SDP架構初識

2022-08-24 09:15:09 字數 2440 閱讀 9920

實現零信任的框架主要有sdp和google beyondcorp模型,前者出現在乙方的安全解決方案中,後者多作為甲方落地零信任的參考。本文主要記錄對sdp技術的一些初步認識。

sdp是software defined perimeter的縮寫,全稱是軟體定義邊界。

軟體定義邊界(sdp)是由雲安全聯盟(csa)開發的一種安全框架,它根據身份控制對資源的訪問。該框架基於美國國防部的「need to know」模型——每個終端在連線伺服器前必須進行驗證,確保每台裝置都是被允許接入的。其核心思想是通過sdp架構隱藏核心網路資產與設施,使之不直接暴露在網際網路下,使得網路資產與設施免受外來安全威脅。

sdp旨在利用基於標準且已驗證的元件,如資料加密、遠端認證(主機對遠端訪問進行身份驗證)、傳輸層安全(tls,一種加密驗證客戶端資訊的方法)、安全斷言標記語言(saml),它依賴於加密和數字簽名來保護特定的訪問及通過x.509證書公鑰驗證訪問。將這些技術和其他基於標準的技術結合起來,確保sdp與企業現有安全系統可以整合。

1.對裝置進行身份認證和驗證

2.對使用者進行身份驗證和授權

3.確保雙向加密通訊

4.動態提供連線

5.控制使用者與服務之間連線,同時隱藏這些連線

sdp架構主要包括三大元件:sdp控制器(sdp controler)、sdp連線發起主機(ih,initial host)、sdp連線接受主機(ah,accept host),sdp主機可以發起連線也可以接受連線,ih和ah會直接連線到sdp控制器,通過控制器與安全控制通道的互動來管理。該結構使得控制層能夠與資料層保持分離,以便實現完全可擴充套件的安全系統。此外,所有元件都可以是冗餘的,用於擴容或提高穩定執行時間。

sdp遵循如下工作流程:

1.在 sdp 中新增並啟用乙個或多個【sdp 控制 器】並連線到身份驗證和授權服務,例如 am、 pki 服務、裝置驗證、地理位置、saml、 openid、oauth、ldap、kerberos、多因子身 份驗證、身份聯盟和其他類似的服務。

2.在 sdp 中新增並啟用乙個或多個 ah。它們以 安全的方式連線控制器並進行驗證。 ah 不響 應來自任何其他主機的通訊,也不會響應任 何未許可的請求。

3.每個 ih 會在 sdp 中新增和啟用,並與【sdp 控制器】連線並進行身份驗證。

4.ih 被驗證之後,【sdp 控制器】確定 ih 被授 權可以連線的 ah 列表。

5.【sdp 控制器】指示 ah 接受來自 ih 的通訊, 並啟動加密通訊所需的任何可選策略。

6.【sdp 控制器】為 ih 提供 ah 列表,以及加 密通訊所需的任何可選策略。

7.ih 向每個授權的 ah 發起 spa(spa,單包授權,使未授權的使用者和裝置無法感知或訪問)。然後 ih 和這 些 ah 建立雙向加密連線(例如,雙向驗證 tls 或 mtls)。

8.ih 通過 ah 並使用雙向加密的資料通道與目標 系統通訊。

csa(雲安全聯盟)的sdp標準規範1.0中定義了以下幾種在組織中可能的sdp架構:

sdp 技術最關鍵的組成部分之一是要求並強制實施 「先認證後連線」模型,該模型彌補了 tcp/ip 開放 且不安全性質的不足。sdp 通過單包授權(spa)實 現這一點。spa 是一種輕量級安全協議,在允許訪問 控制器或閘道器等相關系統元件所在的網路之前先檢查 裝置或使用者身份。

spa 的目的是允 許服務被防火牆隱藏起來並被預設丟棄。該防火牆系 統應該丟棄所有 tcp 和 udp 資料報,不回覆那些連 接嘗試,從而不為潛在的攻擊者提供任何關於該埠 是否正被監聽的資訊。在認證和授權後,使用者被允許 訪問該服務。spa 對於 sdp 不可或缺,用於在客戶端 和控制器、閘道器和控制器、客戶端和閘道器等之間的連 接中通訊。

spa 在 sdp 中起很大作用。sdp 的目標之一是克服 tcp/ip 開放和不安全的基本特性。tcp/ip 的這個特性 允許「先連線後認證」。鑑於今天的網路安全威脅形 勢,允許惡意行為人員掃瞄並連線到我們的企業系統 是不可被接受的。與 sdp 組合的 spa 通過兩種方式應 對這個弱點。使用 sdp 架構的應用被隱藏在 sdp 閘道器 /ah 後面,從而只有被授權的使用者才能訪問。另外, sdp 元件自身,如控制器和閘道器也被 spa 保護。這允 許它們被安全地面向網際網路部署,確保合法使用者可以 高效可靠地訪問,而未授權使用者則看不到這些服務。 spa 提供的關鍵好處是服務隱藏。防火牆的 default- drop(預設丟棄)規則緩解了埠掃瞄和相關偵查技術帶來的威脅。這種防火牆使得 spa 元件對未授權使用者不可見,顯著減小了整個 sdp 的攻擊面。 相比與 vpn 的開放埠以及在很多實現中都存在的 已知弱點,spa 更安全。

spa的實現可能有輕微的差別,但是都滿足以下原則:

1.資料報必須被加密和認證

2.資料報必須自行包含所有必要的資訊;單獨的資料報頭不被信任

3.生成和傳送資料報必須不依賴與管理員或底層訪問許可權;不允許篡改原始資料報

4.伺服器必須盡可能無聲地接收和處理資料報;不傳送回應或確認

集合架構初識

collection list列表,set集 map hashtable hashmap treemap collection 是單列集合 list 元素是有序的 可重複 有序的collection 可以對列表中每個元素的插入位置進行精確地控制。可以根據元素的整數索引 在列表中的位置 訪問元素,並搜...

理解SDP軟體定義邊界 概念 架構 流程

目前,虛擬專用網路 vpn 是很多公司遠端訪問的解決方案之一。但是,vpn使用者一旦獲得授權就可以廣泛訪問公司網路上的資源。這種廣泛訪問的方法使潛在的敏感資源和資訊暴露給vpn使用者和攻擊者。因此,圍繞軟體定義的邊界解決方案 sdp 成為安全遠端訪問的乙個更具吸引力的替代方案。虛擬專用網 vpn 面...

初識 框架與架構

系統 的維基百科定義 系統泛指由一群有關聯的個體組成,根據某種規則運作,能完成個別元件不能單獨完成的工作的群體。它的意思是 總體 整體 或 聯盟 子系統 的維基百科定義 子系統也是由一群有關聯的個體所組成的系統,多半會是更大系統中的一部分。子系統的定義和系統定義是一樣的,只是觀察的角度有差異,乙個系...