實現零信任的框架主要有SDP和Google Beyondcorp模型,前者出現在乙方的安全解決方案中,后者多作為甲方落地零信任的參考。本文主要記錄對SDP技術的一些初步認識。
一、SDP簡介
SDP是Software Defined Perimeter的縮寫,全稱是軟件定義邊界。
軟件定義邊界(SDP)是由雲安全聯盟(CSA)開發的一種安全框架,它根據身份控制對資源的訪問。該框架基於美國國防部的“need to know”模型——每個終端在連接服務器前必須進行驗證,確保每台設備都是被允許接入的。其核心思想是通過SDP架構隱藏核心網絡資產與設施,使之不直接暴露在互聯網下,使得網絡資產與設施免受外來安全威脅。
SDP旨在利用基於標准且已驗證的組件,如數據加密、遠程認證(主機對遠程訪問進行身份驗證)、傳輸層安全(TLS,一種加密驗證客戶端信息的方法)、安全斷言標記語言(SAML),它依賴於加密和數字簽名來保護特定的訪問及通過X.509證書公鑰驗證訪問。將這些技術和其他基於標准的技術結合起來,確保SDP與企業現有安全系統可以集成。
二、SDP的主要功能
1.對設備進行身份認證和驗證
2.對用戶進行身份驗證和授權
3.確保雙向加密通信
4.動態提供連接
5.控制用戶與服務之間連接,同時隱藏這些連接
三、SDP的架構
SDP架構主要包括三大組件:SDP控制器(SDP Controler)、SDP連接發起主機(IH,Initial host)、SDP連接接受主機(AH,Accept host),SDP主機可以發起連接也可以接受連接,IH和AH會直接連接到SDP控制器,通過控制器與安全控制信道的交互來管理。該結構使得控制層能夠與數據層保持分離,以便實現完全可擴展的安全系統。此外,所有組件都可以是冗余的,用於擴容或提高穩定運行時間。
SDP遵循如下工作流程:
1.在 SDP 中添加並激活一個或多個【SDP 控制 器】並連接到身份驗證和授權服務,例如 AM、 PKI 服務、設備驗證、地理位置、SAML、 OpenID、OAuth、LDAP、Kerberos、多因子身 份驗證、身份聯盟和其他類似的服務。
2.在 SDP 中添加並激活一個或多個 AH。它們以 安全的方式連接控制器並進行驗證。 AH 不響 應來自任何其他主機的通信,也不會響應任 何未許可的請求。
3.每個 IH 會在 SDP 中添加和激活,並與【SDP 控制器】連接並進行身份驗證。
4.IH 被驗證之后,【SDP 控制器】確定 IH 被授 權可以連接的 AH 列表。
5.【SDP 控制器】指示 AH 接受來自 IH 的通信, 並啟動加密通信所需的任何可選策略。
6.【SDP 控制器】為 IH 提供 AH 列表,以及加 密通信所需的任何可選策略。
7.IH 向每個授權的 AH 發起 SPA(SPA,單包授權,使未授權的用戶和設備無法感知或訪問)。然后 IH 和這 些 AH 創建雙向加密連接(例如,雙向驗證 TLS 或 mTLS)。
8.IH 通過 AH 並使用雙向加密的數據信道與目標 系統通信。
四、SDP 的部署模型
CSA(雲安全聯盟)的SDP標准規范1.0中定義了以下幾種在組織中可能的SDP架構:
- 客戶端-網關
- 服務器-服務器
- 客戶端-網關-客戶端
- 客戶端-服務器
- 客戶端-服務器-客戶端
- 網關-網關
五、SPA連接
SDP 技術最關鍵的組成部分之一是要求並強制實施 “先認證后連接”模型,該模型彌補了 TCP/IP 開放 且不安全性質的不足。SDP 通過單包授權(SPA)實 現這一點。SPA 是一種輕量級安全協議,在允許訪問 控制器或網關等相關系統組件所在的網絡之前先檢查 設備或用戶身份。
SPA 的目的是允 許服務被防火牆隱藏起來並被默認丟棄。該防火牆系 統應該丟棄所有 TCP 和 UDP 數據包,不回復那些連 接嘗試,從而不為潛在的攻擊者提供任何關於該端口 是否正被監聽的信息。在認證和授權后,用戶被允許 訪問該服務。SPA 對於 SDP 不可或缺,用於在客戶端 和控制器、網關和控制器、客戶端和網關等之間的連 接中通信。
SPA 在 SDP 中起很大作用。SDP 的目標之一是克服 TCP/IP 開放和不安全的基本特性。TCP/IP 的這個特性 允許“先連接后認證”。鑒於今天的網絡安全威脅形 勢,允許惡意行為人員掃描並連接到我們的企業系統 是不可被接受的。與 SDP 組合的 SPA 通過兩種方式應 對這個弱點。使用 SDP 架構的應用被隱藏在 SDP 網關 /AH 后面,從而只有被授權的用戶才能訪問。另外, SDP 組件自身,如控制器和網關也被 SPA 保護。這允 許它們被安全地面向互聯網部署,確保合法用戶可以 高效可靠地訪問,而未授權用戶則看不到這些服務。 SPA 提供的關鍵好處是服務隱藏。防火牆的 Default- drop(默認丟棄)規則緩解了端口掃描和相關偵查技術帶來的威脅。這種防火牆使得 SPA 組件對未授權用戶不可見,顯著減小了整個 SDP 的攻擊面。 相比與 VPN 的開放端口以及在很多實現中都存在的 已知弱點,SPA 更安全。
SPA的實現可能有輕微的差別,但是都滿足以下原則:
1.數據包必須被加密和認證
2.數據包必須自行包含所有必要的信息;單獨的數據包頭不被信任
3.生成和發送數據包必須不依賴與管理員或底層訪問權限;不允許篡改原始數據包
4.服務器必須盡可能無聲地接收和處理數據包;不發送回應或確認