热门问题
时间线
聊天
视角

軟體定義邊界

来自维基百科,自由的百科全书

Remove ads

軟體定義邊界(software-defined perimeter)簡稱SDP,也稱為黑雲(black cloud),是一種強化電腦安全的方法。軟體定義邊界框架是由雲端安全聯盟開發,依身份控制資源的存取。在軟體定義邊界中,連通是用need-to-know模型來控制,軟體定義邊界使用零信任模型,在允許存取應用基礎措施之前,會先驗證設備狀態和身份[1]。軟體定義邊界的應用基礎措施是有效的「黑」,這是美國國防部所使用的詞語,用來描述無法偵測的基礎措施,沒有可見的DNS資訊或是IP地址。這些系統的支持者聲稱軟體定義邊界可以減緩網路攻擊,例如伺服器掃描、拒絕服務、SQL注入、作業系統或應用程式的弱點利用、中間人攻擊傳遞雜湊英語Pass the hash、pass-the-ticket、以及未授權用戶的其他攻擊[2]

和傳統邊界的差異

傳統網路安全是靠固定的邊界,一般是受防火牆保護。這可以隔離內部服務和外部環境,但在以下情形下,仍會有弱點:

  • 用戶管理設備:這些設備不受傳統的邊界控制所管轄。
  • 釣魚攻擊:此攻擊可以讓未授權的使用者進入邊界存取。
  • 導入雲端:應用程式可以託管在任何地方,讓邊界控制更加困難。

軟體定義邊界的處理方式,包括讓應用程式隱形,公開網際網路無法看到內部資源,另外也強化存取控制,只有授權的使用者才能連接應用程式。

SDP架構和工作流程

SDP包括兩個主要元素:SDP控制器管理存取政策,以及設備之間的通訊,SDP主機可以初始應用(請求存取)或接受應用(提供存取)。

其工作流程如下:

  1. 佈署SDP控制器,連接到認證服務(例如Active Directory、多因素認證等)
  2. 讓接受SDP的主機上線,以認證控制器
  3. 初始化SDP主機,認證控制器
  4. 控制器確認己授權的通訊,建立主機之間的安全通訊。

SDP部署模型

模型部署的方式有許多種,可以配合不同的情境使用:

  • Client-to-Gateway:將伺服器放在防火牆後,減緩在網路或是網際網路的橫向移動攻擊。
  • Client-to-Server:類似Client-to-Gateway,但是由被保護的伺服器直接運行SDP軟體。
  • Server-to-Server:在伺服器提供的API之間建立安全通訊。
  • Client-to-Server-to-Client:針對像視訊會議之類的應用程式,建立安全的點對點連線。

SDP應用

SDP可以在不同的情形下提供安全性

  • 企業應用程式隔離:保護敏感應用程式,不受網路上未授權的存取。
  • 雲端安全性:建立公有雲、私有雲和混合雲的安全性。
  • 物聯網(IoT):保護管理IoT設備的後端應用程式。

參考資料

Loading related searches...

Wikiwand - on

Seamless Wikipedia browsing. On steroids.

Remove ads