4000-110-253
了解零信任-SDP關系. 2020-11-24
對于零信任,你(nǐ)需要了解的第一件事情是,對于一個(gè)強大(dà)的概念來(lái)說,這個(gè)名稱并不是很(hěn)好。這裏的重點不是:沒有(yǒu)什麽可(kě)信任。相反,重點是:沒有(yǒu)假定的信任。所有(yǒu)信任關系都需要明(míng)确說明(míng)。
也許最好将零信任表述為(wèi)零隐式信任—基于隐式信任的所有(yǒu)方面,這包括:
沒有(yǒu)人(rén)擁有(yǒu)訪問網絡的隐式權利-隻有(yǒu)顯式權利,可(kě)通(tōng)過網絡訪問特定系統;
沒有(yǒu)人(rén)擁有(yǒu)保留在網絡上(shàng)的隐式權利-隻有(yǒu)使用網絡的顯式權利,前提是他們沒有(yǒu)表現不好并且系統保持良好狀态
軟件定義的邊界(SDP)概念源自美國國防信息系統局(DISA),在過去十年中該概念得(de)到雲安全聯盟正式認可(kě)并普及。
SDP在網絡級别體(tǐ)現了零信任的原則。它引入機制(zhì)來(lái)控制(zhì)對系統的網絡級訪問、請(qǐng)求訪問并授予訪問權限。SDP是以端點為(wèi)中心的虛拟、深度細分的網絡,覆蓋所有(yǒu)現有(yǒu)物理(lǐ)和(hé)虛拟網絡。
SDP角色和(hé)職責
SDP依賴于網絡“外部”的控制(zhì)器(qì)來(lái)管理(lǐ)對該網絡的訪問。
在受保護網絡上(shàng)通(tōng)信的實體(tǐ)(連接發起主機)必須運行(xíng)SDP軟件,并通(tōng)過SDP控制(zhì)器(qì)進行(xíng)身份驗證。請(qǐng)注意,這裏的身份驗證涉及多(duō)級别的驗證,包括從設備證書(shū)到活躍系統運行(xíng)狀況檢查,并且始終包括用戶身份驗證-最好是多(duō)重身份驗證。
通(tōng)過身份驗證後,連接發起主機會(huì)被告知允許與哪些(xiē)其他實體(tǐ)(接收主機)通(tōng)信,并告知那(nà)些(xiē)主機允許其與之通(tōng)信。控制(zhì)器(qì)已經知道(dào)接收主機控制(zhì)器(qì);它們已經通(tōng)過驗證。對控制(zhì)器(qì)當前不可(kě)見的主機不在允許的主機列表中。接收主機的列表由背景信息決定,根據發起主機嘗試連接的服務以及該服務允許執行(xíng)的操作(zuò)。它應僅包括那(nà)些(xiē)對所請(qǐng)求的通(tōng)信必不可(kě)少(shǎo)的接收主機。 發起主機直接建立虛拟專用網隧道(dào)到給定接收主機。請(qǐng)注意,控制(zhì)器(qì)不是該端到端加密虛拟網絡的一部分。
對于不在控制(zhì)器(qì)授權的發起主機列表中的主機,接收主機将拒絕或丢棄這些(xiē)主機發起的網絡通(tōng)信。
控制(zhì)器(qì)和(hé)主機可(kě)以在或不在現場(chǎng);雲控制(zhì)器(qì)可(kě)以管理(lǐ)任何地方的主機的通(tōng)信,本地控制(zhì)器(qì)也可(kě)以。甚至SaaS選項也可(kě)以通(tōng)過代理(lǐ)或雲訪問安全代理(lǐ),置于SDP的保護之下。
各種架構将網關主機放置在環境中,它們充當該環境外的客戶端(無論是數(shù)據中心還(hái)是雲)的接收主機,并與提供服務的實際主機進行(xíng)所有(yǒu)通(tōng)信。發起主機僅看到網關,而從不直接與提供應用程序服務的基礎結構進行(xíng)通(tōng)信。
部署SDP的主要好處是,在控制(zhì)器(qì)允許接收主機連接前,該接收主機對網絡中其他系統和(hé)用戶不可(kě)見。隻有(yǒu)控制(zhì)器(qì)批準的發起主機能看到它;對于其他所有(yǒu)事物,它都不可(kě)見。這是一種非常強大(dà)的基本安全狀态,也是DISA推廣此方法的主要原因。
SDP是零信任的一種形式
由于SDP是基于“誰可(kě)以與誰連接”的精細管理(lǐ),并且默認立場(chǎng)是“如果未明(míng)确批準,則沒有(yǒu)流量傳輸”,因此SDP顯然是零信任的一種形式。
但(dàn)是,零信任的範圍更廣,并且包含SDP中認為(wèi)不是必不可(kě)少(shǎo)的概念。例如,零信任要求動态的信任映射來(lái)響應行(xíng)為(wèi)。SDP允許這樣做(zuò),但(dàn)這并不被認為(wèi)是基礎。
SDP還(hái)假定,在控制(zhì)器(qì)的指導下,主機是唯一的實體(tǐ),以決定是否進行(xíng)網絡通(tōng)信、從未經批準的通(tōng)信夥伴丢棄數(shù)據包。另外,零信任度允許基礎架構可(kě)以主動參與,從而在流量到達主機之前就将其丢棄。在零信任下,可(kě)能包含基于網絡的組件用于流量管理(lǐ),除SDP之外或替代SDP。
那(nà)些(xiē)尋求建立全面、多(duō)雲安全基礎的企業正在擁抱零信任的概念,但(dàn)他們還(hái)應該評估SDP工具以表達該原則。
轉自TechTarget中國/鄒铮編譯
