行动比语言更响亮。与不可靠的话语相比,可靠的行动能建立持久的信任。想象一下,你有一所有围墙的房子。你在房子里会感到安全,对吧?现在,如果那堵墙被拆除了呢?你可能会开始感到你的安全受到威胁。任何人都可以很容易地进入你的房子。
传统的安全产品也是如此:就好像任何人都可以离开自己的家,敲你的门,开锁一样。如果只有某些你完全信任的人能看到你的房子,不是更安全吗?这就是零信任网络的本质,也是我在最近的课程中讨论的一个核心概念SDP (软件定义边界)。
在零信任环境中,不存在隐式信任。因此,为了访问受保护的资源,信任必须来自其他地方。只有在建立了足够的信任并通过了必要的控制之后,才能授予访问权限,从而提供到所请求资源的路径。资源的访问路径设计不同,取决于它是客户机发起的还是由服务发起的软件定义的外围解决方案。
通过一对一映射过程创建每个应用程序隧道。这有效地为每个用户和应用程序建立了一个独特的“一个网络段”。这与传统架构所展示的宽级别访问相比较。通常,广泛的网络访问会导致过于宽松的访问,攻击面会太大。
软件定义的周长和零信任的关键因素之一是:用户和设备验证以及应用程序访问验证都基于用户的身份,而不是IP地址。如今,任何与IP地址相关的东西都是荒谬的,因为我们没有可靠的政策可以依赖。
传统的一连串事件
传统上,设备会查看请求实体的IP地址并请求密码。这为恶意参与者打开了一扇门,他们可以从任何IP地址进行通信,并插入自己之间的可信远程设备,如果他们愿意的话。
如今,IP地址已不再足以定义用户的信任级别。IP地址缺乏用户知识来分配和验证信任。没有考虑到上下文信息。这通常被称为IP地址难题。因此,作为网络位置和策略的锚点,我们需要关注端口和IP地址之外的内容。
传统上,网络策略关注于哪些系统可以相互通信。允许或拒绝是一个在当今动态环境中使用的非常二进制的框架。这导致了政策要么定义得太严格,要么定义得太松散。这就是软件定义的周长找到中间地带的地方。
本质上,在SDP中,我们在每个阶段为零信任网络中的每个请求检查用户验证、设备验证和应用程序。基于用户以前和现在的行为,网络中的信任是不断发展的。这就是所谓的可变信任级别,它将确保一个强大的信任链。
什么是软件定义周长(SDP)?
根据IDG和Pulsesecure的一份报告,社民党的势头正在增强。它基于通常被称为“黑屏”的身份来控制对资源的访问,这意味着未经授权的用户无法检测到应用程序和敏感数据。如前所述,它是围绕用户标识而设计的,而不是IP地址。
SDP的全部思想是将用户与应用程序隔离开来。这可以通过多种方式实现,客户机发起的和服务发起的。
SDP的患者
一种方法是将请求客户机放到网络上,同时保持网络基础设施和应用程序处于黑暗状态。这可以通过轻量级安全协议来实现,比如单包授权(SPA)。这允许SDP在打开灯之前接收一个有效的SPA包。在这种情况下,客户端必须启动连接以触发身份验证。
什么是水疗?
