云安全聯盟：軟件定義邊界（SDP）和零信任（21頁）.pdf

《云安全聯盟：軟件定義邊界（SDP）和零信任（21頁）.pdf》由會員分享，可在線閱讀，更多相關《云安全聯盟：軟件定義邊界（SDP）和零信任（21頁）.pdf（21頁珍藏版）》請在三個皮匠報告上搜索。

1、零信任是設計實現網絡安全架構一種的理念，在這種架構下，服務只有在用戶、設備甚至每一個網絡數據包都被充分地檢查、認證和授權后才能被訪問。即便如此，訪問授權也應授予其最小權限。實現零信任架構需要如下幾個部分。a） 訪問前身份驗證使用 VPN 和防火墻建立的零信任體系供用戶訪問服務（例如：郵件服務）。防火墻可以設置 IP 黑名單并且服務也可以設置哪些 IP 地址可以訪問。VPN 可以設置為網絡上只有通過認證的 VPN 客戶端和擁有適當的密鑰的用戶可以連接來實現零信任。然而，如果一個未授權的用戶復制了 VPN 客戶端并且偷到了密鑰，那么他也可以訪問郵件服務，并且他還可以猜解其他用戶的用戶名和密碼，或者

2、執行諸如 DDoS、憑證盜竊等惡意行為。 VPN 允許用戶登錄網絡并拒絕對不在郵件服務器網段上的其他服務的訪問（例如：SharePoint）。如果一個未授權用戶已經連入了網絡，那么一般來說他會橫向訪問到 SharePoint 服務。身份認證前允許用戶可訪問的內容總是會比訪問權限控制后要多。為了確保在訪問前進行認證，有一個隱含的要求：即將用戶身份認證的控制平面和數據平面分離。為了確保響應時間在可接受范圍內，還需要一種即時的身份認證機制。公有云/私有云劃定了網絡安全邊界。它提供了一種分層的安全方法，將日志導入監控工具，并且提供了分析和混合服務來控制策略。然而，這些特性并沒有解決在訪問之前身份驗證的

3、問題。原生云平臺和應用服務的強大功能支持包括入站/出站安全配置和企業網絡策略配置。強身份認證和授權的行業標準是雙向 TLS（雙向 ssl）證書認證。一種更好的方法是在數據包訪問之前進行身份驗證，將 SDN 控制器與 SDP 零信任平臺連接，并在 SDN 控制器提供的流量管理控制下在網絡層丟棄或放行數據包。通過這種結構，SDN 控制器可以在用戶身份驗證失敗后斷開網絡連接。網絡層VPN和防火墻以及應用層防火墻和SSL VPN沒有辦法實現細粒度的訪問控制。零信任體系不僅天生的具有基于策略的授權能力，而且還要求其在細粒度的網絡上下文以及分布式服務連接和私有云/公有云的多云互聯方案中進行身份認證。使用網絡層防火墻時需認真斟酌下。由于它是靜態的，因此用戶組是它所能提供的信任顆粒度。來自不同部門、不同角色的一組用戶需要訪問具有相同 IP地址的同一服務情況是很常見的。防火墻規則是靜態的，其策略只依賴于網絡信息。它們不會根據上下文（即網絡中設備所需的信任級別）動態更改。一個常見的例子是用戶在風險更高的網絡例如網吧中請求訪問。如果本地防火墻或防病毒軟件因惡意軟件或某種意外而關閉，傳統防火墻將不會檢測到這一點。另一個例子是 IPSec VPN，它在允許訪問前不會進行身份屬性的認證。相反，IPSec VPN 依賴令牌（token）和憑證，而這可能被截獲。而 SSL VPN 又有已知的漏洞。