行动胜于雄辩。与不可靠的单词相比,可靠的行为构建持久的信任。想象一下,你有一个带守卫的墙壁的房子。你会在房子里感到安全,对吗?现在,如果那场墙壁拆除怎么办?您可能会开始觉得您的安全受到威胁。任何人都可以轻松进入您的房子。
传统的安全产品也是如此:就好像任何人都可以离开自己的房子,敲你的门,撬锁一样。如果只有你完全信任的某些人能看到你的房子,不是会更安全吗?这是零信任网络的本质,也是我在最近的课程中讨论的核心概念SDP(软件定义的周边)。
在零信任环境中,不存在隐性信任。因此,信任必须来自其他地方,才能访问受保护的资源。只有在已建立充分信任后,必须通过必要的控件,授予访问权限,为请求的资源提供路径。根据它是客户端或服务发起的软件定义的周边解决方案,资源的访问路径是否有不同的方式设计。
通过一对一的映射过程创建每个应用隧道。这有效地建立了每个用户和应用是唯一的“一个”的“网络段”。与传统架构展示的广泛访问相比,这与广泛的访问相比。通常,广泛的网络访问导致具有太大的攻击表面的过度允许访问。
软件定义的周长和零信任的关键元素之一是两者;用户和设备验证以及应用程序访问验证基于用户的身份,而不是IP地址。如今,与IP地址相关的任何东西都是荒谬的,因为我们没有巩固政策。
传统的活动链
传统上,设备将查看请求实体的IP地址并询问密码。这将打开大门到可从任何IP地址通信的坏演员,并在您和可信远程设备之间插入自己,如果请。
今天,IP地址不再足以定义用户的信任程度。IP地址缺少用户知识来分配和验证信任。没有考虑上下文信息。这通常被称为IP地址难题。因此,作为网络位置和策略的锚,我们需要超越端口和IP地址。
网络策略传统上关注的是哪些系统可以相互通信。在当今的动态环境中,允许或拒绝是一个非常二元的框架。它导致了一种定义过于严格或过于松散的政策。这就是软件定义的边界找到中间地带的地方。
基本上与SDP,我们在零信任网络中的每个请求中的每个阶段检查每个阶段的每个阶段。基于用户的先前和当前操作,在网络中的信任不断发展。这就是所谓的可变信任级别,并将确保强大的信任链。
什么是软件定义边界(SDP)?
根据IDG和pulsesecure的报告,SDP正在获得动力。它控制基于通常称为“黑色OUT”的身份对资源的访问,这意味着未经授权的用户无法检测到应用程序和敏感数据。如前所述,它围绕用户身份设计,而不是IP地址。
SDP的整个想法是将用户与应用程序隔离。这可以以多种方式,客户启动和服务启动完成。
SDP客户端启动
一种这样的方式是将请求客户端放在网络上,同时离开网络基础设施和应用程序。这可以用轻量级安全协议(例如单个数据包授权(SPA)完成。这允许SDP在打开灯之前接收有效的SPA数据包。在这种情况下,客户端必须启动连接以触发身份验证。
什么是SPA?
