部署零信任软件定义边界(SDP)体系结构并不是要完全取代虚拟专用网络(VPN)技术和防火墙。总的来说,标志内部和外部的防火墙分界点不会很快消失。VPN集中器在可预见的未来也将有其地位。
不管技术的时代如何,撕裂和替换都是一种非常激进的部署方法。虽然SDP是新的,但在选择正确的供应商时应该谨慎对待。采用SDP应该是一个缓慢的迁移过程,而不是一次性分离和替换。
正如我在Network Insight上写的[免责声明:作者是通过网络洞察力雇用的],而SDP是一种颠覆性技术在与众多的SDP供应商讨论之后,我发现当前的SDP前景倾向于基于特定的用例和项目,而不是必须在全球范围内实现的技术。首先,您应该能够为特定的用户组实现SDP。
传统的vpn和新的SDP架构很可能会共存一段时间。因此,如果可能的话,您应该选择支持双模式VPN和SDP架构的解决方案,该架构在单一窗格中进行控制。
SDP体系结构的类型
不同的SDP体系结构有不同的特点,彼此也不相同。但是重要的是让体系结构可用,这样客户就可以很容易地使用它,而不需要进行太多更改,包括打开新的防火墙端口。在这种情况下,有一个云优先的SDP解决方案,通过使用供应商的私有云来控制网络资源的访问。
有供应商提供SDP组件,使您能够在云和内部部署中实现。然后我们拥有基础架构提供商,您必须运行所有组件以使事物工作。我们还有一个叠加选项。
最后,纯净的内容交付网络(CDN)提供了要求您使用其网络交付服务的SDP解决方案。在这篇文章中,让我们讨论供应商提供允许您自己或他们的专业服务团队实现的组件的SDP架构。它在这里,一些供应商紧跟云安全联盟(CSA)SDP架构指南,而其他则没有。
一个通用的SDP架构由SDP控制器、客户端和网关组件组成。自助遵从性方法应该提供两个都允许的选项;SDP和基于边界的VPN功能以并行方式工作,同时仍然支持零信任原则。您的目标应该是确保新的SDP组件能够轻松地与已经部署的现有平台和供应商集成。
控制器—集中式策略实施引擎
对于集中的身份验证和授权,控制器组件跟踪用户、设备和应用程序。控制器作为集中的策略实施引擎,管理所有用户、设备和应用程序的控制和数据平面。
控制平面提供了颗粒分割等功能,即你可以获得非常具体的,甚至是针对每个应用、用户或设备的微分割。每个人和所有与网络相连的事物都将有一个政策来管理他们可以去哪里,他们可以看到什么和做什么。
控制器跟踪并与触发身份验证过程的实体进行通信。通过这样做,控制器可以确定哪些主机可以相互通信。控制器可以将信息中继到外部服务,如认证、地理位置和/或身份服务,以决定请求主机可以访问什么。
关于控制器的主题是它可以支持的集成点的类型。SDP控制器应该能够连接并支持授权服务,例如PKI、设备指纹、地理位置、SAML、OpenID、OAuth、LDAP、Kerberos和多因素身份验证。
控制器负责策略的集中和SDP客户端与SDP网关之间的接口。这不仅支持分类,而且提供了将策略推到离请求客户机更近的网关的能力。因此,最大的收获之一就是知道谁在网络上以及他们可以去哪里。正如在前一篇关于SDP的文章中所讨论的,今天的可见性是企业网络的一个主要差距。
我们有一个“暗”网络,因为最终用户没有能力查看内部资源的IP或DNS条目(也启用了防范DDoS攻击的功能)。然后,根据集中控制器设置的身份验证和授权并推送到网关,管理员基本上是在开灯。
网关的角色
网关可以是位于云中的物理设备或虚拟机(VM),可以通过公共云市场访问,也可以位于本地。
理想情况下,可以在靠近请求资源的位置建立网关。地理位置集成点在这里很有用,因为出于安全原因,只有特定的位置可以访问信息,或者通过重定向到逻辑上更接近的服务来增强用户体验。
将具有多个网关的用户具有多个隧道,同时常见。它不是静态路径或一个与一个关系,而是用户对应用程序关系的更多。因此,应用程序可以存在于任何地方和任何地方,其中隧道是动态和短暂的,从而提供对受保护资产的访问。您可以说网关是一种中间件设备。
一旦用户通过身份验证并授权给控制器,就会在网关处进行额外的检查。例如,可以使用SAML插入对用户进行身份验证,然后将信息传递给基于saas的产品。
