解读 | CSA 软件定义边界(SDP)标准规范 2.0 VS 1.0
关注微信公众号,回复关键词“SDP标准”
即可阅读下载白皮书
2013年,国际云安全联盟CSA率先提出基于零信任理念的新一代网络安全模型—软件定义边界SDP,并于2014年发布了SDP首个标准规范。
2022年4月,CSA重磅发布《软件定义边界(SDP)标准规范2.0》。与1.0版本相比,SDP标准2.0主要更新:
- SDP概念及其与零信任的关系
- SDP架构及部署模型细化
- 加载和访问流程
- 新的SPA消息格式
- SDP通信协议的安全改进
- 对于物联网设备的支持
1、SDP概念及其与零信任的关系
1) SDP概念
SDP软件定义边界,聚焦于保护企业的关键资源,而不是边界。通过逻辑动态控制,取代传统物理边界防御设备。企业为了保护关键资源的安全,可以进行访问策略的定义,策略可以作用于网络的所有层面,基于风险的、动态的,以身份为中心的、上下文感知的访问策略,进行访问控制和处置。访问策略是站在更高的视角,更全面的维度,而非单一的策略。
SDP设计理念,支持多层无缝集成,能将多个异构的环境统一成通用的安全层,简化安全、网络、运维 ,实现全方位、高效、深入、灵活的保障应用、网络、用户、数据安全。
2) SDP与零信任的关系
SDP借鉴了机密网络中使用的零信任模型,将其并入标准工作流程。
SDP初衷是面向所有用户,而不仅仅是远程用户
访问网络之前,先进行身份和授权。
所有的服务器隐藏在远程访问网关设备后。
用户必须完成身份认证,才能被授予服务的可见权限并开放访问通道。并进行通道加密。
最小授权原则
近期,美国国家标准与技术研究院(NIST)中定义的零信任架构也包含这些原则。SDP保留了最小特权模型的有点,同时克服了必须借助远程访问网关设备的不足。SDP可以完成验证后(用户、设备、服务),允许在一个特定边界中访问所需服务。这些服务对未授权的资源保持不可见。
2、SDP架构及部署模型细化
1) SDP架构
SDP架构主要包括三大部分:控制器+发起主机(IH)+接受主机(AH)
在SDP标准2.0版本,明确了AH与服务器之间的关系。如下图案例所示:AH与服务可部署在一起,也可以分布在不同的网络中。
2) 六种SDP部署模型
在SDP标准2.0,提出了六种SDP部署模型,其中模型5、6为本次SDP2.0协议中新增的部署模型。
3、加载和访问流程
在SDP 标准2.0,新增了SDP组件工作流程,主要包括:加载和访问。
1) 控制器加载流程
每个SDP系统,可能有1个或多个控制器组成,至少必须保证有一个控制器随时可用。控制器必须可以从其他组件的运行位置进行网络访问。对于获得授权的用户/设备网络可达。
2) AH加载流程
根据实际业务情况,AH在线时间可长可短。与受保护的服务器生命周期同步。AH投入使用时,必须连接到控制器做认证,加载成功后,就可以接受SPA报文,并处理来自IH的访问。
3) IH加载流程
IH只需要加载一次,之后就可以启动访问流程。
4) 访问流程
4、新的SPA消息格式
SDP 标准2.0里面说明了SPA的重要性及原理,对SPA的格式做了改进和更新,SPA 2.0的消息格式更安全和更易扩展
1)SPA在SDP中实现的主要原则如下:
隐藏SDP组件:提供可信的SPA报文前,不对任何连接做反应,可配置默认丢弃的防火墙策略。
减轻对TLS的拒绝服务攻击:对于HTTPS协议,建立TCP、TLS连接的开销之前,拒绝所有未授权的连接。
攻击检测:AH收到任何非SPA报文,被视为攻击。
2)SPA不仅作为网络隐身协议,还可以作为数据传输协议
通过研究SPA方案和协议,发现SPA不仅作为网络隐身协议,还可以作为数据传输协议。SPA协议里消息内容字段,可以用来传输数据,这样就无须建立TCP或TLS连接。比如,可以应用于定期传输少量数据的物联网传感器设备。数据嵌入在SPA报文中,即可节省开销进行数据传输。
5、SDP通信协议的安全改进
在SDP1.0标准中,首先要进行TCP连接,再进行SPA敲门,如此一来会导致端口暴露,从而增加安全风险;而在SDP2.0标准中,将SPA流程放在了第一步进行。
接受主机AH与控制器通信
发起主机IH与控制器通信
IH连接到一个AH,接着把数据送到一个服务
6、对于物联网设备的支持
SDP标准2.0增加了物联网场景,随着物联网时代的发展,终端的种类和数量不断增长,对应的安全防护能力发展滞后,也面临着无人值守等风险,任何一个终端被恶意利用,都会导致整个物联网系统的安全坍塌。同时由于物联网终端的多样化,并且和应用高度融合,给物联网带来安全的不确定性,给物联网的发展带来挑战。未来SDP将更好的适应物联网场景,推出轻量级终端的SDP。
7、总结
SDP 是一种有效的零信任实现方案SDP2.0将促进企业采用零信任范式来保护其应用程序、网络、用户和数据的安全。这一点变得至关重要,因为企业正在向云计算的迁移以及威胁形势正在不断加剧。
此外,SDP 已被证明可以保障企业的IaaS平台、网络功能虚拟化(NFV)、软件定义网络(SDN)和物联网IoT应用程序的安全。
我们看到了行业对零信任理念的热情拥抱以及越来越高的采用率。同时,市场上对于SDP的解决方案的兴趣和部署实施也相应增长。
解读 | CSA 软件定义边界(SDP)标准规范 2.0 VS 1.0相关推荐
- 零信任网络安全——软件定义边界SDP技术架构指南
基本原理+应用场景+落地实施,结合国内特点进行零信任架构技术指导. 近年来,国内信息与通信技术(ICT)发展迅速,各企业将新技术应用于商业环境,推动了其数字化应用与发展.与此同时,也出现了许多信息安全 ...
