网络最初的设计目的是通过使用固定的周长来创建与外部世界分离的内部部分。内部网络被认为是可信的,而外部网络则被认为是敌对的。然而,这仍然是大多数网络专业人士的基础,尽管自设计开始以来已经发生了很多变化。
更频繁的是固定周长包括许多网络和安全设备,从而创建服务链式堆栈,导致设备蔓延。通常,用户可能需要传递到内部LAN的设备可能变化。但一般来说,堆栈将包括全球负载均衡器,外部防火墙,DDOS设备,VPN集中器,内部防火墙和最终LAN段。
周边方法基于可视性和可访问性的设计。如果网络外部的实体无法看到内部资源,则无法获得访问权限。因此,外部实体被阻止进入,尚未允许内部实体通过。但是,它只工作到一定程度上。实际上,固定网络周边将永远是违规的;这只是时间问题。有足够技能的人最终会通过。
环境变化 - 云和移动劳动力
考虑到当今网络的运作方式和交通模式的变化;无论是内部还是云,这都限制了固定边界的效果。现在,我们有一个非常灵活的网络周边有很多入口。
想象一个带有用于访问的Portcullis的城堡。进入Portcullis很容易,因为我们只需要通过一名警卫。只有一种方式进出出来。但今天,在这个数字世界中,我们有这么多的小门和进入方式,所有这些都需要单独保护。
这归结为引入基于云的应用服务,并改变周边的位置。因此,用于周边的现有网络设备是拓扑上的。如今,重要的一切都在周边之外,例如远程访问工作人员,SaaS,IAAS和基于PAAS的应用程序。
用户需要访问各种云服务中的资源,而不管资源所在的位置,导致复杂到控制的多云环境。客观地,用户没有,不应该在乎应用程序所在的位置。他们只需要访问应用程序。此外,使用移动劳动力的使用随时随地使用各种设备的任何地方都有挑战,以支持这种动态劳动力。
还有越来越多的设备,例如,BYOD,现场承包商和合作伙伴,将继续在网络内部变化。这最终导致了过度连接的网络世界。
过连接的网络
过连接的网络导致网络设备的复杂配置。这导致没有任何上下文的大而复杂的政策。
它们提供了对IP地址与实际用户不对应的各种服务的粗粒度访问程度。使用静态配置来限制传入和传出流量的传统设备通常基于IP数据包和端口号中的信息。
从本质上讲,没有政策的概念,也没有解释为什么给定的源IP地址在列表上。这种方法没有考虑任何信任的概念,也没有根据设备、用户和应用程序请求事件动态调整访问。
IP地址问题
回到20世纪90年代初,RFC 1597宣布为私人使用的三个IP范围:10.0.0.0/8,172.16.0.0 / 12和192.168.0.0/16。如果使用这些地址之一配置了最终主机,则被认为更安全。然而,这种信任的假设随着时间的推移而破坏,今天仍然困扰着我们。
网络地址转换(NAT)也在很大程度上改变了事情。NAT允许内部可信主机直接与外部不受信任的主机通信。然而,由于传输控制协议(TCP)是双向的,因此它允许在连接到内部主机时由外部主机注入数据。
此外,也没有上下文信息将IP地址作为围绕连接的唯一目的。如果你有某人的IP地址,你可以连接到他们。身份验证是在堆栈的上层处理的。
用户的IP地址不仅会定期更改,但用户和IP地址也不一对一的对应关系。任何人都可以从他们的任何IP地址沟通,也可以在您和可信资源之间插入自己。
您有没有听说过20岁的计算机,响应互联网控制消息协议(ICMP)请求,但没有人知道它在哪里?但这在零信任网络上不存在,因为网络很暗,直到管理员用白名单策略规则集打开灯。这与遗留黑色政策规则集相反。您可以在课程中找到有关零信任的更多信息:零信任网络:大局。
因此,我们不能仅仅依赖IP地址,并期望它们做更多的事情,而不仅仅是连接。因此,我们必须放弃将IP地址和网络位置作为访问信任的代理。网络位置可以成为网络访问级别的驱动程序。它不完全具备决定设备、用户或应用程序的信任程度的能力。
可见性 - 主要差距
当我们分析网络及其缺陷时,可见性是当今混合环境中的主要差距。BY和大型企业网络是复杂的野兽。超过频繁的网络专业人员没有准确的数据或洞察于访问网络资源的谁或内容。
I.T没有可视地检测,例如,不安全的设备,未经授权的用户和可能传播恶意软件或执行数据exfiltration的可能有害连接。
此外,一旦您知道了网络元素是如何连接的,如何通过更广泛的连接定义来确保它们不会重新连接?为此,您需要上下文可见性。你需要对网络有充分的了解,以了解谁、什么、什么时候以及他们是如何与设备连接的。
什么是解决方法?
需要一种新的方法,使应用程序所有者能够保护位于公共云或私有云和内部数据中心中的基础设施。2020欧洲杯预赛这种新的网络架构被称为软件定义的周长(SDP)。返回2013年,云安全联盟(CSA)推出了SDP计划,该项目旨在开发创建更多强大网络的架构。
SDP背后的原则并不完全是新的。国防部和情报社区(IC)内的组织实施了类似的网络架构,该架构基于网络访问之前的身份验证和授权。
通常,每个内部资源都隐藏在设备后面。用户必须在授权服务的可用性之前进行身份验证,并且授予访问权限。
应用零信任框架
SDP是对零信任它从网络中移除隐式信任。SDP的概念始于谷歌的BeyondCorp,这是目前整个行业的发展方向。
谷歌的BeyondCorp提出了公司网络没有任何意义的观点。关于访问应用程序的信任是由包含中央设备的静态网络边界设置的。该设备允许基于非常粗略的策略进行入站和出站访问。
但是,对应用程序的访问应该基于其他参数,例如用户是谁,判断设备的安全姿势,然后对会话进行一些连续评估。合理地,只有这样才能访问。
让我们面对现实吧,假设内部流量可以被信任是有缺陷的,零信任假设网络内部的所有主机都面对互联网,因此是敌对的。
什么是软件定义的周长(SDP)?
SDP旨在部署用于动态配置的周边的周边功能,用于云,混合环境和内部部署数据中心基础架构。2020欧洲杯预赛通常会在会话期间自动创建动态隧道。这是请求实体和可信资源之间的一对一映射。这里的重要点是,不仅仅是通过网络团队遵守固定的位置已经设计的周边。
SDP依赖于两个主要支柱,这些是身份验证和授权阶段。在获取对受保护实体的网络访问之前,SDP需要验证并首先授权的端点。然后,在请求系统和应用程序基础架构之间的实时创建加密连接。
在允许单个数据包到达目标服务之前,请验证和授权用户及其设备,从而强制在网络层处强制已知的最低权限。基本上,最重要的特权的概念是只能被授予它需要完成其工作所需的最低权限。在零信任网络中,权限比传统网络中的权限更加动态,因为它使用了许多不同的活动属性来确定信任分数。
黑暗网络
连接基于需要 - 了解模型。在此模型下,发送DNS信息,内部IP地址或内部网络基础架构的可见端口。这就是为什么SDP资产被视为“黑暗”的原因。因此,SDP隔离对网络和应用的任何疑虑。应用程序和用户被认为是摘要的,它是上提或在云中,这与指定的政策无关紧要。
无论底层网络基础架构如何,访问都会在用户及其设备之间直接授予访问权限。简单地没有网络内外的概念。这最终删除了网络位置点作为优势位置,并且还消除了IP地址提供的过度隐含信任。