信息安全

云中的零信任网络:从传统的安全范围到软件定义的范围

2020-08-13 17:42:52 | 来源:中培企业IT培训网

安全边界曾经是在分界线内部的区域,该区域将认为不安全或不受信任的外部与认为安全或受信任的内部分隔开。在物理世界中,外围的外边缘受by沟,栅栏或墙壁保护,在入口点检查收入者。在虚拟网络中,防火墙传统上会保护边界,并且静态策略会验证用户并授予他们访问权限。其他策略可保护敏感资源免受恶意入侵者的攻击,这些入侵者基于策略逃避了检测。

在静态环境中,该策略相当有效,在静态环境中,数据和关键资源通常位于本地。在希望从任何地方,任何时间,从任何设备进行连接的移动工作人员访问的基于多云的环境中,该模型是不可持续的。新现实导致零信任安全的出现,该零信任安全是为当今基于云的网络设计的。

当今最先进的零信任体系结构是软件定义的边界(SDP)的体系结构。在SDP中,与以前的资源和以数据为中心的外围区域不同,安全措施集中于单个用户及其设备。

用户和设备都受到监视,甚至在每次连接时都需要验证受信任设备上的受信任用户,然后才可以访问单个网络的网络的微分段部分。

验证过程包括人和机器元素,因此用户和设备均得到验证。人工验证步骤要求用户通过身份验证确认其身份,并通过授权确认其特权访问级别。

但是,仅仅验证人类用户还不够。由于设备可以访问软件定义网络(SDN),因此它已与SDP集成在一起,因此也需要进行验证。这是通过机器验证完成的。试图从不受信任的设备连接的受信任用户被拒绝访问所请求的资源。

验证用户和设备后,SDP定义的策略将根据特权访问级别来校准用户连接,将特权级别限制为该用户/设备对可用的最低级别,并且限制对单一资源的访问,防止横向移动。

SDP包含三个主要组件:

· SDP客户端

· SDP控制器

· SDP网关

  SDP客户端

SDP客户端是安装在外围设备中每个端点上的软件。SDP客户端功能包括设备验证和隧道设置。

设备验证功能本身在SDP供应商之间有所不同。

· 用户和实体行为分析:监视端点或设备是否存在可疑行为,这些行为可能表明该行为已受到威胁,并且需要其他身份验证/验证或断开设备连接。

· 端点检测和响应:监视端点或设备是否存在威胁迹象,并消除威胁或断开设备连接。

· 远程浏览器隔离:通过在外部接口上定位所有基于浏览器的活动来防止对设备的攻击。随着设备与浏览器分离,基于浏览器的威胁将被消除。

· 沙箱测试:一种隔离的测试环境,用于测试可能包含病毒或其他恶意软件的可疑程序,而不允许该软件损害主机设备

· 数据清理AKA内容撤防和重建:将所有下载的文件沙箱化,解析所有可执行代码并重建文件,而无需任何未经批准的可执行代码。这样可以消除恶意的可执行文件下载。

  SDP控制器

它在SDP客户端和SDP网关之间配置传输层安全性连接。该加密隧道执行两项功能

· 通过绑定到您的云解决方案进行身份验证并检查任何连接请求的授权,它可以充当客户端和后端资源之间的受信任通道。

· 它带有一个证书颁发机构,它在客户端和远程资源之间建立加密的隧道。

SDP网关

SDP网关是获得对请求资源的访问权之前的最后检查。它尽可能靠近请求的资源,并通过SDP控制器确认客户端已被授权,确认和验证,并可以被授予对请求会话的资源访问权限。

收到确认后,网关允许连接到应用程序。

与在第2层停止的MAC连接不同,SDP控制器和网关覆盖了第7层之前的所有层。

  这在现实生活中将如何运作?

SampleCompany已配备了SDP,并且所有员工的设备都已更新。

他们的销售代理商Sidney需要从他的手机访问SalesManagementApp。他点击该应用程序进行连接,发送包含加密密钥的单数据包授权。

通过其公钥基础结构,SDP控制器可以检查密钥。由于密钥正确,因此可以识别并验证Sidney。

如果控制器PKI确认了Sidney的身份及其手机的完整性,则SDP控制器将在Sidney的手机和SDP网关之间创建一个加密的隧道。然后,该网关允许Sidney的移动设备访问SalesManagementApp。

但是,即使SalesAnalyticsApp与SalesManagementApp驻留在同一服务器上,并且Sidney拥有访问它的必需特权,他也将必须经历相同的过程才能访问SalesAnalyticsApp。

在Sidney的移动设备始终连接到SalesManagementApp的整个过程中,SDP客户端和SDP网关之间的通信将继续。如果在连接期间任何时候Sidney的移动设备遭到破坏,则连接将被断开,并且侵入Sidney的移动设备的恶意行为者将被锁定在整个SDP中。

如果客户端的密钥被盗用或无效,则其连接将立即被阻塞,并且网络上所有应用程序的可见性都将被切断。如果机器显示出受到威胁的迹象,则将不再将其视为受信任的机器,并会立即从网络和对任何资源的访问中断开。

SDP的整个目标是防止对应用程序的网络攻击,但是在您的网络中使用SDP还有其他一些优点,包括:

· 通过加密隧道保密

· 在SDP协议中使用TLS反DOS令牌的DOS保护

· 地理位置保护

· 分割消除横向运动

· 信息混淆

· 事件响应

· 隔离

以上就是关于云中的零信任网络:从传统的安全范围到软件定义的范围的全部内容,想了解更多关于网络安全的信息,请继续关注中培伟业。