- 软件定义边界(SDP)
软件定义边界(SDP Software Defined Perimeter) 参考文章:软件定义边界SDP.基于SDP技术构建零信任安全 参考视频:Zero trust and SDP details ...
- 等级保护测评对哪些行业是硬性要求?相关标准规范主要有哪些?│党政机关篇
哪些行业必须做等保测评? <中华人民共和国网络安全法>[第三十一条] 国家对公共通信和信息服务.能源.交通.水利.金融.公共服务.电子政务等重要行业和领域,以及其他一旦遭到破坏.丧失功能或 ...
- 等级保护测评对哪些行业是硬性要求?相关标准规范主要有哪些?│电力行业篇
哪些行业必须做等保测评? <中华人民共和国网络安全法>[第三十一条] 国家对公共通信和信息服务.能源.交通.水利.金融.公共服务.电子政务等重要行业和领域,以及其他一旦遭到破坏.丧失功能或 ...
- SDP(软件定义边界)让SDN更安全,你的对面可不能是一条狗!
编者按:近年来,软件定义网络(SDN)如同海藻一样疯狂地席卷全球.但火热的SDN真的安全吗?Gartner分析师Neil MacDonald表示"SDN创建了一个抽象层,这将带来很多新的攻击 ...
- SDP 软件定义边界
3.3.1 SDP 控制器(Controller) SDP 控制器确定哪些 SDP 主机可以相互通信.SDP 控制器可以将信息中继到外部认证服务,例如认证,地理位置和/或身份服务器. 3.3.2 SD ...
- 零信任安全和软件定义边界
01. 零信任安全(zero trust security) 零信任安全是一种IT安全模型.零信任安全要求对所有位于网络外部或网络内部的人和设备,在访问专用网络资源时,必须进行严格的身份验证.零信任安 ...
- 视频教程-PHP7入门手册视频版第六季 PSR 标准规范-PHP
PHP7入门手册视频版第六季 PSR 标准规范 2009年4月创办 淄博日诺网络科技有限公司 法人总经理 2016年负责 中国传媒大学凤凰学院 网站开发 项目负责人 2017年 参与负责 用友软件理财 ...
- GeoJson格式标准规范
文章目录 GeoJson格式标准规范 0 摘要 1 介绍 1.1 必需的词汇 1.2 本文件中使用的约定 1.3 GeoJson 规范 1.4 定义 1.5 例子 2 GeoJson 文本 3 Geo ...
最新文章
- UVA11584 划分成回文串 Partitioning by Palindromes(线性DP划分+DP判断回文串)
- 算术编码例题详解_百分数与百分点区别详解
- 学习笔记(十三)——vim编辑与linux命令
- 现金支付没落?澳大利亚一年内移除数百台ATM机
- Python学习笔记:Day 9 编写API
- @configurationproperties注解的使用_SpringBoot常用注解的简单理解
- linux面试题与参考答案(转)
- 组装电脑多少钱一台_客户花9000元组装一台电脑,奸商赚5000块,利润真吓人
- JSK-372 图案输出【入门】
- Java自带的keytool命令
- numpy获得ndarray的byte数 内存中的大小
- C语言实现阿克曼函数
- python如何下载pdfminer_在python中使用PDFMiner从PDF文件中提取文本?
- win10系统无线服务器出错,win10系统中Wi-Fi证书错误的解决方法
- Windows 更新错误 0x80073712
- 武汉科技大学计算机实验预约系统,实验室与设备管理处
- [论文笔记]AlignedReID
- BilSTM 实体识别_肿瘤新抗原(neoantigen)专题八:新抗原识别策略使难治性实体瘤的个体化免疫治疗成为可能...
- PVE下虚拟机安装UNRAID
- 学习笔记 JavaScript 动画