热门问题
时间线
聊天
视角
軟體定義邊界
来自维基百科,自由的百科全书
Remove ads
軟體定義邊界(software-defined perimeter)簡稱SDP,也稱為黑雲(black cloud),是一種強化電腦安全的方法。軟體定義邊界框架是由雲端安全聯盟開發,依身份控制資源的存取。在軟體定義邊界中,連通是用need-to-know模型來控制,軟體定義邊界使用零信任模型,在允許存取應用基礎措施之前,會先驗證設備狀態和身份[1]。軟體定義邊界的應用基礎措施是有效的「黑」,這是美國國防部所使用的詞語,用來描述無法偵測的基礎措施,沒有可見的DNS資訊或是IP地址。這些系統的支持者聲稱軟體定義邊界可以減緩網路攻擊,例如伺服器掃描、拒絕服務、SQL注入、作業系統或應用程式的弱點利用、中間人攻擊、傳遞雜湊、pass-the-ticket、以及未授權用戶的其他攻擊[2]。
和傳統邊界的差異
傳統網路安全是靠固定的邊界,一般是受防火牆保護。這可以隔離內部服務和外部環境,但在以下情形下,仍會有弱點:
- 用戶管理設備:這些設備不受傳統的邊界控制所管轄。
- 釣魚攻擊:此攻擊可以讓未授權的使用者進入邊界存取。
- 導入雲端:應用程式可以託管在任何地方,讓邊界控制更加困難。
軟體定義邊界的處理方式,包括讓應用程式隱形,公開網際網路無法看到內部資源,另外也強化存取控制,只有授權的使用者才能連接應用程式。
SDP架構和工作流程
SDP包括兩個主要元素:SDP控制器管理存取政策,以及設備之間的通訊,SDP主機可以初始應用(請求存取)或接受應用(提供存取)。
其工作流程如下:
- 佈署SDP控制器,連接到認證服務(例如Active Directory、多因素認證等)
- 讓接受SDP的主機上線,以認證控制器
- 初始化SDP主機,認證控制器
- 控制器確認己授權的通訊,建立主機之間的安全通訊。
SDP部署模型
模型部署的方式有許多種,可以配合不同的情境使用:
- Client-to-Gateway:將伺服器放在防火牆後,減緩在網路或是網際網路的橫向移動攻擊。
- Client-to-Server:類似Client-to-Gateway,但是由被保護的伺服器直接運行SDP軟體。
- Server-to-Server:在伺服器提供的API之間建立安全通訊。
- Client-to-Server-to-Client:針對像視訊會議之類的應用程式,建立安全的點對點連線。
SDP應用
SDP可以在不同的情形下提供安全性
- 企業應用程式隔離:保護敏感應用程式,不受網路上未授權的存取。
- 雲端安全性:建立公有雲、私有雲和混合雲的安全性。
- 物聯網(IoT):保護管理IoT設備的後端應用程式。
參考資料
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads