零信任之路:SDP2.0基本架構及關鍵技術
責編:gltian |2022-05-31 17:59:25云安全聯盟(CSA)最近發布了軟件定義邊界(SDP)2.0規范,該規范與2014年發布的規范相比,參考結合了美國聯邦政府的零信任戰略、網絡安全與基礎設施安全局(CISA)的零信任成熟度模型以及國家安全電信咨詢委員會(NSTAC)的零信任和可信身份管理報告中的許多建議與要求。
SDP2.0不僅更新了實現SDP的核心組件和原則,還強調了云原生架構、服務網格實施,以及更為廣泛的零信任技術、產品與方案之間的協同。下面讓我們看一看SDP2.0有哪些關鍵內容:
1、圍繞軟件和網絡資產
從更高的視角來看,SDP本質上是一個以軟件和網絡資產為邊界的技術,而不是傳統的以網絡基礎設施為邊界。由于云計算的普及,硬件設備、操作系統、功能服務等等,所有網絡資產都可以被軟件定義和代碼化,因此SDP的出現是順理成章的。
對于安全而言,SDP還有助于實施零信任的基本原則,如最小權限訪問控制、假定已被入侵和基于先驗證再信任的方法論。
“網絡邊界已死,SDP萬歲。”
——SDP概念的締造者之一Juanita Koilpillai
2、基本架構
SDP2.0的的基本架構包括SDP主機、SDP控制器,以及控制平面和數據平面。
SDP控制器可以看做是零信任上下文中的策略決策點(PDP),用于定義訪問控制策略。SDP主機的功能類似于零信任上下文中的策略實施點(PEP),通常位于應用程序和服務的前面,用于實現SDP控制器定義的訪問策略。
SDP控制器可與內部實體進行通信,如身份和訪問管理(IAM)服務,如果組織正在使用基于云的身份即服務(IDaaS),則可與外部實體進行通信。
SDP主機既是發起主機又是接受主機,與訪問請求的工作流保持一致。發起主機(IH)通常提供與身份相關的信息,但在更成熟的系統中,還可提供設備態勢或地理位置等數據。這一點完全符合網絡安全與基礎設施安全局(CISA)的零信任成熟度模型中的“設備支柱”。
在“設備支柱”中被視為“高級”的組織,使用與設備相關的實時風險分析,以促進對數據或資源的訪問控制決策。
接受主機(AH)的基本功能是作為策略實施點(PEP)來控制對資源或服務的訪問,AH接收SDP控制器的指令,以促進和執行訪問控制決策。
從以上的基本架構組件中可以看出,SDP2.0與業界廣泛接受的零信任原則保持一致。
3、部署模型
SDP2.0支持六種部署模型,模型中的核心組件,如客戶端、服務器和網關是重點。客戶端是請求訪問資源的人員或非人實體(NPE)。SDP網關的功能類似于上面介紹的AH,運行資源和數據的策略實施點(PEP)。在需要端到端保護的模型中,AH和服務器作為單個主機運行,直接實施組織的訪問控制策略,而無需網關。組織應該清楚這些部署模型的區別,以選擇最符合需求的部署模型。
4、工作流
成功實施SDP的關鍵因素之一是理順相關的工作流,包括發起和后續SDP控制器的工作流程,以及先前討論的用于實施更廣泛SDP架構的AH和IH的工作流程。
通過上述內容可以看出,SDP控制器對SDP體系結構的重要性不言而喻。因此,組織會傾向于部署多個SDP控制器,以促進負載均衡和全面的系統韌性能力,并得以緩解單點故障(SPoF)的風險。簡而言之,理解SDP工作流是關鍵。
5、減少攻擊面
通過降低資源對非授權實體的可見性來最小化攻擊面,是SDP的基礎特性之一。單包授權(SPA)使用加密技術,有密鑰的設備可以與SDP組件建立網絡連接,沒有密鑰的設備則無法建立連接。
6、相互驗證
SDP2.0的另一個關鍵特征是SDP組件之間的相互驗證。美國聯邦政府零信任戰略和CISA的零信任成熟度模型均有描述,即成熟的零信任環境會盡可能加密所有流量,不僅對外部通信加密,也加密內部通信。所有SDP部署模型都強調“mTLS”(Mutual TLS),并通過身份和設備驗證等附加步驟提供支持。
相關報告下載地址:
云安全聯盟–SDP2.0
https://cloudsecurityalliance.org/artifacts/software-defined-perimeter-zero-trust-specification-v2/
美國聯邦政府–零信任戰略
https://www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf
網絡安全與基礎設施安全局–零信任成熟度模型
https://www.cisa.gov/sites/default/files/publications/CISA%20Zero%20Trust%20Maturity%20Model_Draft.pdf
國家安全電信咨詢委員會–零信任和可信身份管理報告
https://www.csoonline.com/article/3652339/8-takeaways-for-cisos-from-the-nstac-zero-trust-report.html
來源:數世咨詢
上一篇:機密計算時代或將很快到來