您好!欢迎光临云杰通信官网,本公司专业提供跨境企业网络加速优化、企业MPLS-VPN、SD-WAN等跨境网络技术服务。
服务热线:13631779516

企业网络优化专家

国际网络互联综合解决方案

行业知识 NEWS

云杰通信助您了解行业,全方位掌握国际互联网最新资讯

您当前的位置:首页 > 资讯中心 > 行业知识

SDP(软件定义边界)让SDN更安全

2020-05-12 16:58云杰小编阅读:124

企业组网,MPLS,SD-WAN,VPN专线

近年来,软件定义网络(SDN)疯狂席卷全球。但火热的SDN真的安全吗?Gartner表示:SDN创建了一个抽象层,这将带来很多新的攻击面,例如OpenFlow协议、供应商API等。为解决这难题,一种新型的安全模型软件定义边界(Software Defined Perimeter)诞生了,国际云安全联盟(CSA)表示“SDP被设计为与软件定义网络(SDN)高度互补”。

SDP到底是什么?

软件定义的边界(SDP)是由云安全联盟(CSA)开发的一种安全框架,它根据身份控制对资源的访问。该框架基于美国国防部的“need to know”模型——每个终端在连接服务器前必须进行验证,确保每台设备都是被允许接入的。其核心思想是通过SDP架构隐藏核心网络资产与设施,使之不直接暴露在互联网下,使得网络资产与设施免受外来安全威胁。

SDP有时被说成是“黑云”,因为应用架构是“黑”的——根据美国国防部的定义,这个“黑”代表了架构无法被检测到。如果攻击者无法知道目标在何方,那么攻击将无法进行。因此,在SDP架构中,服务器没有对外暴露的DNS或者IP地址,只有通过授权的SDP客户端才能使用专有的协议进行连接。

SDP架构与部署模式

SDP的体系结构由两部分组成:SDP主机和SDP控制器。SDP控制器主要进行主机认证和策略下发。SDP主机和SDP控制器之间通过一个安全的控制信道进行交互。

SDP控制器是SDP的大脑,在业务驱动的前提下,它在访问者和资源之间建立动态和细粒度的“业务访问隧道”,不同于传统VPN隧道,SDP的隧道是按照业务需求来生成的,也就是说这是一种单包和单业务的访问控制,SDP控制器建立的访问规则只对被授权的用户和服务开放,密钥和策略也是动态和仅供单次使用的。通过这种类似“白名单”的访问控制形式,网络中未被授权的陌生访问在TCP链接建立阶段就是完全被屏蔽和拒绝的,这种“临时并单一”的访问控制方式,将私有云资源对非法用户完全屏蔽,这样便大大防止了门外“野蛮陌生人”对云的暴力攻击(如DDoS流量攻击)、精准打击(如APT持续威胁)、漏洞利用(如心脏出血漏洞)等,通过构建“暗黑网络”来减小网络的被攻击面。

为什么需要SDP?

为了阻止所有类型的网络攻击,包括DDoS、中间人攻击、服务器查询(OWASP十大威胁之一)和高级持续性威胁(ATP),SDP的安全模型融合了设备身份验证、基于身份的访问和动态配置连接三大组件,虽然SDP中的安全组件都很常见,但这三者的集成却是相当创新的。

SDP要求用户拿出多种身份验证变量,比如时间、位置、机器健康状况和配置等,用以证实该用户身份,或者验证用户能否被信任。这一上下文信息可使公司企业识别出非法用户——即便该用户持有合法用户凭证。

访问控制是动态的,能够应对风险和权限提升。用户与系统和应用间的互动是实时的。在会话中,用户可以执行任意数量不同风险级别的事务。举个例子,用户可以多次查看电子邮件、打印机密文档,以及更新企业博客。当用户行为或环境发生变化时,SDP会持续监视上下文,基于位置、时间、安全状态和一些自定义属性实施访问控制管理。

SDP还能够脚本化,以便能够检查除设备信息之外的更多情况。SDP能够收集并分析其他数据源,以提供上下文,帮助进行用户授权动作。这能确保在合法用户试图访问新设备或不同设备上资源的时候,有足够的信息可供验证用户并授权访问。

一旦用户可被验证,我们就可以确信用户是谁(可能是骗子或狗狗),SDP在用户和所请求的资源间创建一条安全的加密隧道,保护二者之间的通信。而且,网络的其他部分则被设为不可见。通过隐藏网络资源,SDP可减小攻击界面,并清除用户扫描网络和在网络中横向移动的可能性。

最后,因为当今IT环境的复杂性和巨大规模,SDP需可扩展并高度可靠。最好是打造得像云一样能够容纳大规模扩展,且是分布式和恢复力强的。

文章标题:《SDP(软件定义边界)让SDN更安全》

作  者:云杰小编。本文部分资料来源于网络,转载目的在于传递更多信息及学习参考:https://www.gdyunjie.cn/showinfo-114-2076-0.html

主要业务
企业专线网络MPLS-VPNSD-WAN云专线
行业解决方案
跨境电商智能制造业互联网医疗国际教育
关于我们
公司简介服务支持商务合作联系我们
国际网络专题:广域网接口什么是广域网广域网优化广域网访问广域网加速广域网协议广域网端口无线广域网局域网广域网广域网虚拟网络上海iplc访问加速网络建设全球加速出口带宽远程组网网络加速香港网络香港专线视频会议ebayAliExpresAmazonInstagramTwitterFacebookgooglevklineSkypeWhatsAppzoom视频会议公司用vpnvpn方案公司vpn网络vpnvpn地址vpn直通香港vpn可靠vpnvpn中国vpn提供商外贸VPN企业用vpn企业vpn跨境电商vpnvpn专线ipsec vpnsdwan vpn国外网站加速vpn组网mpls iplc 价格mpls专线价格mplsvpn专线
Copyright @ 版权所有2012-2019 广东云杰通信有限公司 粤ICP备18062193号-2

在线咨询

在线咨询真诚为您提供专业解答服务

咨询热线

13631779516欢迎致电咨询

微信咨询

二维码微信扫一扫咨询
返回顶部