部署零信任软件定义的边界(SDP)的架构是不是完全取代虚拟专用网络(VPN)技术和防火墙。总的来说,这标志着内部和外部防火墙的分界点不会很快消失。VPN集中也将有其可预见的未来地位。
一个推倒重来,无论是一个非常积极的部署方法技术的时代。虽然SDP是新的,但应谨慎选择正确的供应商时,走近。一个SDP通过应是一个缓慢的迁移过程,而不是一次过推倒重来。
正如我在Network Insight上写的那样【声明:作者受雇于Network Insight】,而SDP是一个颠覆性的技术,在与许多SDP供应商讨论之后,我发现当前的SDP景观倾向于基于特定的用例和项目,而不是必须在全球实现的技术。首先,您应该能够仅为特定的用户段实现SDP。
传统的传统的VPN和新的SDP架构将有一段最有可能并存相映成趣。因此,如果可能的话,你应该选择为支持这是一个单窗格-的玻璃内控制双模式VPN和SDP架构中的溶液。
SDP体系结构的类型
各种SDP架构具有不同的特性,并且不彼此相同。但重要的是提供这样的结构,很容易为客户没有太多的变化,消费,包括开辟新的防火墙端口。在这种情况下,有一个云的第一SDP解决方案,由此一个供应商的私有云被用于控制网络资源的访问。
有一些供应商提供SDP组件,使您能够在云中和本地位置实现。然后我们有基础设施供应商,你必须运行他们的所有组件,使事情正常运行。我们也有一个叠加选项。
最后,纯内容交付网络(CDN)提供SDP解决方案,要求您使用他们的网络交付服务。在这篇文章中,让我们讨论一下SDP体系结构,其中供应商提供的组件允许您自己实现或与他们的专业服务团队一起实现。在这里,一些供应商严格遵循云安全联盟(CSA)的SDP架构指南,而另一些则没有。
公共SDP体系结构由SDP控制器、客户端和网关组件组成。自助服务遵从性方法应该提供两个选项;SDP和基于边界的VPN功能以并行方式工作,同时仍然支持零信任原则。您应该确保新的SDP组件能够轻松地与已经部署的现有平台和供应商集成。
控制器 - 集中策略实施引擎
对于集中的身份验证和授权,控制器组件跟踪用户、设备和应用程序。控制器充当中央策略实施引擎,控制所有用户、设备和应用程序的控制和数据平面。
控制平面提供的功能像颗粒状的分割,即你可以得到非常具体,甚至微分段在上下文中每个应用程序,用户或设备。每个人都和一切连接到网络都会有一个政策管辖,他们可以去,他们可以看到和做到。
控制器跟踪触发身份验证过程的实体并与之通信。通过这样做,控制器可以确定哪些主机可以彼此通信。控制器可以将信息传递给外部服务,如认证、地理位置和/或身份服务,以决定请求主机可以访问什么。
关于控制器的基调是它可以支持的集成点的类型。SDP控制器应该能够连接和支持授权服务,例如PKI、设备指纹、地理位置、SAML、OpenID、OAuth、LDAP、Kerberos和多因素身份验证。
控制器集中策略并在SDP客户端和SDP网关之间引导一个接口。这不仅支持分类,而且还赋予了将策略推出到距离请求客户机更近的网关的能力。因此,最大的收获之一是谁在网络上以及他们可以去哪里的可见性。正如在之前的一篇关于SDP的文章中所讨论的,如今可见性是企业网络中的一个主要缺口。
我们有一个“黑暗”网络,因为最终用户没有能力看到内部资源的IP或DNS条目(也可以保护免受DDoS攻击)。然后,根据集中式控制器设置并推到网关的身份验证和授权,管理员实际上打开了指示灯。
网关的角色
网关可以定位在通过公共云市场接近或位于内部部署云物理设备或虚拟机(VM)。
理想情况下,网关可以在接近请求资源的位置来确定。地理位置的结合点是在这个意义上这里有用的,只有某些位置可以访问信息,由于安全原因,或增强重定向到在逻辑上更接近的服务用户体验。
用户同时拥有多条通往多个网关的通道是很常见的。它不是静态路径或一对一关系,而是用户与应用程序的关系。因此,应用程序可以存在于任何地方,因此隧道是动态的和短暂的,提供对受保护资产的访问。您可以说网关是一种中间件设备。
一旦用户被认证和授权给控制器,发生在网关附加检查。例如,SAML插入可以用来然后将信息传递给所述基于SaaS的发行对用户进行认证。
