2022软件定义边界在IaaS中的应用.docx

软件定义边界在IaaS中的应用目录序言7目标8方法和范围9执行摘要10软件定义边界和云安全联盟提出的十二大安全威胁11IaaS安全概述13技术原理14IaaS参考架构14为什么IaaS安全性不同？15位置是另外一个属性15唯一不变的是变化15TP地址难题15安全要求和传统安全工具16跳板机：三思而后行19为什么是SDP而不是VPN20虚拟桌面基础设施（VDI）21SDP怎么解决这个问题？21什么是软件定义边界（SDP）?22基于用户而不仅仅是TP地址的策略23SDP的优势23运维效率23简化的合规性工作23降低成本23SDP作为变革的催化剂24SDP身份及访问管理24IaaS使用场景26用例：开发人员安全访问IaaS环境26不使用SDP的访问26使用SDP的访问27总结29用例：保障业务人员访问内部企业应用系统的安全30不使用SDP的访问30使用SDP的访问31总结36使用场景：安全的管理面向公众的服务36使用场景：当新服务实例创建时更新用户访问权限38使用SDP接入39总结41使用场景：对于服务提供商的硬件管理平台访问42总结：45使用场景：通过多企业账号控制访问45总结：45增强SDP规范的建议46混合云以及多云的环境47替代计算模型和SDP48容器和SDP49结论与下一步计划50目标软件定义边界（SDP）的应用正在迅速普及，I其有效性在许多企业和案例中得到了广泛的验证。如今，随着越来越多的企业战略性地拥抱云计算IaaS平台，并且迫切需要云上资源的安全访问。我们相信，致力于保护云上资源的安全架构SDP的时机已经到来。本报告旨在探索和解释软件定义边界（SDP）部署于IaaS时，对提高安全性、合规性和运维效率的相关优势。通过本报告，读者能够清楚认识到企业IaaS所面临的安全挑战（基于共享责任模型），原有的IaaS访问控制与传统网络安全工具结合产生的安全问题，以及软件定义边界在各种场景中的解决之道。方法和范围 本报告内容主要是基于公有云的IaaS产品，例如AmazonWebServices、MicrosoftAzure>GoogleComputeEngine和RaCkSPaCePublicCloud0其相关用例和方法同样适用于私有化部署的IaaS,如基于VMWare或OPenStaCk的私有云。 不管是按照SDP规范实现商业化的厂商，还是没有严格按照Vl标准进行产品开发的厂商，在构建产品的过程中，都有各自不同的架构、方法和能力。在本报告中，我们对产商保持中立，并且避免头轮产商相关的能力。如果有因为产商能力产生的差异化案例，我们会使用“也许、典型的、通常”等词汇来解释这些差异，以不牺牲报告的可读性。 由于大多数公有云IaaS提供商目前只支持IPv4,因此我们所讨论的内容在一定程度上有所束缚。不过，随着IPv6的应用在未来普及，在下一版本的报告中，我们将进一步完善相关内容。 与核心SDP规范相一致，我们专注用户到服务（USeLtO-SerViCe）的访问控制（南北方向）。服务器到服务器SerVeLto-Server（也称为东西方向）通信不在本报告的范围之内（为响应市场发展趋势，在核心SDP规范和本报告的未来修订中，我们将会解决这一问题2）。服务器到服务器是核心规范Vl中所提到的一个支持模型，但目前，该模型还未像用户到服务模型那样被高度采用。 高可用性和负载均衡不在本报告讨论范围之内。 SDP策略模型不在本报告讨论范围之内。报告中讨论的SDP用例和方法也可以适用于平台即服务的系统PaaS,这取决于它们如何支持和管理网络访问控制3o在撰写这份文件时，我们努力做到内容聚焦。我们考虑了很多值得探讨的话题，但这些话题要么更适合包含在整个V2规范中，要么我们认为与本报告无关。请参阅“增强SDP规范的建议”部分，这些建议提及到V2规范的相关重点，比IaaS有更广泛的适用性，其非常重要。虽然我们避开了这些话题，但该报告的内容仍超过了目标页数，不过我们相信，在平衡内容长度和范围方面我们做出了正确的选择。该报告也将为我们下一次内容的修订提供了良好的基础。