Softwarově definovaný obvod - Software Defined Perimeter

Softwarově definovaný obvod (SDP), nazývaný také „Černý mrak", je přístup k zabezpečení počítače které se vyvinuly z práce odvedené na Agentura pro obranné informační systémy (DISA) pod Globální informační mřížka (GIG) Iniciativa Black Core Network kolem roku 2007.[1] Softwarově definovaný obvodový rámec (SDP) byl vyvinut společností Cloud Security Alliance (CSA) pro řízení přístupu ke zdrojům na základě identity. Připojení v softwarově definovaném obvodu je založeno na a potřebuji vědět model, ve kterém se před udělením přístupu k aplikační infrastruktuře ověřuje držení těla a identita.[2] Infrastruktura aplikace je účinně „černá“ (termín DoD znamená, že infrastrukturu nelze detekovat), bez viditelnosti DNS informace nebo IP adresy.[pochybný – diskutovat] Vynálezci těchto systémů tvrdí, že softwarově definovaný obvod zmírňuje nejběžnější síťové útoky, včetně: skenování serveru, odmítnutí služby, Vložení SQL, zranitelnost operačního systému a aplikací využije, muž uprostřed, hash, předat lístek a další útoky neoprávněných uživatelů.[3]

Pozadí

Předpokladem tradiční podnikové síťové architektury je vytvoření interní sítě oddělené od vnějšího světa pevným obvodem, který se skládá z řady funkcí brány firewall, které blokují vstup externích uživatelů, ale umožňují interním uživatelům dostat se ven.[4] Tradiční pevné obvody pomáhají chránit interní služby před vnějšími hrozbami pomocí jednoduchých technik blokování viditelnosti a přístupnosti z vnější strany k interním aplikacím a infrastruktuře. Slabiny tohoto tradičního modelu s pevným obvodem jsou však kvůli popularitě stále problematičtější zařízení spravovaná uživateli a phishing - útoky poskytující nedůvěryhodný přístup uvnitř obvodu a - SaaS a IaaS prodloužení obvodu do internetu.[5] Softwarově definované obvody řeší tyto problémy tím, že dávají vlastníkům aplikací možnost nasadit obvody, které zachovávají hodnotu neviditelnosti a nepřístupnosti tradičního modelu pro cizince, ale lze je nasadit kdekoli - na internetu, v cloudu, v hostitelském centru, na soukromém v podnikové síti nebo na některých nebo všech těchto místech.[2]

Architektura

Ve své nejjednodušší podobě se architektura SDP skládá ze dvou komponent: SDP Hostitelé a řadiče SDP. [6] Hostitelé SDP mohou buď zahájit připojení, nebo přijmout připojení. Tyto akce jsou spravovány interakcemi s řadiči SDP prostřednictvím řídicího kanálu (viz obrázek 1). V softwarově definovaném obvodu je tedy řídicí rovina oddělena od roviny dat, aby byla zajištěna větší škálovatelnost. Všechny komponenty mohou být navíc pro vyšší dostupnost nadbytečné.

Obrázek 1: Architektura softwarově definovaného obvodu se skládá ze dvou komponent: SDP Hosts a SDP Controllers

Rámec SDP má následující pracovní postup (viz obrázek 2).

  1. Jeden nebo více řadičů SDP je připojeno online a je připojeno k příslušným volitelným ověřovacím a autorizačním službám (např. PKI, otisky prstů zařízení, geolokace, SAML, OpenID, OAuth, LDAP, Kerberos, vícefaktorové ověřování a další podobné služby).
  2. Jeden nebo více přijímajících hostitelů SDP je online. Tito hostitelé se připojují ke správcům a ověřují se u nich. Nepotvrzují však komunikaci od žádného jiného hostitele a nebudou reagovat na žádný nezařízený požadavek.
  3. Každý iniciující hostitel SDP, který je uveden do provozu, se připojuje k řadičům SDP a ověřuje se u nich.
  4. Po ověření iniciačního hostitele SDP určí řadiči SDP seznam přijímajících hostitelů, se kterými je iniciační hostitel oprávněn komunikovat.
  5. Řadič SDP dává pokyn přijímajícím hostitelům SDP, aby přijali komunikaci od iniciujícího hostitele, jakož i jakékoli volitelné zásady vyžadované pro šifrovanou komunikaci.
  6. Řadič SDP dává iniciujícímu hostiteli SDP seznam přijímajících hostitelů a všechny volitelné zásady vyžadované pro šifrovanou komunikaci.
  7. Zahajující hostitel SDP iniciuje vzájemné připojení VPN ke všem autorizovaným přijímajícím hostitelům.
Obrázek 2: Pracovní postup architektury Softwarově definovaného obvodu
Modely nasazení SDP