一个水疗包【免责声明:作者受雇于Network Insight】是一个加密,加密签名的UDP数据包,不能伪造。没有两个水疗包是一样的;因此,重播攻击是不可能的。SPA被故意设计用于具有彼此构建的多层安全性。这些是安全性的安全层,这些都是保护它的保护。
SPA通过隐藏两者扮演着重要的角色;应用程序和SDP基础设施组件(包括SDP控制器和网关),直到客户端发送一个有效的SPA包。在此之前,所有东西对未经授权的用户和设备都是隐藏的。
SDP服务启动
我们还有一种使用SDP代理的由服务发起的方法。SDP代理可能以设备或云服务的形式存在于云方法中。一个例子可能是拥有从SDP设备(位于应用程序所在的任何位置)到SDP云的相互TLS隧道,然后从初始化客户端到同一SDP云的另一个相互TLS。这使客户机和SDP设备都能够将端口TCP 443上的出站连接到SDP云。
使用服务启动的模型,客户端不会连接到应用程序的位置。基本上,应用程序的位置与路径访问无关。这与应用程序访问的建立方式完全不同。相反,通过SDP,在服务的两侧建立了信任链。
删除网络
这种连接模型反转了我们现有的方法。从根本上,用户从未获得对网络的访问,直到完全验证。应用程序可以在字面上存在,因为您不需要入站路径。这为应用程序DDOS提供了额外的安全性,并且能够具有对合并和收购有用的重叠IP地址。
根据初始安全设置,为了访问应用程序,您必须将用户连接到网络。此外,如果用户是外部的,不在本地网络中,则需要创建一个虚拟网络。需要一个入站端口将应用程序公开给公共互联网。然而,这个开放端口对任何人都是可见的。从安全的角度来看,通过网络连接来访问应用程序的想法并不是一个好主意。
传统的事件链是首先连接然后进行身份验证。这允许用户,好的或坏,进入您的网络和服务。然后我们将它们交给服务以确定用户是否允许访问。
身份验证前的访问允许好用户和坏用户访问所有服务。显然,“先连接后认证”有很多缺点,这就是为什么我们必须使用更强级别的认证和授权来确保用户访问。
一种健壮的验证方法
第一阶段是身份验证,这确保了用户是他或她声称的人。第二阶段是授权,它允许基于身份访问资源。这里,SDP策略可以定义一组网络服务(例如,用于通信的网络地理位置和加密),给定的用户或用户组被授权访问,以及在什么情况下。
身份验证
管理身份验证的策略可能需要单一或多个因素。SDP使用用户身份验证的组合以及用于启动和接受主机之间的每个连接的设备身份验证。
身份验证阶段的主要部分是“Authenticators”。身份验证可以简单到你知道的东西,比如密码,也可以更复杂一些,比如你是什么,指纹或其他生物特征数据。
身份验证过程为两件事,用户和设备身份验证提供身份验证。设备认证可以通过以下协议来完成,例如单数据包授权(SPA),特定于主机防火墙,相互传输层安全,设备指纹,软件验证和地理位置
用户身份验证可以由受信任的浏览器、SAML或身份提供者(IP)提供。
验证用户
首先,需要对用户进行身份验证。SDP策略平面具有在授予访问之前需要验证的上下文。这很可能不仅仅是身份验证,而且是完全授权。
由于预认证和预授权,用户将在其设备上具有一组凭据。这里推荐的是使用基于SAML的服务。使用SAML,您可以备份,例如SAML属性。这可确保如果此用户是此组的一部分或者访问路径,则允许用户访问此应用程序。
也可以针对身份提供者验证身份。传统的VPN将使用具有用户凭据的授权数据库。但这与集中信任不同。集中式信任将由某种LDAP环境提供,例如Active Directory(广告)。
使用身份提供者的相当大的好处是它充当用户对同一集中信任进行身份验证的网关。但是,VPN或其他Gateway服务需要具有不同管理过程的不同数据库。这可以创建一个开销,以添加或删除来自不同数据库的用户。
在一个中央数据库提供商中控制的一切都是管理一组信任控制的关键。基本上,在SDP中,用户对外部面对的IDP验证,然后用户对身份存储进行身份验证。身份存储可以是基于证书的,甚至可以包括多因素认证(MFA)。
有了像MS Azure AD和Octa这样的服务,您可以更深入地进行研究,包括针对IDP的基于上下文的认证。然后,IDP可以考虑地理位置细节和标准身份验证通常无法访问的其他参数。
地理位置
地理位置是一个有用的功能。它是对现实世界的地理位置的识别或估计。这可以用作一个信息源,可以帮助在SDP中做出有关访问的决策。
这里,SDP的理想方法是将用户地理定位与连接尝试检测凭证盗窃进行比较。如果用户不符合IDP中的标准,则信任级别降低,并且用户将给予访问权限的子集而不是完整的访问路径。
验证设备
在很大程度上,设备验证的最终目标是确保设备是值得信赖的。此阶段仅在用户验证后发生。通过采用一些SDP解决方案,可以对客户端设备运行的客户端软件执行设备验证。
该过程是用户对IDP授权自己。然后针对IDP运行所有测试。一旦用户通过这些验证步骤并向SDP提交应用程序请求,SDP将进入另一层验证和测试,如企业认证测试、磁盘加密等。SDP还将验证是否有本地防火墙在运行。这些测试是在执行策略时进行的。
设备验证应在每次应用程序和每个策略规则上进行。设备测试不是一次性测试。它在该特定时间测试了与访问请求相关的设备。另一方面,SAML仅发生一次,即当用户登录时。