Jump to content

Программно определяемый периметр

Программно -определяемый периметр ( SDP ), также называемый « черным облаком », представляет собой подход к компьютерной безопасности . Платформа программно-определяемого периметра (SDP) была разработана Cloud Security Alliance (CSA) для контроля доступа к ресурсам на основе идентификационных данных. Возможность подключения в программно определяемом периметре основана на модели «необходимо знать» , в которой состояние и идентичность устройства проверяются перед предоставлением доступа к инфраструктуре приложений. [1] Инфраструктура приложений фактически является «черной» (термин Министерства обороны, означающий, что инфраструктура не может быть обнаружена), без видимой DNS информации или IP-адресов . [ сомнительно обсудить ] Изобретатели этих систем утверждают, что программно-определяемый периметр смягчает наиболее распространенные сетевые атаки, в том числе: сканирование серверов , отказ в обслуживании , SQL-инъекцию , уязвимостей операционной системы и приложений эксплойты , «человек посередине» , «переход». -hash , pass-the-ticket и другие атаки неавторизованных пользователей. [2]

Предыстория [ править ]

Предпосылкой традиционной архитектуры корпоративной сети является создание внутренней сети, отделенной от внешнего мира фиксированным периметром, состоящим из ряда функций брандмауэра, которые блокируют вход внешних пользователей, но позволяют внутренним пользователям выходить. [3] Традиционные фиксированные периметры помогают защитить внутренние службы от внешних угроз с помощью простых методов блокировки видимости и доступа к внутренним приложениям и инфраструктуре из-за пределов периметра. Но недостатки этой традиционной модели с фиксированным периметром становятся все более проблематичными из-за популярности устройств, управляемых пользователями , и фишинговых атак, обеспечивающих ненадежный доступ внутри периметра, а также SaaS и IaaS, расширяющих периметр до Интернета. [4] Программно-определяемые периметры решают эти проблемы, предоставляя владельцам приложений возможность развертывать периметры, которые сохраняют ценность традиционной модели невидимости и недоступности для посторонних, но могут быть развернуты где угодно – в Интернете, в облаке, в хостинг-центре, на частной территории. корпоративной сети или в некоторых или во всех этих местах. [1]

Методы авторизации [ править ]

Существует несколько методов создания программно-определяемого периметра (SDP). Это включает в себя:

  • «Авторизация одного пакета (SPA) использует проверенные криптографические методы, чтобы сделать серверы с выходом в Интернет невидимыми для неавторизованных пользователей. Только устройства, на которые был введен криптографический секрет, смогут генерировать действительный пакет SPA и впоследствии иметь возможность установить сеть. связь." [5]
  • Аутентификация первого пакета: одноразовый криптографически сгенерированный токен идентификации вставляется на каждой стороне сеанса TCP/IP для аутентификации. Если это разрешено, шлюз применяет политику безопасности — перенаправление, перенаправление или отклонение — для запроса на соединение на основе идентификатора.
  • Аутентификация перед подключением. Конечные точки загружаются с уникальными, сгенерированными криптографически идентификаторами (обычно с использованием x509 и JWT). Они устанавливают исходящее соединение в ячеистое наложение, которое «прослушивает» только аутентифицированные и авторизованные конечные точки. Такой подход гарантирует, что источник и пункт назначения никогда не требуют входящего подключения, а также работают даже в сложных сценариях NAT.

Архитектура [ править ]

В своей простейшей форме архитектура SDP состоит из двух компонентов: хостов SDP и контроллеров SDP.[6] Хосты SDP могут либо инициировать соединения, либо принимать соединения. Эти действия управляются посредством взаимодействия с контроллерами SDP через канал управления (см. Рисунок 1). Таким образом, в программно определяемом периметре плоскость управления отделена от плоскости данных, чтобы обеспечить большую масштабируемость. Кроме того, все компоненты могут быть резервными для повышения доступности.

Рисунок 1. Архитектура программно-определяемого периметра состоит из двух компонентов: хостов SDP и контроллеров SDP.

Платформа SDP имеет следующий рабочий процесс (см. рисунок 2).