Zatímco obecný pracovní postup zůstává u všech implementací stejný, může aplikace SDP upřednostňovat určité implementace před ostatními.

Klient-brána

V implementaci klient-brána je jeden nebo více serverů chráněno za přijímajícím hostitelem SDP, takže přijímající hostitel SDP funguje jako brána mezi klienty a chráněnými servery. Tuto implementaci lze použít v podnikové síti ke zmírnění běžných útoků bočního pohybu, jako je skenování serveru, zneužití zranitelnosti OS a aplikací, prolomení hesla, man-in-the-middle, Pass-the-Hash (PtH) a další.[6][7][8] Alternativně může být implementován na internetu k izolaci chráněných serverů od neoprávněných uživatelů a ke zmírnění útoků, jako je odepření služby, zneužití zranitelnosti OS a aplikací, prolomení hesla, man-in-the-middle a další.[9][10]

Klient-server

Implementace typu klient-server má podobné funkce a výhody jako výše popsaná implementace typu klient-brána. V tomto případě však bude na chráněném serveru spuštěn software Accepting SDP Host namísto brány sedící před serverem, na kterém je tento software spuštěn. Volba mezi implementací typu klient-brána a implementací typu klient-server je obvykle založena na počtu chráněných serverů, metodice vyrovnávání zatížení, pružnosti serverů a dalších podobných topologických faktorech. [13]

Server-to-server

V implementaci server-to-server servery nabízející službu REST (Representational State Transfer), službu SOAP (Simple Object Access Protocol), vzdálené volání procedur (RPC) nebo jakýkoli druh aplikačního programovacího rozhraní (API) přes Internet lze chránit před neoprávněnými hostiteli v síti. Například v tomto případě by serverem, který inicializuje volání REST, byl Hostující SDP hostitel a serverem nabízejícím službu REST by byl Přijímající hostitel SDP. Implementace SDP pro tento případ použití může snížit zátěž na tyto služby a zmírnit útoky podobné těm, které jsou zmírněny implementací klient-brána.

Klient-server-klient

Výsledkem implementace klient-server-klient je vzájemný vztah mezi dvěma klienty a lze jej použít pro aplikace, jako je IP telefon, chat a videokonference. V těchto případech SDP obfuská IP adresy připojujících se klientů. Jako menší variantu může mít uživatel také konfiguraci klient-brána-klient, pokud si uživatel přeje také skrýt aplikační server.

Aplikace SDP

Izolace podnikových aplikací

U narušení dat, která zahrnují duševní vlastnictví, finanční informace, údaje o lidských zdrojích a další soubory dat, která jsou k dispozici pouze v podnikové síti, mohou útočníci získat přístup do interní sítě kompromitováním jednoho z počítačů v síti a poté se přesunout na získejte přístup k vysoce hodnotnému informačnímu aktivu. V tomto případě může podnik nasadit SDP uvnitř svého datového centra, aby rozdělil síť a izoloval aplikace vysoké hodnoty. Neoprávnění uživatelé nebudou mít k chráněné aplikaci přístup k síti, čímž se zmírní boční pohyb, na kterém tyto útoky závisí.[11]

Privátní cloud a hybridní cloud

I když je to užitečné pro ochranu fyzických strojů, softwarová překryvná povaha SDP také umožňuje jeho integraci do soukromých cloudů, aby se využila flexibilita a pružnost takových prostředí. V této roli mohou podniky SDP používat ke skrytí a zabezpečení svých instancí veřejného cloudu v izolaci nebo jako jednotný systém, který zahrnuje soukromé a veřejné cloudové instance a / nebo klastry mezi cloudy.

