[[320455]]

01. 零信任安全(zero trust security)

零信任安全是一種IT安全模型。零信任安全要求對(duì)所有位于網(wǎng)絡(luò)外部或網(wǎng)絡(luò)內(nèi)部的人和設(shè)備，在訪問專用網(wǎng)絡(luò)資源時(shí)，必須進(jìn)行嚴(yán)格的身份驗(yàn)證。零信任安全需要通過多種網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)。

零信任安全技術(shù)特性包括：

• 零信任網(wǎng)絡(luò)背后的理念是假設(shè)網(wǎng)絡(luò)內(nèi)部和外部都存在攻擊者，因此不應(yīng)自動(dòng)信任任何用戶或計(jì)算機(jī)。
• 零信任安全性的另一個(gè)原則是最小特權(quán)訪問。即只向用戶提供所需的訪問權(quán)限，從而可以最大程度地減少每個(gè)用戶可以訪問的網(wǎng)絡(luò)敏感資源。
• 零信任網(wǎng)絡(luò)使用了微分段概念。微分段是一種將安全邊界劃分為小區(qū)域的做法，以維護(hù)對(duì)網(wǎng)絡(luò)各個(gè)部分的單獨(dú)訪問。例如，使用微分段的文件位于單個(gè)數(shù)據(jù)中心的網(wǎng)絡(luò)可能包含數(shù)十個(gè)單獨(dú)的安全區(qū)域。未經(jīng)單獨(dú)授權(quán)，有權(quán)訪問這些區(qū)域之一的個(gè)人或程序?qū)o法訪問任何其他區(qū)域。
• 零信任安全強(qiáng)化了多因素身份驗(yàn)證(MFA)的使用，用戶需要使用多個(gè)證據(jù)來進(jìn)行身份驗(yàn)證，僅輸入密碼不足以獲取訪問權(quán)限。

除了對(duì)用戶進(jìn)行訪問控制之外，零信任還要求對(duì)用戶所使用的設(shè)備進(jìn)行嚴(yán)格的控制。零信任系統(tǒng)需要監(jiān)視有多少種不同的設(shè)備正在嘗試訪問其網(wǎng)絡(luò)，并確保每臺(tái)設(shè)備都得到授權(quán)。這進(jìn)一步最小化了網(wǎng)絡(luò)的攻擊面。

02.軟件定義邊界(software-defined perimeter)

SDP是實(shí)現(xiàn)零信任安全性的一種方法。用戶和設(shè)備都必須經(jīng)過驗(yàn)證才能連接，并且僅具有所需的最小網(wǎng)絡(luò)訪問權(quán)限。

SDP 旨在使應(yīng)用程序所有者能夠在需要時(shí)部署安全邊界，以便將服務(wù)與不安全的網(wǎng)絡(luò)隔離開來。SDP 將物理設(shè)備替換為在應(yīng)用程序所有者控制下運(yùn)行的邏輯組件。SDP 僅在設(shè)備驗(yàn)證和身份驗(yàn)證后才允許訪問企業(yè)應(yīng)用基礎(chǔ)架構(gòu)。

SDP去除了需要遠(yuǎn)程訪問網(wǎng)關(guān)設(shè)備的缺點(diǎn)。在獲得對(duì)受保護(hù)服務(wù)器的網(wǎng)絡(luò)訪問之前，SDP 要求發(fā)起方進(jìn)行身份驗(yàn)證并首先獲得授權(quán)。然后，在請(qǐng)求系統(tǒng)和應(yīng)用程序基礎(chǔ)架構(gòu)之間實(shí)時(shí)創(chuàng)建加密連接。

03.SDP架構(gòu)

• SDP控制器確定哪些SDP主機(jī)可以相互通信。SDP控制器可以將信息中繼到外部認(rèn)證服務(wù)。
• SDP連接發(fā)起主機(jī)(IH)與SDP控制器通信以請(qǐng)求它們可以連接的SDP連接接受方(AH)列表。在提供任何信息之前，控制器可以從SDP連接發(fā)起主機(jī)請(qǐng)求諸如硬件或軟件清單之類的信息。
• 默認(rèn)情況下，SDP連接接受主機(jī)(AH)拒絕來自SDP控制器以外的所有主機(jī)的所有通信。只有在控制器指示后，SDP連接接受主機(jī)才接受來自SDP連接發(fā)起主機(jī)的連接。

04.SDP訪問過程

一個(gè)或多個(gè)SDP控制器服務(wù)上線并連接至適當(dāng)?shù)目蛇x認(rèn)證和授權(quán)服務(wù)(例如，PKI 頒發(fā)證書認(rèn)證服務(wù)、設(shè)備驗(yàn)證、地理定位、SAML、OpenID、Oauth、LDAP、Kerberos、多因子身份驗(yàn)證等服務(wù))。

