沒有人知道你是一條狗 為什麼安全需要軟體定義邊界
今天的大多數安全團隊還是無法分辨網路另一端坐著的是個黑客還是間諜,亦或是詐騙犯,甚至——一條狗。
SDP能改變這種狀況。
1993年,漫畫家 Peter Steiner 發表了一幅如今聞名全球的漫畫:一條狗蹲踞在電腦前對另一條狗說“網際網路上沒人知道你是一條狗”。25年過去了,這句話依舊無比正確。而且情況更加糟糕:很多安全專家常常無法弄清所謂的“使用者”到底是黑客還是間諜,或者是騙子。如何驗證遠端連線對面的人(或者狗),是安全工作的一大重要問題。是時候以使用者為中心的動態訪問控制來解決這一問題了。
常有人說,使用者身份驗證問題源於網際網路最初的目的和設計。用於收發訊息的網際網路協議沒有要求使用者驗明自身。但該問題還有遺留安全系統在設計上的因素。尤其是,我們所用的工具並沒有關注使用者本身。比如說,防火牆和網路訪問控制就是圍繞網路地址和埠架設的。即便是複雜的下一代防火牆也是圍繞協議來設計,而不是落腳在使用者上。
為驗證遠端連線對面的使用者,我們需要基於使用者的安全解決方案,也就是能夠杜絕黑客冒充授權使用者的解決方案。我們需要軟體定義的邊界(SDP)。SDP也稱為“黑雲( Black Cloud)”,是在2007年美國國防資訊系統局“全球資訊網格黑核網路”專案成果的基礎上發展起來的一種安全方法。
軟體定義邊界基於使用者上下文而不是憑證來授權企業資產訪問。為阻止對應用基礎設施的網路攻擊,雲安全聯盟(CSA)在2013年成立了SDP工作組,丟擲了一個非常全面的安全方法,該方法融合了裝置身份驗證、基於身份的訪問和動態配置連線。
“
雖然SDP中的安全元件都很常見,但這三者的整合卻是相當創新的。更重要的是,SDP安全模型可阻止所有型別的網路攻擊,包括DDoS、中間人攻擊、伺服器查詢(OWASP十大威脅之一)和高階持續性威脅(ATP)。
SDP要求使用者拿出多種身份驗證變數,比如時間、位置、機器健康狀況和配置等,用以證實該使用者是否是其所聲稱的身份,或者驗證使用者能否被信任。這一上下文資訊可使公司企業識別出非法使用者——即便該使用者持有合法使用者憑證。
訪問控制還應是動態的,能夠應對風險和許可權提升。使用者與系統和應用間的互動是實時的。在會話中,使用者可以執行任意數量不同風險級別的事務。舉個例子,使用者可以多次檢視電子郵件、印表機密文件,以及更新企業部落格。當用戶行為或環境發生變化時,SDP會持續監視上下文,基於位置、時間、安全狀態和一些自定義屬性實施訪問控制管理。
SDP還應能夠指令碼化,以便能夠檢查除裝置資訊之外的更多情況。SDP需能收集並分析其他資料來源,以提供上下文,幫助進行使用者授權動作。這能確保在合法使用者試圖訪問新裝置或不同裝置上資源的時候,有足夠的資訊可供驗證使用者並授權訪問。
一旦使用者可被恰當驗證,也就是我們可以確信某使用者是財務部門的某某某而不是騙子或狗狗,SDP就可以在使用者和所請求的資源間建立一條安全的加密隧道,保護二者之間的通訊。而且,網路的其他部分則被設為不可見。通過隱藏網路資源,SDP可減小攻擊介面,並清除使用者掃描網路和在網路中橫向移動的可能性。
最後,因為當今IT環境的複雜性和巨大規模,SDP需可擴充套件並高度可靠。最好是打造得像雲一樣能夠容納大規模擴充套件,且是分散式和恢復力強的。
保護訪問安全的關鍵,在於確保對手不能輕易盜取憑證以獲得訪問權。我們需要SDP來區別已授權使用者和黑客。儘管有這種長期和必要的安全控制,很多企業還是難以正確運用,但又不得不理順並恰當應用。今天的SDP架構中已經容納了所有這些特性。
全球資訊網格黑核網路詳情:
http://www.acqnotes.com/Attachments/DoD%20GIG%20Architectural%20Vision,%20June%2007.pdf