Prodejci softwaru jako služby (SaaS) mohou k ochraně svých služeb použít SDP. V této implementaci by softwarová služba byla přijímajícím hostitelem SDP a všichni uživatelé, kteří touží po připojení ke službě, by byli iniciujícími hostiteli. To umožňuje SaaS využít globální dosah internetu bez povolení globálního útoku na internet.

Dodavatelé infrastruktury jako služby (IaaS) mohou svým zákazníkům nabízet SDP jako službu jako chráněnou rampu. To umožňuje jejich zákazníkům využívat agilitu a úspory nákladů IaaS při současném zmírnění široké škály potenciálních útoků.

Dodavatelé platformy jako služby (PaaS) mohou svou nabídku odlišit tím, že do své služby zahrnou architekturu SDP. To dává koncovým uživatelům integrovanou bezpečnostní službu, která zmírňuje síťové útoky.

K internetu se připojuje obrovské množství nových zařízení.[12] Back-endové aplikace, které spravují tato zařízení a / nebo extrahují informace z těchto zařízení, mohou mít zásadní význam a mohou působit jako správce soukromých nebo citlivých dat. SDP lze použít ke skrytí těchto serverů a interakcí s nimi přes internet, aby bylo zajištěno lepší zabezpečení a provozuschopnost. [13]

Viz také

Reference

  1. ^ Ministerstvo obrany Globální informační mřížka Architektonická vize. 2007. str. 28–30.
  2. ^ A b "Softwarově definovaný obvod". Cloud Security Alliance. Citováno 29. ledna 2014.
  3. ^ Gartner, Market Guide for Zero Trust Access. „Průvodce Gartner SDP“. gartner.com.
  4. ^ Barrie, Sosinsky (květen 2004). „Obvodové sítě“. Hledat v síti. Citováno 30. ledna 2014.
  5. ^ Wagner, Ray; Ray Wagner; Kelly M. Kavanagh; Mark Nicolett; Anton Chuvakin; Andrew Walls; Joseph Feiman; Lawrence Orans; Ian Keene (2013-11-25). „Predicts 2014: Infrastructure Protection“. Gartner. Citováno 19. února 2014.
  6. ^ McClure, Stuart (11. července 2012). Hacking odhalil 7 tajemství a řešení zabezpečení sítě. McGraw Hill. ISBN  0071780289.
  7. ^ Micro, trend. „BOČNÍ POHYB: Jak se herci hrozeb dostanou hlouběji do vaší sítě?“. Trend Micro. Citováno 19. února 2014.
  8. ^ „Zpráva o vyšetřování porušení ochrany údajů“. Verizon. Citováno 19. února 2014.
  9. ^ „IBM X-Force 2012 Mid-Year Trend and Risk Report“. Výzkum a vývoj IBM X-Force. Citováno 19. února 2014.
  10. ^ „Zpráva o globálních hrozbách“. Řešení. Citováno 19. února 2014.
  11. ^ Moubayed, Abdallah; Refaey, Ahmed; Shami, Abdallah (říjen 2019). „Software-Defined Perimeter (SDP): State of the Art of Secure Solution for Modern Network“. Síť IEEE.
  12. ^ Middleton, Peter; Kjeldsen, Peter; Tully, Jim (18. listopadu 2013). „Forecast: The Internet of Things, Worldwide, 2013“. Gartner (G00259115). Citováno 29. ledna 2014.
  13. ^ Refaey, Ahmed; Sallam, Ahmed; Shami, Abdallah (říjen 2019). „V aplikacích IoT: navrhovaný rámec SDP pro MQTT“. Elektronické dopisy.

externí odkazy