  1. Один или несколько контроллеров SDP подключаются к сети и подключаются к соответствующим дополнительным службам аутентификации и авторизации (например, PKI, снятию отпечатков пальцев устройств, геолокации, SAML, OpenID, OAuth, LDAP, Kerberos, многофакторной аутентификации и другим подобным службам).
  2. Один или несколько принимающих хостов SDP переводятся в режим онлайн. Эти хосты подключаются к контроллерам и аутентифицируются на них. Однако они не признают связь с любым другим Хостом и не будут отвечать на любой непредоставленный запрос.
  3. Каждый инициирующий хост SDP, подключенный к сети, подключается к контроллерам SDP и проходит проверку подлинности.
  4. После аутентификации инициирующего хоста SDP контроллеры SDP определяют список принимающих хостов, с которыми инициирующий хост имеет право обмениваться данными.
  5. Контроллер SDP инструктирует принимающие узлы SDP принимать сообщения от инициирующего узла, а также любые дополнительные политики, необходимые для зашифрованной связи.
  6. Контроллер SDP предоставляет инициирующему узлу SDP список принимающих узлов, а также любые дополнительные политики, необходимые для зашифрованной связи.
  7. Инициирующий хост SDP инициирует взаимное VPN-соединение со всеми авторизованными принимающими хостами.
Рисунок 2. Рабочий процесс архитектуры программно определяемого периметра.
Модели развертывания SDP

Хотя общий рабочий процесс остается одинаковым для всех реализаций, применение SDP может отдавать предпочтение определенным реализациям перед другими.

Клиент-шлюз [ править ]

В реализации соединения клиент-шлюз один или несколько серверов защищены принимающим узлом SDP, так что принимающий узел SDP действует как шлюз между клиентами и защищенными серверами. Эту реализацию можно использовать внутри корпоративной сети для смягчения распространенных атак с боковым перемещением, таких как сканирование серверов, эксплойты уязвимостей ОС и приложений, взлом паролей, «человек посередине», Pass-the-Hash (PtH) и другие. [6] [7] [8] В качестве альтернативы его можно реализовать в Интернете для изоляции защищенных серверов от неавторизованных пользователей и смягчения атак, таких как отказ в обслуживании, использование уязвимостей ОС и приложений, взлом паролей, посредник и другие. [9] [10]

Клиент-сервер [ править ]

Реализация клиент-сервер аналогична по функциям и преимуществам реализации клиент-шлюз, описанной выше. Однако в этом случае на защищаемом сервере будет работать программное обеспечение принимающего узла SDP, а не шлюз, расположенный перед сервером, на котором работает это программное обеспечение. Выбор между реализацией клиент-шлюз и реализацией клиент-сервер обычно основан на количестве защищаемых серверов, методологии балансировки нагрузки, эластичности серверов и других подобных топологических факторах.[13]

Между серверами [ править ]

В реализации межсерверной связи серверы, предлагающие службу передачи репрезентативного состояния (REST), службу простого протокола доступа к объектам (SOAP), удаленный вызов процедур (RPC) или любой интерфейс прикладного программирования (API) через Интернет можно защитить от несанкционированных узлов в сети. Например, в этом случае сервер, инициирующий вызов REST, будет инициирующим узлом SDP, а сервер, предлагающий службу REST, будет принимающим узлом SDP. Внедрение SDP для этого варианта использования может снизить нагрузку на эти службы и смягчить атаки, аналогичные тем, которые смягчаются реализацией соединения клиент-шлюз.

Клиент-сервер-клиент [ править ]

Реализация «клиент-сервер-клиент» обеспечивает одноранговые отношения между двумя клиентами и может использоваться для таких приложений, как IP-телефон, чат и видеоконференции. В этих случаях SDP скрывает IP-адреса подключающихся клиентов. В качестве незначительного варианта пользователь также может иметь конфигурацию «клиент-шлюз-клиент», если пользователь также желает скрыть сервер приложений.

Приложения SDP

Изоляция корпоративных приложений [ править ]

В случае утечки данных, связанной с интеллектуальной собственностью, финансовой информацией, данными отдела кадров и другими наборами данных, которые доступны только в корпоративной сети, злоумышленники могут получить доступ во внутреннюю сеть, скомпрометировав один из компьютеров в сети, а затем переместившись в другую сторону. получить доступ к ценному информационному активу. В этом случае предприятие может развернуть SDP внутри своего центра обработки данных, чтобы разделить сеть и изолировать важные приложения. Неавторизованные пользователи не будут иметь сетевого доступа к защищенному приложению, что снизит вероятность горизонтального перемещения, от которого зависят эти атаки. [11]

Частное облако и гибридное облако [ править ]

Несмотря на то, что SDP полезен для защиты физических машин, его наложение программного обеспечения также позволяет интегрировать его в частные облака для повышения гибкости и эластичности таких сред. В этой роли SDP могут использоваться предприятиями для изолированного сокрытия и защиты своих экземпляров публичного облака или в качестве единой системы, включающей экземпляры частного и общедоступного облака и/или кросс-облачные кластеры.