执行摘要如今，IT和安全管理者已深刻认识到，企业和云提供商有共同的责任共同面对IaaS安全挑战。IaaS与传统的内网相比，有着不同的（并且在某些方面更具挑战）用户访问需求和安全需求，然而，这些需求并不能完全由传统安全工具或者IaaS供应商提供的安全架构来满足。例如，企业往往需要对用户访问网络资源进行一定程度的限制，但传统的网络访问控制（NAC）和虚拟局域网（VLAN）解决方案在IaaS环境中并不适用，因为它是多租户、虚拟化的网络基础设施。另一个例子：在IaaS环境中，所有用户都需要对云资源进行“远程访问”，最成熟的手段无它，只有VPN0但是，随着当今移动办公、跨公司协作或动态云环境等场景广泛存在企业当中，VPN通过管理IP地址和端口的访问控制并不适用。企业越来越需要以用户为中心建立安全和访问模型。使用软件定义边界（SDP）架构，企业用户可以安全地访问他们的TaaS资源，且不妨碍业务用户或IT生产力。事实上，当正确部署时，SDP可以成为改变网络安全在整个企业中实践的催化剂一一无论是在内网还是公有云的环境。有了SDP,企业可以有一个集中管控并且策略驱动的网络安全平台，覆盖他们的整个基础设施（无论是在内网还是公有云环境）和他们的整个用户群体，这是一个引人注目的愿景。事实上，SDP也正在实现这一愿景。目前，世界各地的许多企业组织都在使用SDP来增强他们的网络安全，减少网络攻击面，增加业务和IT人员的生产力，并减少他们的合规负担同时节省资金。 本研究的重点是如何将SDP部署于（IaaS）基础设施的环境中，重点为以下用例： 开发人员安全访问IaaS环境 业务用户安全访问内部公司应用服务 管理员安全访问公共对外服务 在创建新服务器实例时更新用户的访问权限 服务提供商的硬件管理后台访问 多企业帐户访问控制此外，本研究报告还解释了为什么传统的网络安全方法不适用于IaaS环境，以及SDP部署在混合环境中的价值。软件定义边界和云安全联盟提出的十二大安全威胁云安全联盟公布了一个值得关注的网络安全威胁的报告，以此帮助企业对云计算的采用做出明智的风险管理决策。该报告反映了安全专家在CSA社区中就最重要的云上的安全问题所达成的一致意见：SDP可有效减少受攻击面，缓解或者彻底消除安全报告中提到的威胁、风险和漏洞，从而帮助企业能够集中资源于其他领域。下表列出了十二大威胁（十二大网络安全威胁）,并分析SDP对于解决这些威胁的作用:安全威胁SDP作用1数据泄露SDP通过添加预验证和预授权层来减少公开暴露的主机的攻击面，实现服务器和网络的安全性的“最小访问权限”模型，从而有助于减少数据泄露的许多攻击方式。剩余风险：数据泄露的几个其他攻击方式不适用于SDP,包括钓鱼、错误配置和终端保护。授权用户对授权资源的恶意访问将不会被SDP直接阻止。2弱身份、密码与访问管理过去，企业VPN访问密码被盗往往导致企业数据丢失。这是因为VPN通常允许用户对整个网络进行广泛的访问，从而成为弱身份、密码与访问管理中的薄弱环节。相比之下，SDP不允许广泛的网络访问，并限制对这些主机的访问权限。这使得安全体系结构对弱身份、证书和访问管理有更大的弹性。SDP还可以在用户访问资源之前执行强认证。剩余风险：企业必须有一个积极的参与者来调整IAM流程，并确保访问策略被正确定义。过于宽泛的准入政策会给企业带来风险。3不安全的界面和API保护用户界面不被未授权用户访问是SDP的核心能力。使用SDP,未经授权的用户（即攻击者）无法访问UL因此无法利用任何漏洞。SDP还可以通过在用户设备上运行的进程来保护API。目前SDP部署的主要焦点一直是保护用户对服务器的访问。服务器到服务器的访问至今还不是SDP的一个重点，但是我们希望这将在不久的将来被包含在SDP范围内。剩余风险：服务器到服务器APl调用在这个时候不是SDP的常见用例，因此这种APl服务可能不会受到SDP系统的保护。4系统和应用程序漏洞SDP显著减少攻击面，通过将系统和应用程序的漏洞隐藏起来，对于未授权用户不可见。剩余风险：授权用户可以访问授权的资源，存在潜在的攻击可能性。其它安全系统如SIEM或IDS必须用来监控访问和网络活动（见下文的内部恶意人员威胁）。5账号劫持基于会话Cookie的帐户劫持被SDP完全消除。