网络最初设计的目的是通过一个固定的边界来创建与外部世界相隔离的内部网络。内部网络被认为是可信赖的,而外部网络被认为是敌对的。目前,这些仍然是大多数网络专业人士的基础,尽管网络自设计以来已经发生了很多变化。
固定边界通常由许多网络和安全设备组成,从而创建服务链式堆栈,但这种方式会导致设备无序扩散。通常,用户需要传递到内部LAN的设备可能会有所不同。但总而言之,堆栈将包括全局负载平衡器、外部防火墙、DDoS设备、V**集中器、内部防火墙以及最终的LAN网段。
边界方法的设计基于可见性和可访问性。如果网络外部的实体无法看到内部资源,则无法获取访问权限。因此,外部实体被禁止进入,但内部实体被允许通过。然而,边界方法只在某种程度上起作用。实际上,固定网络边界是永远可破坏的,这只是时间问题,有足够技能的人最终会通过。
环境变化——云计算和移动办公员工增加
想象一下一座城堡里面只有一个用来获取通道的闸门。如果我们想进去,只需要通过看守人员的同意,所以很容易进入。但今天,在这个数字世界中,我们有许多小门和方式进入城堡,所有“小门”都需要单独保护。
这归根究底是因为基于云的应用程序服务的引入和边界位置的改变。因此,用于边界的现有网络设备在拓扑上位于不利位置。如今,重要的一切都在外围,例如远程访问工作者、SaaS、IaaS和基于PaaS的应用程序。
无论资源位于何处,用户都需要访问各种云服务中的资源,从而导致控制多云环境的复杂性增加。客观地说,用户不需要也不应该关心应用程序的位置。他们只需要访问该应用程序。此外,越来越多地移动工作人员需要随时随地访问各种设备,这对企业也提出了挑战。
还有越来越多的设备例如BYOD,它们将在网络内部继续蔓延。这最终导致一个网络过度连接的世界。
过度连接的网络
过度连接的网络导致网络设备配置越来越复杂。它们提供了对各种服务的粗粒度访问级别,而这些服务的IP地址与实际用户并不一致。传统设备通常基于IP数据包和端口号中的信息,使用静态配置来限制传入和传出流量。从本质上讲,没有策略的概念,也没有解释为什么给定的源IP地址在列表中。这种方法没有考虑到信任的任何概念,也没有动态地调整与设备、用户和应用程序请求事件相关的访问。
IP地址问题
早在20世纪90年代初,RFC 1597宣布为私人使用保留三个IP范围:10.0.0.0 / 8、172.16.0.0/12和192.168.0.0/16。如果终端主机配置了其中一个地址,则认为该主机更安全。然而,随着时间的推移,这种信任的假设破灭了,今天仍然困扰着我们。
网络地址转换(NAT)也在很大程度上改变了事物。NAT允许内部可信主机直接与外部不可信主机通信。而且,由于传输控制协议(TCP)是双向的,它允许外部主机在连接内部主机时注入数据。
此外,IP地址还有一个缺点,它并没有关联上下文的信息,主要的目的还是围绕连接。如果您拥有某人的IP地址,就可以连接到他们。身份验证在堆栈的更高层处理。。
用户的IP地址不仅会定期更改,而且用户和IP地址之间也没有一对一的对应关系。任何人都可以通过他们喜欢的IP地址进行通信。因此,我们不能仅仅依靠IP地址并期望它们做除了连接之外的事情。我们必须远离IP地址和网络位置作为访问信任的代理。
可见性——一个主要问题
当我们分析网络及其缺陷时,可见性是当今混合环境中的一个主要问题。总的来说,企业网络是复杂的野兽。网络专业人员通常无法获得有关访问网络资源的人员或内容的准确数据。
IT部门没有可见性来检测不安全的设备、未经授权的用户以及可能传播恶意软件或执行数据泄露的潜在有害连接。
此外,一旦你知道网络元素是如何连接的,你如何确保它们不会通过更广泛的连接定义重新连接?为此,您需要上下文可见性。您需要全面了解网络,以了解谁、什么、何时以及如何与设备连接。
解决方法是什么?
需要一种新方法,使应用程序所有者能够保护位于公共云或私有云和内部部署数据中心的基础架构。这种新的网络架构称为软件定义的边界(SDP)。早在2013年,云安全联盟(CSA)就启动了SDP计划,该计划旨在开发创建更强大的网络架构。
SDP的概念并不是全新的。国防部和情报社区(IC)内的组织实施了类似的网络架构,该架构基于网络访问之前的身份验证和授权。
通常,每个内部资源都隐藏在设备后面。并且用户在授予访问权限之前必须进行身份验证。
应用零信任框架
SDP是零信任的扩展,它消除了来自网络的隐含信任。SDP的概念始于谷歌的BeyondCorp,这是该行业目前最流行的一个案例。
谷歌的BeyondCorp提出了在企业网络内部没有任何信任的想法。关于访问应用程序的信任是通过一个包含中央设备的静态网络边界设置的。对应用程序的访问是基于一些参数(例如用户是谁、设备安全状态)的判断,然后是会话的持续评估。理性地讲,只有这样才能被允许进入。
什么是软件定义的边界(SDP)?
SDP的目标是为云、混合环境和内部数据中心基础架构的动态配置边界应用功能。通常会在会话期间自动创建动态隧道。这是请求实体和可信资源之间的一对一映射。这里要注意的是,边界的形成不仅仅是为了服从网络团队已经设计的固定网络位置。
SDP依赖于两个主要支柱,即认证和授权阶段。在获得对受保护实体的网络访问权限之前,SDP要求端点进行身份验证并获得授权。然后,在请求系统和应用程序基础结构之间实时创建加密连接。
在允许单个数据包到达目标服务之前对用户及其设备进行身份验证和授权,在网络层强制实施所谓的最低权限。本质上,最小特权的概念是只授予实体完成工作所需的最小特权。在零信任网络中,特权比传统网络更具动态性,因为它使用许多不同的活动属性来确定信任分数。
黑暗的网络
连接是基于一个需要知道的模型。在这种模式下,不传输DNS信息、内部IP地址或内部网络基础设施的可见端口。这就是为什么SDP被认为是“黑暗”的原因。因此,SDP可以消除对网络和应用程序的任何担忧。应用程序和用户被认为是抽象的,无论是在本地还是在云中,这与分配的策略无关。
无论底层网络基础设施如何,用户及其设备都可以直接访问应用程序和资源。网络没有内外之分,消除了作为优势位置的网络位置点,也消除了IP地址提供的过度隐式信任。
原文链接:
https://www.networkworld.com/article/3402258/software-defined-perimeter-sdp-creating-a-new-network-perimeter.html