歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

云上零信任網絡:從傳統安全范圍到軟件定義范圍

來源:本站整理 作者:佚名 時間:2020-01-22 TAG: 我要投稿

安全邊界曾被視為安全分界線內部的區域,該區域將那些在區域外部被認為是不安全或不受信任的因素與內部被認為安全或受信任的因素隔離開。
在物理世界中,安全外圍的邊緣是由壕溝、柵欄或墻壁所保護的,并且在入口點對進入者身份進行檢查。在虛擬網絡中,防火墻通常起保護邊界的責任,而靜態策略則用來驗證用戶并授予他們訪問權限。
其他策略用來保護敏感資源免受惡意入侵者的攻擊,這些入侵者根據策略逃避檢測。
該策略在靜態環境中表現良好,在靜態環境中,數據和關鍵資源通常位于本地。而在一個基于多云的環境中,移動的工作人員希望在任何地方、任何時間、從任何設備對云進行訪問,這種模式是不可持續的。
新的現實導致了零信任安全的出現,這是一種為當今基于云的網絡設計的架構。
當今最先進的零信任體系結構是軟件定義邊界(SDP)的體系結構。在SDP中,與以前的資源和以數據為中心的外圍區不同,安全措施集中在單個用戶及其設備上。
用戶和設備都受到監視,即使是可信設備上的可信用戶也需要在每次連接時進行驗證,然后僅獲得對網絡中某個細分部分的訪問權,以及單個會話的訪問權。
驗證過程包括人員和設備元素,以便對用戶和設備均進行驗證。人員驗證步驟要求用戶通過身份驗證確認其身份,并通過授權確認其特權訪問級別。
但是,僅驗證真實用戶還不夠。由于設備可以訪問軟件定義網絡(SDN),因此它已與SDP集成在一起,因此也需要進行驗證。這是通過計算機驗證完成的。試圖從不受信任的設備進行連接的受信任用戶訪問所請求的資源會被拒絕。
當用戶和設備都經過驗證時,SDP定義的策略將根據特權訪問級別(通常在需要了解的基礎上建立)來校準用戶連接,將特權級別限制為該用戶/設備對可用的最低級別,并且限制對單一資源的訪問,防止越權行為。
一個SDP系統包含三個主要組件
SDP客戶端
SDP客戶端是外圍設備中每個節點上安裝的軟件。SDP客戶端功能包括設備驗證和隧道設置。
設備驗證功能本身在不同的SDP供應商之間是不同的。
用戶和實體行為分析(UEBA):
監視端點或設備的可疑行為,這些行為可能表明終端或設備受到了危害,需要額外的身份驗證/驗證或斷開設備連接。
端點檢測和響應(EDR):
監視端點或設備是否存在威脅跡象,并消除威脅或斷開設備連接。
遠程瀏覽器隔離(RBI):
通過在外部接口上定位所有基于瀏覽器的活動來防止對設備的攻擊。隨著設備與瀏覽器分離,基于瀏覽器的威脅(包括來自惡意網站的威脅)將被消除。
沙箱:一種隔離的測試環境,用于測試可能包含病毒或其他惡意軟件的可疑程序,而不允許該軟件損害主機設備。
數據衛生,即內容解除和重構(CDR):
沙箱所有下載的文件,解析所有可執行代碼,在沒有任何未經批準的可執行代碼的情況下重構文件。這消除了惡意的可執行文件下載。
SDP控制器
它在SDP客戶端和SDP網關之間配置一個傳輸層安全(TLS)連接。這個加密的隧道執行兩個功能
它作為客戶端和后端資源之間的可信通道,綁定到你的云解決方案進行身份驗證(公鑰基礎設施(PKI)、開放ID、SAML、活動目錄……),并檢查任何連接請求的授權。
它攜帶一個證書頒發機構(CA),在客戶端和遠程資源之間建立一個加密的通道。
SDP網關
SDP網關是訪問請求資源之前的最后一次檢查。它盡可能靠近請求的資源,與SDP控制器確認客戶端已經過授權、驗證和驗證,可以授予對請求會話的資源的訪問權。
收到確認后,網關允許連接到應用程序。與在第2層停止的MAC連接不同,SDP控制器和網關覆蓋了第7層之前的所有層。
這在現實生活中將如何運作?
SampleCompany配備了SDP,所有員工的設備都已更新。他們的銷售代理西德尼(Sidney)需要通過手機訪問SalesManagementApp。他點擊應用程序進行連接,發送一個包含加密密鑰的單包授權(SPA)。
使用其公鑰基礎設施(PKI), SDP控制器將檢查密鑰。由于密鑰是正確的,所以它可以識別和驗證Sidney。
如果控制器PKI確認了Sidney的身份和他的移動設備的完整性,則SDP控制器將在Sidney的移動設備和SDP網關之間創建一個加密的隧道。然后,該網關允許Sidney的移動設備訪問SalesManagementApp。
但是,即使SalesAnalyticsApp與SalesManagementApp駐留在同一服務器上,并且Sidney擁有訪問它的必需特權,他也將必須經歷相同的過程才能訪問SalesAnalyticsApp。
在Sidney的移動設備始終連接到SalesManagementApp的整個過程中,SDP客戶端和SDP網關之間的通信將繼續。如果在連接期間任何時候Sidney的移動設備遭到破壞,則連接將被斷開,并且侵入Sidney的移動設備的惡意行為者將被鎖定在整個SDP中。
如果客戶端的密鑰被盜用或無效,則其連接將立即被阻塞,并且網絡上所有應用程序的可見性都將被切斷。如果設備顯示出受到威脅的跡象,則將不再將其視為受信任的機器,并會立即從網絡和對任何資源的訪問中斷開。
SDP的整個目標是防止對應用程序的網絡攻擊,但是在您的網絡中使用SDP還有其他一些優點,包括:
通過加密隧道的機密性
在SDP協議中使用TLS反DOS令牌進行DOS保護
地理位置保護
分段消除越權行為
信息混淆
突發事件應對
隔離
 

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 推倒胡麻将碰牌27口诀 极速赛车大小计划 快速赛车 互爱江西麻将怎么下载 六台彩宝典资料大全2020年 贵阳捉鸡麻将必赢辅助器 青海快326开奖结果查询 2019年股票配资平台排行榜 4887王中王鉄算盘开奖结果小说 广东麻将100张规则 老快三开奖结果今 天津时时彩最快开奖 河北十一选五今天 快播香港三级片 欢乐捕鱼大战外挂 吉林快三计划精准版