如果没有预先认证和预先授权，并且携带适当的SPA数据包，应用服务器会默认拒绝来自恶意终端的网络连接请求。因此，即使网络请求中携带被劫持的会话cookie,也不会被SDP网关准入。剩余风险：钓鱼或密码窃取仍然是个风险，但SDP可以通过执行强身份验证来降低这种风险，并有基于诸如地理定位等属性来控制访问的策略。6内部恶意人员威胁SDP将限制内部人员造成安全威胁的能力。适当配置的SDP系统将具有限制用户仅能访问执行业务功能所需的资源，而所有其他资源都将被隐藏。剩余风险：SDP不阻止授权用户对授权资源的恶意访问。7高级持续威胁攻击(APTs)APTS本质上是复杂的、多方面的，不会被任何单一的安全防御所阻止。SDP通过限制受感染终端寻找网络目标的能力，并且在整个企业中实施多因子认证，有效减少攻击面，从而降低APT的存在可能性和传播。剩余风险：预防和检测APTS需要多个安全系统和过程结合起来进行深入的防御。8数据丢失SDP通过执行最小权限原则，并将网络资源对未授权用户隐藏起来，来减少数据丢失的可能性。SDP还可以通过适当的DLP解决方案来增强。剩余风险：SDP不阻止授权用户对授权资源的恶意访问。9尽职调查不足SDP不适用这种情况10滥用和非法使用云服务SDP并不直接适用，但SDP供应商的产品可能有能力检测和了解云服务使用状况。11DDOS攻击SDP架构中的单包授权(SPA)技术使得SDP控制器和网关对阻止DDoS攻击更有弹性。SPA与典型的TCP握手连接相比可花费更少的资源，使服务器能够大规模处理、丢弃恶意的网络请求数据包。与TCP相比，基于UDP的SPA进一步提高了服务器的可用性。剩余风险：虽然SPA显著降低了由无效SPA包所施加的计算负担，但它仍然是非零的，因此面向公众的SDP系统仍然可能受到大规模DDoS攻击的影响。12共享技术问题SDP可以由云服务提供商使用，以确保管理员对硬件和虚拟化基础设施的访问管理。有关服务提供商的硬件管理控制面板访问，请参阅下面的讨论用例。剩余风险：云服务提供商除了SDP之外，还必须使用各种安全系统和流程。4抗DDOSSDP工作组对这个问题提供了一些有趣的研究，一些正在进展中的的性能指标来对比传统TCP连接和SPA对服务器的负载的影响。值得注意的是，基于UDP的SPA甚至比基于TCP的SPA更有如I性，因为它消耗更少的服务器资源，并能更好地抵御无效的数据包流量攻击。IaaS安全概述业界对云上运行的应用程序的安全性往往存在诸多误解。众所周知，如果部署恰当，基于云的应用程序比起内部部署更安全。但是，云环境遵循的是与传统内部部署不一样的安全模型，而这些不同可能无意间导致安全降低。因此，$向云端迁移工作业务系统不会自动让工作更安全，无论厂商还是企业都需要谨慎考量并采取行动。IaaS供应商通常会创建和推动“责任共享模型”，这个模型定义了IaaS供应商负责云的安全，而客户（企业）负责自己在云中的安全。下图是融合了几个领先IaaS供应商6的理念而创建的责任共享模型。8fls安全SDP如何解决数据女企与分类一不受SDP的,接彩"客户负货“云”客户端和端式保护二I不二SDP的.报爵.市安圣。-：只有在认证他投叔之后.SOPI'才份和访问首理授予网络访村梃，可以由身份用色.绢和同性*动.操作系级安全吃一潞建睛湍器网络3可图就网络唯面设悔允许更容M他将主机外剌成史小的.检方的也，河络段.么费供意旧以布内敲使用SDP.,jSOPtK.对客广4、WIL.许多企业正在尝试拥抱云安全责任共享概念，尤其是IaaS提供商的工具集由自己创建时更是如此。这些工具倾向基于静态IP地址而不是基于用户（或身份），客户不能通过这种方法行之有效地管理基于用户的云资源的访问。因此，客户公司依赖应用级的身份验证来保护对这些资源的访问，致使内网里任何人都可对整个云网络进行访问。从安全角度来看这自然存在相应风险一一基于网络级的资源访问有太多可以被未经身份验证的攻击者利用的弱点。同时还有一个合规问题一一企业经常要在敏感和受控环境中报告“谁访问了什么”。如上图所示，SDP架构在与IaaS供应商的责任共享模型中有重要作用。