Поставщики программного обеспечения как услуги (SaaS) могут использовать SDP для защиты своих услуг. В этой реализации программная служба будет являться принимающим хостом SDP, а все пользователи, желающие подключиться к службе, будут инициирующими хостами. Это позволяет SaaS использовать глобальный охват Интернета без включения глобальной поверхности атаки Интернета.

Поставщики инфраструктуры как услуги (IaaS) могут предлагать своим клиентам SDP как услугу в качестве защищенного доступа. Это позволяет их клиентам воспользоваться преимуществами гибкости и экономии средств IaaS, одновременно снижая широкий спектр потенциальных атак.

Поставщики платформы как услуги (PaaS) могут дифференцировать свое предложение, включив архитектуру SDP в состав своих услуг. Это дает конечным пользователям встроенную службу безопасности, которая смягчает сетевые атаки.

К Интернету подключаются огромное количество новых устройств. [12] Серверные приложения, которые управляют этими устройствами и/или извлекают информацию с этих устройств, могут быть критически важными и выступать в качестве хранителей частных или конфиденциальных данных. SDP можно использовать для сокрытия этих серверов и взаимодействия с ними через Интернет, чтобы обеспечить повышенную безопасность и время безотказной работы. [13]

См. также [ править ]

Ссылки [ править ]

  1. ^ Jump up to: Перейти обратно: а б «Программно определяемый периметр» . Альянс облачной безопасности . Проверено 29 января 2014 г.
  2. ^ Gartner, Руководство по рынку доступа с нулевым доверием. «Руководство Gartner по SDP» . Gartner.com .
  3. ^ Барри, Сосинский (май 2004 г.). «Сети периметра» . Поиск в сети . Проверено 30 января 2014 г.
  4. ^ Вагнер, Рэй; Рэй Вагнер; Келли М. Кавана; Марк Николетт; Антон Чувакин; Эндрю Уоллс; Джозеф Фейман; Лоуренс Оранс; Ян Кин (25 ноября 2013 г.). «Прогноз 2014: Защита инфраструктуры» . Гартнер . Проверено 19 февраля 2014 г. [ мертвая ссылка ]
  5. ^ «Appgate | Сделайте ресурсы невидимыми с помощью авторизации одного пакета» . Аппгейт . Проверено 7 апреля 2024 г.
  6. ^ МакКлюр, Стюарт (11 июля 2012 г.). Взлом раскрыл 7 секретов и решений сетевой безопасности . МакГроу Хилл. ISBN  978-0071780285 .
  7. ^ Микро, Тренд. «БОКОВОЕ ДВИЖЕНИЕ: Как злоумышленники проникают глубже в вашу сеть?» . Тренд Микро . Проверено 19 февраля 2014 г.
  8. ^ «Отчет о расследовании утечки данных» . Веризон . Проверено 19 февраля 2014 г.
  9. ^ «Отчет IBM X-Force за полугодие о тенденциях и рисках за 2012 год» . IBM X-Force Исследования и разработки . Проверено 19 февраля 2014 г.
  10. ^ «Отчет о глобальных угрозах» . Решающее . Проверено 19 февраля 2014 г.
  11. ^ Мубайед, Абдалла; Рефаи, Ахмед; Шами, Абдалла (октябрь 2019 г.). «Программно-определяемый периметр (SDP): современное безопасное решение для современной сети» . Сеть IEEE . 33 (5): 226–233. дои : 10.1109/MNET.2019.1800324 . S2CID   189892671 .
  12. ^ Миддлтон, Питер; Кьельдсен, Питер; Талли, Джим (18 ноября 2013 г.). «Прогноз: Интернет вещей по всему миру, 2013 г.» . Гартнер (G00259115) . Проверено 29 января 2014 г. [ мертвая ссылка ]
  13. ^ Рефаи, Ахмед; Саллам, Ахмед; Шами, Абдалла (октябрь 2019 г.). «О приложениях IoT: предлагаемая структура SDP для MQTT» . Электронные письма . 55 (22): 1201. Бибкод : 2019ElL....55.1201R . дои : 10.1049/эл.2019.2334 . S2CID   203048330 .

Внешние ссылки [ править ]

Retrieved from "https://en.wikipedia.org/w/index.php?title=Software-defined_perimeter&oldid=1224971067"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 2ab68591cb106cefc35d2b19f9ec44ae__1716296700
URL1:https://arc.ask3.ru/arc/aa/2a/ae/2ab68591cb106cefc35d2b19f9ec44ae.html
Заголовок, (Title) документа по адресу, URL1:
Software-defined perimeter - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)