目前,虛擬專用網路(vpn)是很多公司遠端訪問的解決方案之一。但是,vpn使用者一旦獲得授權就可以廣泛訪問公司網路上的資源。這種廣泛訪問的方法使潛在的敏感資源和資訊暴露給vpn使用者和攻擊者。因此,圍繞軟體定義的邊界解決方案(sdp)成為安全遠端訪問的乙個更具吸引力的替代方案。
虛擬專用網 (vpn) 面世二十多年,為我們提供了加密的安全通訊通道與資料傳輸渠道。雖然 vpn 型別很多,比如常見的 ssl vpn 和 ipsec,但無論實現方式如何,其基本理念都是一樣的:建立安全 ip 傳輸隧道,以加密訪問的方式保障資料安全。
構建並部署 vpn 的基本前提就是存在企業邊界,表面上受到 ids/ips 和防火牆等邊界安全裝置保護。遠端使用者或商業合作夥伴可通過 vpn 隧道穿透企業網路邊界,訪問企業內部資源,即使不在企業內部也能享有本地訪問許可權。
然而,現代 it 企業的現實是邊界已不復存在,員工、承包商和合作夥伴遍布全世界,在本地、遠端和雲端完成作業。這就是促使 sdp 誕生的環境及其將要解決的問題。
軟體定義邊界 (sdp) 的概念相對較新,出現於 2013 年,最初受雲安全聯盟 (csa) 指導。sdp 模型沒有預設信任假設,不會因為採用了傳輸層安全 (tls) 就認為加密隧道是安全的,所以很多**商在與 sdp 相關的產品上採用了 「零信任」 這一術語。
對裝置進行身份認證和驗證
對使用者進行身份驗證和授權
確保雙向加密通訊
動態提供連線
控制使用者與服務之間連線,同時隱藏這些連線
sdp的安全模型融合了裝置身份驗證、基於身份的訪問和動態配置連線三大元件,雖然sdp中的安全元件都很常見,但這三者的整合卻是相當創新的。
sdp架構主要包括三大元件:
sdp主機可以發起連線也可以接受連線,ih和ah會直接連線到sdp控制器,通過控制器與安全控制通道的互動來管理。該結構使得控制層能夠與資料層保持分離,以便實現完全可擴充套件的安全系統。
在 sdp 中新增並啟用乙個或多個【sdp 控制器】並連線到身份驗證和授權服務,例如 am、 pki 服務、裝置驗證、地理位置、saml、 openid、oauth、ldap、kerberos、多因子身份驗證、身份聯盟和其他類似的服務。
在 sdp 中新增並啟用乙個或多個 ah。它們以安全的方式連線控制器並進行驗證。 ah不響應來自任何其他主機的通訊,也不會響應任何未許可的請求。
每個 ih 會在 sdp 中新增和啟用,並與【sdp 控制器】連線並進行身份驗證。
ih 被驗證之後,【sdp 控制器】確定 ih 被授 權可以連線的 ah 列表。
【sdp 控制器】指示 ah 接受來自 ih 的通訊, 並啟動加密通訊所需的任何可選策略。
【sdp 控制器】為 ih 提供 ah 列表,以及加密通訊所需的任何可選策略。
ih 向每個授權的 ah 發起 spa(spa,單包授權,使未授權的使用者和裝置無法感知或訪問)。然後 ih 和這 些 ah 建立雙向加密連線(例如,雙向驗證 tls 或 mtls)。
ih 通過 ah 並使用雙向加密的資料通道與目標系統通訊。
單資料報授權技術(spa)是sdp框架中極為重要的一項技術。
spa作用於sdp客戶端與sdp閘道器之間,以實現強大的服務隱蔽性。有了spa技術,才能夠實現sdp中的資產隱藏功能。所謂的資產隱藏功能,就是未經過身份驗證的sdp客戶端無法「看見」敏感資產,既然看不見就更談不上訪問請求了。
spa會根據內建演算法生成乙個單資料報,在經過加密分組等等一些手段傳送到sdp閘道器之上,若是這個資料報通過了sdp閘道器的驗證,這樣才會同意與sdp客戶端建立連線。除此之外sdp閘道器都直接將該資料報丟棄,讓其他終端無法確認對方是否存在。
有了spa,在sdp網路中,你無法「看到」除sdp控制器之外的任何其他資產(終端/埠等等)。
目前市場中有很多商業和開源解決方案提供sdp功能。
sdp(軟體定義邊界)讓sdn更安全,你的對面可不能是一條狗!
軟體架構的定義及其理解
所謂軟體架構,指的是軟體系統的整體結構,包括軟體子元素,這些元素的外部屬性以及元素元素之間的關係。這個定義包含了以下三層意思 1 軟體架構是對系統的抽象。它不僅規定了系統有哪些主要軟體元素或模組,還定義了這些元素之間是如何互動的。它並不暴露每個元素的內部屬性 也叫區域性資訊 也就是說每個子模組的私有...
軟體架構概念思辨
由此可見,軟體系統架構關注的是涉及元素之間如何互動的大局,而必須將區域性性的細節忽略。其實,關注大局 把握整體,不僅僅是軟體系統架構學科的主題,還是所有系統科學所研究的物件,錢學森就說過 什麼叫系統,系統就是有許多部分組成的整體,所以系統的概念就是要強調整體,強調整體是由相互關聯 相互制約的各個部分...
軟體架構概念(1)
1應用程式架構 應用程式架構關注點是應用程式,通常包括將應用程式解構為類和元件,確保設計模式的正確應用,構建和使用框架,因公程式架構注重考慮軟體和 組織 2.系統架構 系統架構描述為從元件和服務到子系統更高層次的抽象。系統架構定義大多數都包含了軟體和硬體 3軟體架構 從 結構和基礎到將 成功部署到生...