通过SDP,云客户可以在他们自身的安全共享控制部分采用更有效的方式5例如,2017年1月在不安全的、公开的NoSQL数据库上进行的ransom攻击是一个很好的例,这些数据库大多运行在IaaS环境中6特别是这些来自于AWS模型https:a*https:/blogs,SDP工作组I软件定义边界在IaaS中的应用技术原理IaaS参考架构本文读者对IaaS的组件和架构很熟悉，不需在此介绍。下图是一个对公有云和私有云部署都适用的IaaS环境的简化架构。-CorporaTiM企业总年量务访月Buiitiess Acceis开发人员IkbS RMlXCtIaaSPrhrAteCleue Network子MSubnetDevelopment开发环境Privatc Cloud NetworkProduction生产坏戊Adln Accm管耳员访问/M SubnetWnet该图显示了一个包含两组IaaS资源（虚拟机），分成两个私有云网络的IaaS云环境。这些私有云网络可以对应不同的帐户，或云环境中不同的私有区域（如AWS虚拟私有云）。从网络访问的角度来看,这些私有云网络受到云防火墙的保护，防火墙在逻辑上控制这些网络的访问进出。对进入这些私有云网络（间）的访问控制很快就会变得复杂，不同的云提供者有不同的工具集。本文中，我们有意省略路由表、网关或NACLs等构件的复杂性，以便我们能够集中精力于管理用户访问IaaS资源所面临的挑战。这个简单的模型不管供应商是谁，我们都可以持续地谈论云安全性和网络。具体地说，我们将在本研究中使用以下术语：术语描述示例云防火墙控制云环境的网络流量进出的安全构件。通过将服务器实例分配给云防火墙组来进行管理。AWS:SecurityGroupAzure:NetworkSecurityGroup私有云网络云环境中由单个帐户控制的独立网络区域。可能包括多个子网，并且可以由一个企业中的许多人访问。WS:VirtualPrivateCloudAzure:VirtualNetworkIaaS系统支持为服务器实例指派name-AWSTags标签ValU。键值对。这些标签在IaaS系统中没有语义含义，但可以作为一个SDP系统进行访问策略决策的基础，非常有用。AzureTags直接连接IaaS供应商与电信运营商合作，提供从企业内部网络到IaaS环境的专用网络连接（通常使用MPLS）o具有可靠和专用带宽的优点，通常可以将其细分为多个虚拟网络。AWSDirectConnectAzureExpressRoute为什么IaaS的安全性更复杂？IaaS的网络访问存在一个重大的安全挑战。作为云安全责任共享模型的一部分，网络安全直接依赖于企业。将私有云资源公开到公共互联网通常不是一个可接受的选项一一仅依赖于身份验证来保护，显然不符合安全和合规要求。因此，企业需要在网络层弥补这一差距。由于如下儿个原因，这是一个典型的复杂的安全挑战。位置只是一个普通的属性而已不同的开发人员（即使是座位相邻的开发者）也可能需要不同类型的网络来访问不同的资源。例如，Sally是数据库管理员，需要访问运行数据库的所有服务器的3306端口。Joe坐在Sany旁边，管理Purple项目的应用程序代码，并需要使用SSH连接到那些运行Purple项目的应用服务器。Chris和小组其他人员不一样，他是远程工作的。他是Purple项目的应用程序开发员，尽管相隔千里也要求与Joe有相同的访问。位置可能仅仅是访问策略需要考虑的属性之一，而非传统网络环境中网络访问层的主要驱动因素。唯一不变的是变化这是一个真理，在云环境中尤其如此。首先，IaaS环境中的计算资源是高度动态的，服务器实例不断地被创建和销毁手动管理和跟踪这些访问几乎不可能。其次，开发者也是动态的（尽管从个人的角度来看不一定如此）一一至少他们可能同时在不同项目中担任不同的角色。这个问题在DevOps环境中被放大。开发、QA、发布和运维角色混合在一个团队中，对“生产环境”资源的访问可以迅速改变。IP地址难题也许我们不需要传说中的网络管理员福尔摩斯（CClE#1）,但我们的IPv4世界确实面临着严峻的挑战：不仅用户的IP地址定期更改，用户和IP地址之间也没有一对一的对应关系。