基本介紹
- 中文名:軟體定義邊界(SDP)
- 外文名: Software Defined Perimeter
- 提出時間:2013年
- 提出機構:國際雲安全聯盟CSA
背景介紹,SDP與零信任安全,SDP技術架構,SDP標準工作組以及白皮書,SDP的安全優勢,
背景介紹
SDP全稱是Software Defined Perimeter,即軟體定義邊界,是由國際雲安全聯盟CSA於2013年提出的基於零信任(Zero Trust)理念的新一代網路安全技術架構。
眾所周知,傳統的網路安全是基於防火牆的物理邊界防禦,也就是我們所熟知的“區域網路”。隨著雲計算、移動網際網路、AI大數據、IoT物聯網等新興技術的不斷興起,傳統安全邊界在瓦解,企業IT架構正在從“有邊界”向“無邊界”轉變。過去伺服器資源和辦公設備都在區域網路,現在隨著遷移上雲、移動辦公、物聯網等套用,網路邊界越來越模糊,業務套用場景越來越複雜,傳統物理邊界安全無法滿足企業數位化轉型的需求,因此,更加靈活、更加安全的軟體定義邊界SDP技術架構順勢而生。
2019年4月,國際知名IT諮詢機構Gartner發表ZTNA《零信任網路訪問市場指南》行業報告,報告指出“零信任網路訪問ZTNA也稱為軟體定義邊界(SDP),是圍繞某個套用或某一組套用創建的基於身份和上下文的邏輯訪問邊界。套用是 隱藏的,無法被發現,並且通過信任代理限制一組指定實體訪問。在允許訪問之前,代理會驗證指定訪問者的身份,上下文和策略合規性。這個機制將把套用資源從公共視野中消除,從而顯著減少可攻擊面。”。同時報告中預測了:“到2023年,60%的企業會用SDP方案代替VPN。”
SDP與零信任安全
零信任安全是一種理念,軟體定義邊界SDP是實踐零信任安全理念的技術架構與方案。企業可以通過部署SDP產品或者解決方案來實現零信任安全理念中的原則。零信任理念強調:“Never Trust、Always Verify”。SDP的網路隱身技術可以很好實現Never Trust原則。區別於傳統TCP/IP網路的默認允許連線,在沒有經過身份驗證和授權之前,伺服器對於終端用戶是完全不可見的,從By Default Trust變成Never Trust。另外,區別於傳統網路安全驗證的Verify Once,通過在SDP網關實施實時的動態可信授權驗證,可以實現對於連線授權的Always Verify。SDP是一種快速高效的零信任安全實踐技術架構,因此也被行業廣泛套用。
SDP技術架構
SDP安全模型由3大組件構成,分別是:
(1)Initiating SDP Host,即IH;
(2)Accepting SDP Host,即AH;
(3)SDP Controller,即控制器。
3大組件的關係分成兩個平面:
(1)控制平面和
(2)數據平面。AH 和 IH 都會連線到Controller。IH和AH 之間的連線是通過Controller與安全控制信道的互動來管理的。該結構使得控制平面能夠與數據平面保持分離,以便實現完全可擴展的安全系統。此外,所有組件都可以是集群的,用於擴容或提高穩定運行時間。
SDP標準工作組以及白皮書
雲安全聯盟CSA是一個國際的非盈利組織,有10多年的歷史,從開始成立之初的專注於雲安全到今天的覆蓋cybersecurity的整個方方面面,特別是在安全可信方面。 CSA於2013年發布了《SDP標準規範1.0》白皮書,SDP標準規範吸引了來自全球各個國家以及國際網際網路巨頭公司參與開發,由國際知名安全專家Bob Flores領導編寫,Bob Flores退休前曾任美國CIA的CTO,在CIA工作了30餘年。
隨著零信任安全理念以及SDP技術在在國內各個行業領域的不斷套用。2019年3月,雲安全聯盟大中華區(CSA GCR)成立SDP工作組。工作組成員的參與單位有:阿里雲、騰訊雲、華為、京東雲、 Ucloud、華雲數據、奇安信、 360、深信服、啟明星辰、綠盟科技、天融信、亞信安全、雲深互聯、中國電信、中國移動、國家電網、IBM、安永、順豐科技、金拱門、吉大正元、中宇萬通、三未信安、有雲信息、上元信安、安全狗、易安聯、聯軟科技、上海雲盾、締盟雲等50多家行內優秀企業。雲深互聯CEO陳本峰擔任SDP工作組組長。
SDP工作組已經輸出多篇SDP白皮書:
《軟體定義邊界(SDP)標準規範文檔1.0》、
《軟體定義邊界(SDP)安全架構指南》、
《SDP實現等保2.0合規技術指南》、
《軟體定義邊界SDP 幫助企業安全遷移上雲(IaaS)》、
《軟體定義邊界作為分散式拒絕服務(DDoS)攻擊的防禦機制》
SDP的安全優勢
1、SDP的“網路隱身”技術,可以最小化攻擊面,極大程度降低安全風險;
2、SDP的“按需授權”安全模型,可以最小化被攻擊後的安全風險。
3、SDP通過分離訪問控制和數據信道,保護關鍵資產和基礎架構,從而阻止潛在的基於網路的攻擊;
4、SDP提供了整個集成的安全體系結構,這一體系結構是現有的安全設備難以實現的;
5、SDP提供了基於連線的安全架構,而不是基於IP的替代方案。因為整個IT環境爆炸式的增長,雲環境中的邊界缺失使得基於IP的安全性變得脆弱。
6、SDP允許預先審查控制所有連線,從哪些設備、哪些服務、哪些設施可以進行連線,所以它整個的安全性方面是比傳統的架構是更有優勢的。
SDP商業優勢:
1、節省成本及人力
2、提高IT運維的靈活性
3、GRC好處:與傳統方法相比,SDP 降低了風險。 SDP 可以抑制威脅並減少攻擊面,防止基於網路或者應用程式漏洞被利用的攻擊。SDP可以提供並回響 GRC 系統(例如與 SIEM 集成),以簡化系統和應用程式的合規性活動。
4、合規範圍增加及成本降低
5、安全遷移上雲
6、業務的敏捷性和創新
SDP的潛在套用領域:
1、零信任安全,基於身份的網路訪問控制