1. 一個(gè)或多個(gè)SDP連接接受主機(jī)(AH)上線。這些主機(jī)連接到控制器并由其進(jìn)行身份驗(yàn)證。但是，他們不會(huì)應(yīng)答來自任何其他主機(jī)的通信，也不會(huì)響應(yīng)非預(yù)分配的請(qǐng)求。
2. 每個(gè)上線的SDP連接發(fā)起主機(jī)(IH)都與SDP控制器連接并進(jìn)行身份驗(yàn)證。
3. 在驗(yàn)證SDP連接發(fā)起主機(jī)(IH)之后，SDP控制器確定可授權(quán)給SDP連接發(fā)起主機(jī)(IH)與之通信的SDP連接接受主機(jī)(AH)列表。
4. SDP控制器通知SDP連接接受主機(jī)(AH)接受來自SDP連接發(fā)起主機(jī)(IH)的通信以及加密通信所需的所有可選安全策略。
5. SDP控制器向SDP連接發(fā)起主機(jī)(IH)發(fā)送可接受連接的SDP連接接主機(jī)(AH)列表以及可選安全策略。
6. SDP連接發(fā)起主機(jī)(IH)向每個(gè)可接受連接的SDP連接接受主機(jī)(AH)發(fā)起單包授權(quán)，并創(chuàng)建與這些SDP連接接受主機(jī)(AH)的雙向TLS連接。

05.SDP部署方式

5.1 客戶端-網(wǎng)關(guān)模型

在客戶端—網(wǎng)關(guān)的實(shí)施模型中，一個(gè)或多個(gè)服務(wù)器在 SDP 連接接受主機(jī)(AH)后面受到保護(hù)。這樣，SDP 連接接受主機(jī)(AH)就充當(dāng)客戶端和受保護(hù)服務(wù)器之間的網(wǎng)關(guān)。此實(shí)施模型可以在企業(yè)網(wǎng)絡(luò)內(nèi)執(zhí)行，以減輕常見的橫向移動(dòng)攻擊，如服務(wù)器掃描、操作系統(tǒng)和應(yīng)用程序漏洞攻擊、中間人攻擊、傳遞散列和許多其他攻擊?；蛘?，它可以在Internet上實(shí)施，將受保護(hù)的服務(wù)器與未經(jīng)授權(quán)的用戶隔離開來，并減輕諸如拒絕服務(wù)(DoS)、SQL 注入、操作系統(tǒng)和應(yīng)用程序漏洞攻擊、中間人攻擊、跨站點(diǎn)腳本(XSS)、跨站點(diǎn)請(qǐng)求偽造(CSRF)等攻擊。

5.2 客戶端-服務(wù)器模型

客戶機(jī)到服務(wù)器的實(shí)施在功能和優(yōu)勢(shì)上與上面討論的客戶機(jī)到網(wǎng)關(guān)的實(shí)施相似。然而，在這種情況下，受保護(hù)的服務(wù)器將運(yùn)行可接受連接主機(jī)(AH)的軟件。客戶機(jī)到網(wǎng)關(guān)實(shí)施和客戶機(jī)到服務(wù)器實(shí)施之間的選擇通?；谑鼙Ｗo(hù)的服務(wù)器數(shù)量、負(fù)載平衡方法、服務(wù)器的彈性以及其他類似的拓?fù)湟蛩亍?/p>

5.3 服務(wù)器-服務(wù)器模型

在服務(wù)器到服務(wù)器的實(shí)施模型中，可以保護(hù)提供代表性狀態(tài)傳輸(REST)服務(wù)、簡(jiǎn)單對(duì)象訪問協(xié)議(SOAP)服務(wù)、遠(yuǎn)程過程調(diào)用(RPC)或 Internet 上任何類型的應(yīng)用程序編程接口(API)的服務(wù)器，使其免受網(wǎng)絡(luò)上所有未經(jīng)授權(quán)的主機(jī)的攻擊。例如，對(duì)于 REST 服務(wù)，啟動(dòng) REST 調(diào)用的服務(wù)器將是 SDP 連接發(fā)起主機(jī)(IH)，提供 REST 服務(wù)的服務(wù)器將是可以接受連接的主機(jī)(AH)。為這個(gè)用例實(shí)施一個(gè)軟件定義邊界可以顯著地減少這些服務(wù)的負(fù)載，并減輕許多類似于上面提到的攻擊。這個(gè)概念可以用于任何服務(wù)器到服務(wù)器的通信。