下图说明了当访问规则完全由IP地址驱动时，即使是简单的环境也会很复杂：位置网络设置安全隐患公司总部所有用户都映射到单个IP地址。在此位置有许多用户需要广泛的网络访问能力网络安全组无法区分用户，并且必须授予每个人所有资源的完全访问权限。这意味着恶意用户、攻击者或恶意软件可以从本地到云网络不受阻碍地穿越。远程开发办公室直接网络连接会保留每个用户的IP地址IP地址是动态分配的，并每天更改。用户还可以从多个设备访问云。IT运营团队不断更新安全组的规则（增加业务延迟）或网络完全对云开放（降低安全性）。咖啡店一个（或很少）用户需要从不同的位置远程访问，可能是NAT的方式来自这些位置的网络访问将会同步开放给同一网络上的任何恶意用户。IT管理员很难根据用户的位置和访问需求的变化来手动调整网络访问策略。安全要求和传统安全工具从根本上说，有两个问题需要解决：安全地远程访问用户访问的可见性和可控性安全专业人员普遍认为向公网开放敏感服务是一个坏主意，并希望使用其中的一种或两种方法来保护敏感服务。安全地远程访问首先，让我们考虑安全的远程访问问题。直到今天，我们还没有发明一种将开发人员上传到云中的方法，所以，所有的云用户都是远程的，这意味着无论网络连接是公共互联网还是专用的直接连接，与云的通信都是在网络连接上发生。企业通常通过使用VPN解决这一问题，通过建立站点到站点的VPN（如上面的图中的公司总部位置蓝色线所示），或者从用户的设备通过VPN集中器直接连到云。或者，结合上述两个方案，将用户从其设备通过VPN连接到企业网络，再从那里通过站点到站点的VPN进入云。使用VPN在技术上解决了上面的问题的第一部分（安全地远程访问），它为从用户设备到云网络的网络通信提供了安全、加密的隧道。这有一些缺点，特别是如果所有的用户流量都需要先到公司网络，然后再去访问云，这将引入额外的延迟，造成单点故障,并可能会增加带宽成本和VPN授权的购买成本。通过VPN直接从每个用户的设备连接到云有助于解决其中的一些问题，但可能会与用VPN同时进入企业网络的需求（例如访问内部开发资源）发生冲突。普遍来说,如果VPN上应用程序通讯协议已经是加密的，例如HTTPS和SSH,并不会增强安全的保密性和完整性，VPN可以提供价值的一个方面是安全的可用性，因为被VPN保护的资源可以确保不会公开可见，从而防止DDoS一类的攻击。这是我们下一节的一个很好的话题，在这里我们谈及查看和控制用户访问的需求，而这点VPN无法帮助到企业用户。用户访问的可见性和控制不管用户如何进入IaaS环境的（无论是否通过VPN）,安全团队仍然需要控制（并监视和报告）在IaaS环境中哪些用户可以访问哪些资源。IaaS平台提供了内置的工具来管理这一点，例如AWS中的安全组和Azure中的网络安全组（在本文中我们称为云防火墙），基于TP地址控制对服务器的访问。这是安全访问面临的最基础的挑战一一企业需要解决用户访问问题，但只被赋予了基于IP地址的访问控制工具。让我们来看一个关于云防火墙的例子:类型协议端口范围源地址HTTPTCP80173.76.247.254/32HTTPTCP8050.255.155.113/32HTTPTCP8073.68.25.221/32HTTPTCP8098.217.113.192/32HTTPTCP80209.64.11.88/32HTTPTCP80172.85.50.162/32HTTPTCP8068.190.210.117/32RDPTCP3389173.76.247.254/32RDPTCP3389HO.142.238.207/32RDPTCP338950.255.155.113/32RDPTCP338973.68.25.221/32RDPTCP338998.217.113.192/32RDPTCP3389209.64.11.88/32上述的防火墙配置片段展示了IaaS平台提供的简单IP地址规则方法。所有被分配到此防火墙组的虚拟机实例都将继承这个规则集，允许网络访问特定的端口。任何IaaS的用户都可以证明这种方法存在以下几个问题： 它提供对此云防火墙中所有服务器的粗粒度访问 IP地址不能与用户对应 没有任何策略的概念，也没有解释为什么指定的源TP地址会在这个列表中。