一个SPA包【声明:作者受雇于Network Insight】是一个UDP数据包,经过加密和加密签名,不能伪造。没有两个水疗包是完全相同的;因此,重放攻击是不可能的。SPA被有意地设计为具有建立在彼此之上的多层安全性。这些是它所保护的端口之上的安全层。
SPA通过隐藏这两者发挥了重要作用;应用程序和SDP基础设施组件(包括SDP控制器和网关),直到客户端发送一个有效的SPA包。在这种情况发生之前,所有事情都对未经授权的用户和设备隐藏起来。
SDP service-initiated
我们还有一个使用SDP代理的服务发起的方法。SDP代理可能以保留在云方法中的设备或云服务的形式出现。一个示例可以是将从SDP设备(位于应用程序所在的位置)到SDP云的相互TLS隧道,然后从初始客户机到相同的SDP云的另一个相互TLS隧道。这使得客户端和SDP设备可以通过端口TCP 443连接出站到SDP云。
使用由服务发起的模型,客户端不会连接到应用程序的位置。基本上,应用程序的位置与路径访问无关。这与目前构建应用程序访问的方式完全不同。相反,使用SDP,可以在服务的两端构建一个信任链。
删除网络
这种连接模型颠倒了我们现有的方法。从根本上说,只有通过完全的身份验证,用户才能访问网络。应用程序可以存在于任何不需要入站路径的地方。这提供了针对应用程序DDoS的额外安全级别,并提供了对合并和收购有用的重叠IP地址的能力。
根据最初的安全设置,为了访问应用程序,您必须将用户连接到网络。此外,如果用户是外部的,而不是在本地网络上,则需要创建虚拟网络。需要一个入站端口将应用程序公开到公共internet。然而,任何人都可以看到这个开放的端口。从安全的角度可以想象,通过网络连接访问应用程序不是一个好主意。
传统的事件链是先进行连接,然后进行身份验证。这允许用户,无论好坏,都可以访问您的网络和服务。然后我们将它们传递给服务,以确定是否允许用户访问。
身份验证之前的访问允许好的和坏的用户访问所有的服务。显然,“首先连接,然后认证”有很多缺点,这就是为什么我们必须用更强的认证和授权级别来保护用户访问。
验证的健壮方法
第一个阶段是身份验证,它确保用户是他或她声称的那样。第二个阶段是授权,它允许基于身份访问资源。在这里,SDP策略可以定义一组网络服务(如网络地理位置和通信加密),给定用户或用户组有权访问这些服务,以及在什么情况下访问这些服务。
身份验证
控制身份验证的策略可能需要单个或多个因素。SDP对初始化和接受主机之间的每个连接使用用户身份验证和设备身份验证的组合。
身份验证阶段的主要部分是“身份验证者”。身份验证器可以像您知道的一些东西一样简单,比如密码,也可以更复杂一些,比如您的身份,比如指纹或其他生物特征数据。
身份验证过程提供两种身份验证:用户身份验证和设备身份验证。设备认证可以通过以下协议来完成,例如单包授权(SPA)、主机特定防火墙、互传输层安全、设备指纹、软件验证和地理定位
用户身份验证可以由可信浏览器、SAML或身份验证提供给身份提供者(IP)。
验证用户
首先,用户需要进行身份验证。SDP策略平面有一个上下文,在授予访问权限之前需要对其进行验证。这很可能不仅仅是身份验证,而是一个完整的授权。
作为预认证和预授权的结果,用户将在其设备上拥有一组凭据。这里建议使用基于SAML的服务。使用SAML,您可以取回SAML属性等内容。这确保了如果此用户是此组或访问路径的一部分,则允许该用户访问此应用程序。
还可以根据标识提供程序验证标识。传统的vpn将使用具有用户凭据的授权数据库。但这与集中式信托不同。集中式信任将由某种LDAP环境提供,比如active directory (AD)。
使用身份提供者的相当大的好处是,它充当用户根据相同的集中式信任进行身份验证的网关。然而,vpn或其他网关服务需要不同的数据库和不同的管理过程。这可能会造成从不同数据库添加或删除用户的开销。
在一个中央数据库提供者中控制所有内容是管理信任的一组控件的关键。实际上,在SDP中,用户根据面向外部的IDP进行验证,然后根据身份存储对用户进行身份验证。身份存储可以是基于证书的,甚至可能包括多因素身份验证(MFA)。
对于MS Azure AD和Octa等服务,您可以更进一步,包括针对IDP的基于上下文的身份验证。然后,IDP可以考虑地理位置细节和标准身份验证通常不会访问的其他参数。
地理位置
地理位置是一个有用的特征。它是对真实世界地理位置的识别或估计。这可以作为一个信息源,帮助做出有关SDP访问的决策。
这里,SDP的理想方法是将用户地理位置与连接尝试进行比较,以检测凭据失窃。如果用户不满足IDP中的标准,信任级别就会降低,并且将为用户提供一个访问子集,而不是完整的访问路径。
验证设备
在很大程度上,设备验证的最终目标是确保设备是可信的。此阶段仅在验证用户之后发生。通过使用一些SDP解决方案,可以对运行在客户端设备上的客户端软件进行设备验证。
这个过程是用户根据IDP对自己进行授权。然后针对IDP运行所有测试。一旦用户通过这些验证步骤并向SDP提交应用程序请求,SDP将转到另一层验证并测试诸如企业认证测试、磁盘加密等内容。SDP还将验证是否有本地防火墙在运行。这些测试在策略的强制执行下完成。
设备验证应该按每个应用程序和每个策略规则进行。设备测试不是一次性测试。它在那个特定时间就访问请求测试设备。另一方面,SAML只发生一次,即当用户登录时。