如今,许多公司在网络和IT基础设施方面采用了一种混合方法。有些元素保留在本地数据中心,而其他部分则转移到云甚至是多云。2020欧洲杯预赛因此,网络周长具有渗透性和弹性。这使得访问需求更加复杂,而此时启用可访问性,同时防止对应用程序和数据的未经授权的访问比以往任何时候都重要。
为了降低风险,一些组织采用“先验证后信任”的零信任策略,包括更强的、有状态的用户和设备验证;细粒度的访问控制;以及增强的分割,无论应用程序和资源位于何处。
零信任策略的一个实现就是软件定义周长(SDP)。SDP是云安全联盟定义的架构。SDP已经存在好几年了,主要用于保护基于云计算或SaaS的应用程序和数据。脉冲安全最近宣布了一个混合IT的SDP解决方案,这将使其对拥有多样化基础设施的企业更具吸引力。
软件定义的周长是如何工作的
软件定义边界的概念是建立最接近相关资源的信任。这意味着在发出访问请求的实体上建立信任,以及在要访问的应用程序或网络资源上建立信任。要建立这种信任并最终建立所需的安全连接,需要几个不同的组件。
第一个组件是希望访问应用程序或其他资源(实体)的客户机。一个关键的安全特性是实体没有DNS条目,所以它是隐藏的,不能直接访问。相反,客户端有一个支持SDP的代理或无代理方法来与第二个组件通信,SDP控制器持有安全策略并仲裁最终用户与物联网设备和隐藏实体之间的所有连接。控制器有一个受信任和授权的有限用户列表,以及一个已注册的设备列表。
控制器与客户端通信,以了解用户是谁以及设备的安全状态。此信息根据控制器管理的基于角色的访问控制和资源策略进行检查,该策略与企业标识管理系统有内在的接口。如果一切都检出,控制器将与解决方案的第三个组件(位于目标实体附近的SDP网关)进行通信和身份验证。
在安全证书交换之后,控制器安全地通知网关,它将从客户端接收经过身份验证的通信。控制器安全地通知客户端如何直接建立到此网关的安全通信。接下来,客户端和网关进行身份验证并建立它们的安全通信,从而创建到所需实体的直接连接。请参见下面对该体系结构的说明。
当然,最终用户并不知道这个复杂的过程。他们所知道的是,他们遵循常规程序,不管是在PC、平板电脑、智能手机还是浏览器上,都可以访问他们的应用程序或资源,所有复杂的验证和身份验证都在后台进行。
SDP体系结构可以创建对特定应用程序和资源的访问的细粒度划分,不管它们是内部云、公共云还是私有云。因为目标实体是隐藏的,任何想要访问它们的人或任何东西都必须经过控制器的验证,所以威胁面减少了。恶意软件、证书盗窃、中间人和内部网络攻击基本上都被关闭了,因为在没有适当的安全证书和秘密握手的情况下,它们无法横向移动,甚至无法南北移动。
软件定义的周长用例
以下是一些SDP在企业中的用例:
- 简化BYOD访问——直接、安全、轻松地从用户选择的设备访问云应用程序或资源
- 第三方和特权用户访问——允许第三方和特权用户从任何地方访问关键系统,但对每个应用程序或资源进行细粒度控制
- 应用或网络分割-进一步减少恶意软件传播和攻击表面内的数据中心和云环境2020欧洲杯预赛
- DevOps——动态提供安全访问,允许DevOps用户访问关键资源并隔离工作负载
今天,一些SDP产品(如zScaler)作为云服务提供,其中SDP控制器托管在企业外部,需要访问请求、策略、身份和实体交互通过其托管服务来支持云访问。许多组织不能或不希望通过第三方进行云访问控制和路由。
Pulse Secure已将SDP作为其更广泛的安全访问平台的一部分,该平台还支持各种模式的VPN(例如,始终在线、按需、每个应用程序和移动设备)、NAC和移动安全。SDP是一种补充产品,允许客户选择最适合他们的访问控制措施。新的或现有的脉冲安全客户与先进或企业套件可以激活SDP与一个许可证密钥的轻弹。
安全访问平台支持集中式策略管理、互操作性、可伸缩性、执行数据中心或多云的能力,以及执行应用程序的负载平衡和安全性的能力。2020欧洲杯预赛在整个安全访问平台中,零信任是一个关键原则,无论使用哪种方法——SDP、VPN、NAC。