因此，依照用户的访问控制策略去实现任何一种复杂的访问控制都是相当困难和耗费时间的。 上述列表是静态的，不能依据用户位置和权限的变化而做出相应的变化。 上述方法没有考虑任何信任的概念（比如身份验证强度，设备配置文件或客户端行为），并相应调整访问权限。 任何更改都需要对管理对IaaS账户进行管理访问，将导致以下两种之一发生：需要进行集中化处理，因而导致性能下降需要对更多用户设置管理员访问权限，从而产生安全性、合规性和操作性问题在IaaS环境下，安全远程访问控制已经不再是一个特殊场景。所有用户都是“远程的”，因此，网络安全团队需要关心所有用户是如何访问资源的，而不仅仅是用户的一个子集。也就是说，安全的远程访问控制必须成为一个核心关注点，并且是采用TaaS的任何企业的整体策略的一部分。注意：除了上述方法（将多个源IP地址添加到单个云防火墙）以外，在另外一些云平台上，你可以使用略微有所差异的方法创建多个云防火墙（例如，针对每个用户的IP创建一个防火墙），或者每个云服务器实例关联多个云防火墙。这些都与上述方法具有相同的逻辑效果。虽然可以给防火墙分配有意义的名字（例如“Sallyhomeandwork"）让它能行之有效，但是这会带来额外的开销，并且这仍然是个静态的解决方案。跳板机：三思而后行跳板机，也被称作跳转服务器或跳转主机，使不安全区域的用户访问在更安全区域中运行的服务器或服务。对于本文档，使用跳板机的场景是使用跳板机来代理访问云环境中的服务器。COWPOftATC HQ公司总部如上图所示，跳板机的网络访问可以是公开的，通过直接连接或者VPN来访问。访问跳板机桌面本身需要用户认证（多因子）。跳板机通过用对受管理的服务的强制单点访问，来控制云资源的访问。然而，跳板机中的诸多限制使得它不适合用于海量的云资源访问控制： 它不是典型的多用户系统，用于单用户访问受保护的服务器 它是为特殊场合的访问控制设计的，比如系统管理员访问，而不是为持续的访问控制设计的 它只能对跳板机网络中的所有服务器一刀切地提供“要么全有，要么全无”的网络访问控制 它是一个非常有价值的攻击目标。一旦攻破一个跳板机，或者一台可以访问跳板机的用户设备，就对攻击者开放了整个网络 难以跟踪用户访问以实现合规性检查很显然，跳板机不是云系统用户访问控制的合适解决方案。为什么是SDP而不是VPNVPN是一种广泛用于安全远程用户访问控制的普遍技术。但是为什么企业不能继续使用这种被验证过的技术呢？VPN很好地为远程用户提供对虚拟局域网或网段的安全访问，就好像他/她们实际物理地存在于企业网络一样。这种技术，在与多因子身份认证结合时，对于具有传统边界的企业以及静态用户和服务器资源来说效果很好。但是正如Gartner的调研报告所说，“DMZ和传统VPN是为上世纪90年代的网络设计的，由于缺乏保护数字业务所需的敏捷性，它们已经过时。”,VPN有两个缺点，使它们不适合当今的需求。首先，它们对所分配的网络提供非常粗粒度的访问控制。它们的目标是让远程用户的行为就像在本地网络上一样，这意味着所有用户都可以对整个虚拟局域网VLAN进行完全的网络访问。尝试配置VPN以为不同用户提供不同级别的访问是不现实的。它们也不能很容易地适应网络或服务器集群的变化。VPN根本无法跟上当今的动态发展的企业的需要。其次，即使公司对VPN所提供的控制级别感到满意，但VPN只是一种控制远程用户的竖井式解决方案一一它们不会帮助保护本地内网中的用户，这意味着组织需要一组完全不同的技术和策略来控制本地用户的访问。这将使协调和匹配这两个解决方案所需的工作量成倍增加。而且,随着企业采用混合和基于云计算的计算模型，VPN就更难被有效地使用。Gartner指出：“到2021年，60%的企业将逐步淘汰VPN,换而使用软件定义边界(SDP),(尽管2016年SDP的使用量不到1%)。'虚拟桌面基础设施（VDl）虚拟桌面基础设施（VDl）是一组技术，可以让企业在企业数据中心的集中式服务器机群中托管大量的桌面操作系统实例。这些实例可以是桌面操作系统的虚拟化实例，也可以是许多用户并发登录到的桌面操作系统的多用户版本。