5.4 客戶端-服務(wù)器-客戶端模型

客戶端到服務(wù)器到客戶端的實(shí)施在兩個(gè)客戶端之間產(chǎn)生對(duì)等關(guān)系，可以用于 IP 電話、聊天和視頻會(huì)議等應(yīng)用程序。在這些情況下，軟件定義邊界會(huì)混淆連接客戶端的 IP 地址。作為一個(gè)微小的變化，如果用戶也希望隱藏應(yīng)用服務(wù)器，那么用戶可以有一個(gè)客戶端到客戶端的配置。

06.SDP應(yīng)用場(chǎng)景

6.1 企業(yè)應(yīng)用隔離

對(duì)于涉及知識(shí)產(chǎn)權(quán)，財(cái)務(wù)信息，人力資源數(shù)據(jù)以及僅在企業(yè)網(wǎng)絡(luò)內(nèi)可用的其他數(shù)據(jù)集的數(shù)據(jù)泄露，攻擊者可能通過入侵網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)進(jìn)入內(nèi)部網(wǎng)絡(luò)，然后橫向移動(dòng)獲得高價(jià)值信息資產(chǎn)的訪問權(quán)限。在這種情況下，企業(yè)可以在其數(shù)據(jù)中心內(nèi)部署 SDP，以便將高價(jià)值應(yīng)用程序與數(shù)據(jù)中心中的其他應(yīng)用程序隔離開來，并將它們與整個(gè)網(wǎng)絡(luò)中的未授權(quán)用戶隔離開來。未經(jīng)授權(quán)的用戶將無法檢測(cè)到受保護(hù)的應(yīng)用程序，這將減輕這些攻擊所依賴的橫向移動(dòng)。

6.2 私有云和混合云

除了有助于保護(hù)物理機(jī)器，SDP 的軟件覆蓋特性使其可以輕松集成到私有云中，以利用此類環(huán)境的靈活性和彈性。此外，企業(yè)可以使用 SDP 隔離隱藏和保護(hù)其公共云實(shí)例，或者作為包含私有云和公共云實(shí)例和/或跨云集群的統(tǒng)一系統(tǒng)。

6.3 軟件即服務(wù)

軟件即服務(wù)(SaaS)供應(yīng)商可以使用 SDP 架構(gòu)來保護(hù)他們提供的服務(wù)。在這種應(yīng)用場(chǎng)景下，SaaS 服務(wù)是一個(gè) SDP 連接接受主機(jī)(AH)，而所有連接服務(wù)的終端用戶就是 SDP 連接發(fā)起主機(jī)(IH)。這樣使得 SaaS 產(chǎn)商可以通過互聯(lián)網(wǎng)將其服務(wù)提供給全球用戶的同時(shí)不再為安全問題擔(dān)憂。

6.4 基礎(chǔ)設(shè)施即服務(wù)

基礎(chǔ)設(shè)施即服務(wù)(IaaS)供應(yīng)商可以為其客戶提供 SDP 即服務(wù)作為受保護(hù)的入口。這使他們的客戶可以充分利用 IaaS 的靈活性和性價(jià)比，同時(shí)減少各種潛在的攻擊。

6.5 平臺(tái)即服務(wù)

平臺(tái)即服務(wù)(PaaS)供應(yīng)商可以通過將 SDP 架構(gòu)作為其服務(wù)的一部分來實(shí)現(xiàn)差異化。這為最終用戶提供了一種嵌入式安全服務(wù)，可以緩解基于網(wǎng)絡(luò)的攻擊。

6.6 基于云的虛擬桌面基礎(chǔ)架構(gòu)

虛擬桌面基礎(chǔ)架構(gòu)(VDI)可以部署在彈性云中，這樣 VDI 的使用按小時(shí)支付。然而，如果VDI 用戶需要訪問公司網(wǎng)絡(luò)內(nèi)的服務(wù)器，VDI 可能難以使用，并且可能會(huì)產(chǎn)生安全漏洞。但是，VDI 與 SDP 相結(jié)合，可通過更簡(jiǎn)單的用戶交互和細(xì)粒度訪問解決了這兩個(gè)問題。

6.7 物聯(lián)網(wǎng)

大量的新設(shè)備正在連接到互聯(lián)網(wǎng)上。管理這些設(shè)備或從這些設(shè)備中提取信息抑或兩者兼有的后端應(yīng)用程序的任務(wù)很關(guān)鍵，因?yàn)橐洚?dāng)私有或敏感數(shù)據(jù)的保管人。軟件定義邊界可用于隱藏這些服務(wù)器及其在 Internet 上的交互，以最大限度地提高安全性和正常運(yùn)行時(shí)間。