秘钥,并使用此秘钥加密业务访问的网络数据包。
当数据包发送到信域网关后,信域网关根据自身私钥、授权访问的信域客户端公钥以及其他混淆因子进行解密。如果发送的数据包不是经过身份认证且拥有资源授权的终端发送过来的,则解密必定失败,数据包将丢弃。
只有经过身份认证并拥有目标业务资源授权的信域客户端发送过来的数据包才会被正常解密,并转发至目标业务资源。信域通过这种方式实现业务访问的逐包认证、逐包授权能力。
信域的这种点对点逐包信任的机制使数据包身份验证无需控制平台参与,实现了去中心化的网络逐包认证架构,避免了控制平台成为业务访问的认证性能瓶颈,可轻松支持超大规模的零信任网络。
-
访问控制模型不同
SDP通过Controller进行访问源的身份校验,通过SDP网关执行访问控制。虽然SDP在访问控制之前使用SPA方法引入了身份校验,但本质上SDP在网络层的访问控制模型与防火墙一样,是通过边界防御模型基于IP地址实现的。
信域则摒弃了基于IP地址的网关式访问控制模型,采用了基于身份的分布式访问控制模型,授权策略在管理控制平台上进行实时计算,生成基于身份的细粒度访问控制策略,并同步到每一个终端和网关上同步执行。
在终端用户访问业务资源时,每个数据包都在访问源进行封装和加密,在对端网关上基于身份进行校验,并不需要从控制平台上进行集中校验,终端和网关都是网络访问控制的控制点,且都不再依据IP地址,而是基于身份执行网络访问控制。
265
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