与VPN一样，VDl一直是企业用来远程访问其网络和应用程序的一种重要机制。总的来说，在今天的云计算和移动世界中，VDl有一些缺点。首先，远程桌面的用户体验往往在小型的移动设备上表现不佳。它不会以一种响应的方式呈现，而且非常难以使用，因此会阻碍生产力。其次，很多基于桌面的客户端/服务器（C/S）应用程序已经被重新编写为Web应用程序，从而减少了VDl的价值。第三，VDl集群的采购成本很高，尤其是如果它们是基于硬件的。最重要的是，随着越来越多的工作业务系统转移到云上，企业已经意识到VDl并不能解决远程应用程序的用户访问的问题。事实上，VDl确实解决了部分远程访问问题一一通常通过对从客户端设备到VDI服务器的流量进行加密，但它不能帮助解决核心的用户访问问题一一控制一个特定用户可以访问的网络资源。在某些情况下，VDl会使多个用户出现在一个多用户操作系统中，从而使这个问题变得更加困难。在这种情况下，通过传统的网络安全解决方案进行网络访问控制实际上是不可能的。VDI无疑是有一定的好处，但是它并不是为了控制用户对云网络和服务器资源的访问而设计的，因此在某些方面甚至会使这个问题变得更加困难。SDP怎么解决这个问题？SDP可以解决上面讨论的所有安全问题，为企业提供对IaaS环境的安全远程访问，并对用户访问做到细粒度的可见性和控制。通过使用SDP,企业的云资源对于未经授权的用户完全不可见。这样完全消除了许多攻击方式，包括暴力攻击；网络流量攻击，以及TLS漏洞攻击，如著名的“心脏出血Heartbleed漏洞”和“贵宾犬PoodIC漏洞”。SDP通过在企业的服务器周围建立一张“暗网”，帮助它们成功地为云计算安全负责。SDP以预认证和预授权作为它的两个基本支柱。通过在单数据包到达目标服务器之前对用户和设备进行身份验证和授权，SDP可以在网络层上执行最小权限原则，可以显著地缩小攻击面。什么是软件定义边界（SDP）?软件定义边界10（SDP）架构由三个主要组件组成，如下所示:一 3DP客户续、（发起立机）一控制电送 , 歙*通道SDPXK叁保枳的资赤（接收主机）四SDPM大（按收主机）受保护的CLIENT客户端（发起主每个用户的设备上运行的客户端机）CONTROLLER控制器用户身份认证的组件（可选择性地与用户身份管理系统集成），并在授予每个用户个性化的网络权限之前对其进行验证GATEWAY网获接收F网森理访问受保护的资源。客户端的流量通过加密的通道发送到人机）个网关，在那里它被解密并发送到适当的应用程序（受保护的资源）。如上图所示，SDP体系结构支持多个分布式网关，每个网关保护一组应用程序或系统资源。用SDP术语来说，客户端（用户设备）指的是发起主机，网关指的是接收主机。在通过控制器进行身份验证后，客户端为每个网关建立加密的隧道（上面的图表显示了两个分布式网关，每个网关保护一组不同的资源，由单个控制器管理）。SDP规范中的一个重要元素是单包授权（SPA）。使用这种技术，客户端基于一个共享密钥（seed）创建一个基于HMAC的一次性口令，并将其提交给SDP控制器和网关，作为连接建立过程发送的第一个网络数据包。（它也用于网关与控制器的连接建立）因为SDP控制器和网关拒绝无效的数据包（可能来自未经授权的用户），所以它们可以防止和未经授权的用户或设备建立TCP连接。由于非法的客户端可以通过分析单个数据包来区分,所以SDP控制器和网关所产生的计算负载是最小的。这极大降低了DDoS攻击的有效性，并使得SDP服务可以在面向公众的网络中可以更安全、更可靠地部署。基于用户而不仅仅是IP地址策略由于SDP系统是以用户为中心的（也就是说，在允许任何访问之前，它们先验证用户和设备），因此它们允许企业基于用户属性创建访问策略。通过使用诸如目录组成员、IAM-分配的属性和角色等机制，公司可以以一种对业务、安全和合规性团队有意义的方式定义和控制对云资源的访问。相比之下，传统的网络安全系统完全基于IP地址，根本不考虑用户。SDP的优势部署SDP的企业将在改善安全性的几个维度受益，我们希望在本文档的其余部分中清楚地表达出来。