每个网关上都有策略和配置,使网关能够执行端点验证阶段。这将确保端点在授予网络访问权限之前完成强制姿态评估。
从本质上讲,所有关于用户的设备信息、设备安全状态以及地理位置信息都从控制器中提取出来,并通过安全控制平面发送到网关。
代理的角色
信任是双向信仰,即两个沟通实体正在做他们在上下文中应该做的事情。因此,应该最接近端点建立信任。这可以在端点上与代理或无代理客户端进行。客户应该在不同的操作系统上工作,因此用户不必自己管理任何内容。
使用基于浏览器的解决方案,用户使用web浏览器来访问受保护的应用程序。因此,它不能给你提供完整的TCP和UDP端口,但你可以做许多事情,说原生HTML5。
SDP流程的典型流程
所以,让我们总结过程的流程。客户端首先向控制器提出请求。然后,控制器响应请求并返回客户端可以访问的资源列表。控制器根据已设置的策略确定此。
一旦控制器完成了所有的确定以及地理位置,以确保它们将到达正确的网关,控制器就会通过控制平面将策略信息转发到所选的网关。网关然后联系端点上的客户机(代理或无代理)。
客户端识别它需要运行的策略以及它需要连接的网关。现在客户知道提供所请求服务的正确网关。然后,它启动该客户端的其他身份验证过程。认证基于设备和其他上下文信息的身份,设备,配置。
然后,该信息通过控制平面发送给控制器。然后控制器检查客户端是否满足所有身份验证要求,并匹配适合访问资源的安全状态。
一旦该过程完成,客户端将建立到网关的安全连接,并且可以建立数据平面。客户端通过数据平面直接与网关通信,而不需要通过集中式控制器进行通信。
所有SDP架构的通用阶段
我们有许多SDP架构,但大多数人都在下面提到的类似哲学和阶段运行。
SDP架构是以用户为中心的;这意味着他们在允许任何访问之前都要验证用户和设备。访问策略是根据用户属性创建的。这是与传统的网络系统相比较的,传统的网络系统只基于IP地址,而不考虑用户及其设备的细节。
评估上下文信息是SDP的一个关键方面。由于我们没有有效的钩子来为安全策略实施挂起事物,因此与IP绑定的任何东西都是荒谬的。我们需要评估超过IP地址。
对于设备和用户评估,我们需要更深入地研究,不仅要将IP作为网络位置的锚点,还要考虑信任。理想情况下,一个可行的SDP解决方案必须分析用户、角色、设备、位置、时间、网络和应用程序,以及端点安全状态。
此外,通过利用目录组成员资格、iam分配的属性和用户角色等元素,组织可以定义和控制对网络资源的访问。这可以以对业务、安全和遵从性团队有意义的方式执行。
从本质上讲,问题的第一部分是对每个用户和连接进行身份验证和授权。为此,我们需要进行如下所列的几个阶段。
验证用户的姿势
首先,SDP供应商需要验证用户。这可以通过安全断言标记语言(SAML)或多因素身份验证,使用SSO(单点登录)进行。用户验证取决于用户尝试访问的内容。网络资源可以在云中,例如基于SaaS的应用程序或企业网络本地,描绘了验证方法。
利用广泛的多因素身份验证和授权选项确保客户端及其访问的资源在事务期间得到持续验证。定期检查客户端可以确保持续执行策略。当您打开连接时,它可以防止您不允许做的其他事情。
确认设备姿态
其次,为了在端点层进行验证,我们需要验证设备的安全姿态。验证和授权对于设备和用户一样重要。应该对两者都进行验证;前后连接,确保设备和对应用户都是有效的。如果用户是执行恶意行为的流氓,那么使用经过验证的设备是没有意义的。
从主机检查和位置意识角度来看,我们需要确保设备是否正在从不寻常或风险的地方访问网络?确定这可以帮助防止恶意软件,扎根或越狱设备连接到网络。一旦解决,我们可以选择通过配置的策略隔离,允许或拒绝。
在终端,SDP供应商应该能够检查东西,如注册表设置,恶意软件,反病毒设置,防火墙,硬盘驱动器(HD)加密等。一些供应商可以更仔细地检查,寻找特定的微软补丁。
这是我们可以使用在设备,连接和位置部署的基于上下文的策略来使用。当策略是基于上下文的时,您正在采取尽可能多的信息以验证整体姿势。
保护数据
在第三阶段,我们需要保护数据。在这一阶段,供应商应该为每个应用程序部署隧道,以确保事务的安全性,并在会话期间对数据进行加密。