有政策和配置位于网关使网关进行端点验证阶段,每个阶段之一。这可以确保端点正在履行强制执行状况评估之前访问权限授予网络。
从本质上说,关于用户,设备安全状态的所有装置的信息,与地理定位信息一起从控制器提取并通过一个安全控制面发送到网关。
代理的角色
信任是双向的信念,即两个通信实体在上下文中做它们应该做的事情。因此,应该在离端点最近的地方建立信任。这可以通过代理或端点上的无代理客户机来执行。客户机应该跨不同的操作系统工作,因此用户不必自己管理任何东西。
对于基于浏览器的解决方案,用户使用web浏览器访问受保护的应用程序。因此,它不会给你TCP和UDP端口的全部范围,但你可以做许多事情,本机讲HTML5。
所述SDP过程的典型流程
所以,让我们总结一下流程。客户端首先向控制器发出请求。然后控制器响应请求并返回客户端可以访问的资源列表。控制器根据已经设置的策略来确定这一点。
一旦控制器完成了所有的决定以及地理位置以确保它们指向正确的网关,控制器就会通过控制平面将策略信息转发到所选的网关。网关然后与端点上的客户机(代理或无代理)联系。
客户端识别需要运行的策略和需要连接的网关。现在,客户机知道提供所请求的服务的正确网关。然后,它为该客户端启动一个额外的身份验证过程。身份验证基于身份、设备、设备配置和其他上下文信息。
然后,该信息通过控制平面发送给控制器。然后控制器检查客户端是否满足所有身份验证要求,并匹配适合访问资源的安全状态。
一旦这个过程完成后,客户端设置到网关的安全连接,并可以建立数据平面。客户端直接通过数据平面网关进行通信,而无需流经集中控制器的流量。
所有SDP体系结构的通用阶段
我们有许多SDP架构,但它们中的大多数都在类似的原理和阶段上运行,如下所述。
SDP体系结构以用户为中心;这意味着他们在允许任何访问之前验证用户和设备。访问策略是基于用户属性创建的。这与传统的网络系统相比,传统网络系统仅仅基于IP地址,而不考虑用户及其设备的细节。
评估上下文信息是SDP的一个关键方面。任何与IP相关的东西都是荒谬的,因为我们没有一个有效的钩子来执行安全策略。我们需要评估的不仅仅是IP地址。
对于设备和用户评估,我们需要更深入地研究,不仅仅把IP作为网络位置的锚点,还作为信任的锚点。理想情况下,一个可行的SDP解决方案必须分析用户、角色、设备、位置、时间、网络和应用程序,以及端点安全状态。
另外,通过利用元素,例如目录组成员关系和iam分配的属性和用户角色,组织可以定义和控制对网络资源的访问。这可以以对业务、安全和法规遵循团队有意义的方式执行。
从本质上讲,拼图的第一块是验证和授权每个用户和连接。对于这一点,我们需要进行若干个阶段,如下所示。
验证用户的姿势
首先,SDP供应商需要验证用户。这可以通过安全断言标记语言(SAML)的SSO(单点登录)或多因素身份验证来实现。用户的验证取决于用户试图访问的内容。网络资源可以在云中,例如,基于saas的应用程序或本地的企业网络,它们描述了验证方法。
利用广泛的多因素身份验证和授权选项,确保客户端及其访问的资源在事务期间得到持续验证。客户端的定期检查确保了策略的持续执行。它可以防止您在连接打开时不允许做的其他事情。
验证该装置的姿势
其次,在终端层面验证我们需要验证设备的安全状况。身份验证和授权是作为设备为用户重要。该验证应既做;前,后的连接,以确保该装置是与相应的用户沿着有效。有一种具有验证设备,如果用户是流氓执行恶意行为是没有意义的。
从主机检查和位置感知的角度来看,我们需要确保设备是否从一个不寻常或危险的地方访问网络?确定这可以帮助防止恶意软件,植根于或越狱设备连接到网络。解决后,我们可以通过配置的策略选择隔离、允许或拒绝。
在终端上,SDP供应商应该能够检查注册表设置、恶意软件、反病毒设置、防火墙、硬盘加密等等。一些供应商甚至可以更详细地检查,寻找特定的微软补丁。
在这里,我们可以使用跨设备、连接和位置部署的基于上下文的策略。当策略是基于上下文的时,您将吸收尽可能多的信息来验证总体态势。
保护数据
在第三阶段,我们需要保护数据。在这个阶段,供应商应该为每个应用程序部署隧道,以确保事务是安全的,并在会话期间对数据进行加密。