SDP的其他好处包括运维效率、简化的合规性工作和降低成本等。下面我们将进行探讨。运维效率与达到特定级别的安全性所需的手工工作相比，SDP的自动化策略执行在运维上体现了显著的好处。从另一个角度来看，一个企业可以通过SDP轻松获得的安全性级别实际上是不可能通过传统的安全工具实现的。简化的合规性工作SDP的实施产品通常提供每个用户访问权限和活动的详细记录，这是由于网关对所有客户端网络流量进行日志记录和控制。因此，SDP可以根据这些细节提供自动化的合规性报告。而且，由于SDP支持对用户访问的细粒度控制，企业通过将其网络分割成更小的、隔离的部分来获得降低合规性需要的范围。降低成本SDP可以帮助企业以多种方式降低成本。首先，对访问策略的自动执行减少了为响应用户或服务器更改而手动更新和测试防火墙规则的需求。在较大的企业中，这通常是其Fr人员日常工作的一部分，因此这提供了一个减少工作量和人工成本的机会（特别是在外包模型中）。它还将提高业务和技术人员的生产效率，同时也可以有效降低硬成本（特别是对于小时工或外包的工人）。其次，简化的合规性工作将减少准备和执行审计所需的时间和精力。这两项活动都需要第三方咨询师，节省的每一小时都是直接的成本节约。最后，SDP还可以给企业带来一种替代其他技术的方案，从而降低成本。例如，我们已经看到一些企业在考虑升级传统NAC的网络交换机时选择了SDP,这为他们节省了数十万美元的资本支出。SDP作为变革的催化剂我们特别欣慰的是，SDP可以成为变革的催化剂。我们相信，SDP代表了安全架构的突破，并将很快成为广泛被采用的保护网络服务的方法。我们越来越多地看到企业公开支持SDP作为它们实施安全的新方式，并将其作为一个机会来取代传统的安全技术，如VPN.NAC,或DMZ,因为它是一种更有效、更动态、更安全的替代品。SDP、身份及访问管理SDP、身份及访问管理（IAM）在很多方面都是互补的。首先，SDP能实现对已经部署的IAM系统进行身份验证，这可以加速SDP的上线。这种身份验证可能通过连接到本地LDAP或AD服务器，或者使用SAML之类的标准来实现。其次，SDP实施产品通常使用TAM用户属性（如目录组成员、目录属性或角色）作为SDP策略的元素。例如，一个SDP策略可能会定义为“目录组中的所有销售用户都可以在443端口上访问销售门户的服务器。”这是一个很好的例子，说明SDP系统如何为现有的IAM系统增值（并扩展能力）11最后，SDP系统也可以包含在由IAM系统管理的身份生命周期中。通常被称为“加入，移动，离开”流程，IAM系统管理着与用户帐户和访问权限相关的业务和技术流程。部署SDP的企业应该将SDP管理的网络权限包含到它们的IAM供应系统中。例如，当IAM系统在应用程序X中为SallySmith创建一个新帐户时，SDP系统应该同时创建相应的网络权限。综上所述，这种集成很好地支持了第三方用户访问SDP系统。SDP控制器信任第三方IAM系统提供的身份验证和用户身份生命周期的所有权管理。因此，当第三方用户在它们的IAM系统中被禁用时（这对企业的用户禁用流程非常关键），用户将自动无法访问SDP保护的资源，因为他们不能通过关联进行身份验证。这个关联很好地解决了第三方访问的一个常见问题。关于SDP和IAM如何一起工作还有很多内容要写，但是这样的分析在这个文档中是不可能的（尽管我们很喜欢这两种技术）。我们正在考虑将其纳入SDPv2规范中。8Gartner:GOO315586,迎接新时代：隔离互联网污染环境与你的网络服务,2016年9月3Q日9如上IOSDP版本1.0规范在这里提供：https:CIOUdSeeUrityaIIiHnce.Org/download/SdD-SPeCifiCatiOn-V1-0/11防DDoSSDP工作小组对这个主题有一些有趣的研究,还有一些正在研究的性能指标，对比使用传统TCP连接和SPA在服务器负载上的区别。请注意，基于UDP的SPA比基于TCP的SPA更有弹性,因为它消耗的服务器资源更少，并且能够更好地抵御无效的数据包流量攻击。12这个例子是一个真实的策略，但是它在一些更大的环境中可能会面临挑战。供应商应该考虑支持参数化的策略，例如，