云安全联盟：软件定义边界（SDP）和零信任（21页）.pdf

《云安全联盟：软件定义边界（SDP）和零信任（21页）.pdf》由会员分享，可在线阅读，更多相关《云安全联盟：软件定义边界（SDP）和零信任（21页）.pdf（21页珍藏版）》请在三个皮匠报告上搜索。

1、零信任是设计实现网络安全架构一种的理念，在这种架构下，服务只有在用户、设备甚至每一个网络数据包都被充分地检查、认证和授权后才能被访问。即便如此，访问授权也应授予其最小权限。实现零信任架构需要如下几个部分。a） 访问前身份验证使用 VPN 和防火墙建立的零信任体系供用户访问服务（例如：邮件服务）。防火墙可以设置 IP 黑名单并且服务也可以设置哪些 IP 地址可以访问。VPN 可以设置为网络上只有通过认证的 VPN 客户端和拥有适当的密钥的用户可以连接来实现零信任。然而，如果一个未授权的用户复制了 VPN 客户端并且偷到了密钥，那么他也可以访问邮件服务，并且他还可以猜解其他用户的用户名和密码，或者

2、执行诸如 DDoS、凭证盗窃等恶意行为。 VPN 允许用户登录网络并拒绝对不在邮件服务器网段上的其他服务的访问（例如：SharePoint）。如果一个未授权用户已经连入了网络，那么一般来说他会横向访问到 SharePoint 服务。身份认证前允许用户可访问的内容总是会比访问权限控制后要多。为了确保在访问前进行认证，有一个隐含的要求：即将用户身份认证的控制平面和数据平面分离。为了确保响应时间在可接受范围内，还需要一种即时的身份认证机制。公有云/私有云划定了网络安全边界。它提供了一种分层的安全方法，将日志导入监控工具，并且提供了分析和混合服务来控制策略。然而，这些特性并没有解决在访问之前身份验证的

3、问题。原生云平台和应用服务的强大功能支持包括入站/出站安全配置和企业网络策略配置。强身份认证和授权的行业标准是双向 TLS（双向 ssl）证书认证。一种更好的方法是在数据包访问之前进行身份验证，将 SDN 控制器与 SDP 零信任平台连接，并在 SDN 控制器提供的流量管理控制下在网络层丢弃或放行数据包。通过这种结构，SDN 控制器可以在用户身份验证失败后断开网络连接。网络层VPN和防火墙以及应用层防火墙和SSL VPN没有办法实现细粒度的访问控制。零信任体系不仅天生的具有基于策略的授权能力，而且还要求其在细粒度的网络上下文以及分布式服务连接和私有云/公有云的多云互联方案中进行身份认证。使用网络层防火墙时需认真斟酌下。由于它是静态的，因此用户组是它所能提供的信任颗粒度。来自不同部门、不同角色的一组用户需要访问具有相同 IP地址的同一服务情况是很常见的。防火墙规则是静态的，其策略只依赖于网络信息。它们不会根据上下文（即网络中设备所需的信任级别）动态更改。一个常见的例子是用户在风险更高的网络例如网吧中请求访问。如果本地防火墙或防病毒软件因恶意软件或某种意外而关闭，传统防火墙将不会检测到这一点。另一个例子是 IPSec VPN，它在允许访问前不会进行身份属性的认证。相反，IPSec VPN 依赖令牌（token）和凭证，而这可能被截获。而 SSL VPN 又有已知的漏洞。