軟件定義邊界(Software Defined Perimeter,SDP)作爲新一代網絡安全解決理念,最早由雲安全聯盟(CSA)於2013年提出,其整個中心思想是通過軟件的方式,在移動+雲時代,構建起一個虛擬的企業邊界,利用基於身份的訪問控制,來應對邊界模糊化帶來的控制粒度粗、有效性差問題,以此達到保護企業數據安全的目的。
SDP的應用正在迅速普及,其有效性在許多企業和案例中得到了廣泛的驗證。隨着越來越多的企業戰略性地擁抱雲計算IaaS平臺,並且迫切需要雲上資源的安全訪問,我們相信,致力於保護雲上資源的安全架構——SDP的時機已經到來。
如今,IT和安全管理者已深刻認識到,企業和雲提供商有責任共同面對IaaS安全挑戰。IaaS與傳統的內網相比,有不同的用戶訪問和安全需求(並且在某些方面更具挑戰),然而,這些需求並不能完全由傳統安全工具或者IaaS供應商提供的安全架構來滿足。
使用軟件定義邊界(SDP)架構,企業用戶可以安全地訪問他們的IaaS資源,且不妨礙業務用戶或IT生產力。事實上,當正確部署時,SDP可以成爲改變網絡安全在整個企業中實踐的催化劑——無論是在內網還是公有云的環境。有了SDP,企業可以有一個集中管控並且策略驅動的網絡安全平臺,覆蓋他們的整個基礎設施(無論是在內網還是公有云環境)和他們的整個用戶羣體,這是一個引人注目的願景。近日,中國雲安全聯盟專家委員會專家翻譯並審校CSA報告《軟件定義邊界在IaaS中的應用》(Software Defined Perimeter for Infrastructure as a Service),《軟件定義邊界在IaaS中的應用》報告旨在探索和解釋軟件定義邊界(SDP)部署於IaaS時,對提高安全性、合規性和運維效率的相關優勢。通過本報告,讀者能夠清楚認識到企業IaaS所面臨的安全挑戰(基於共享責任模型),原有的IaaS訪問控制與傳統網絡安全工具結合產生的安全問題,以及軟件定義邊界在各種場景中的解決之道。
《軟件定義邊界在IaaS中的應用》報告包括以下內容:
一、 技術原理
本章節重點講述對於安全性更爲複雜的IaaS環境,爲什麼傳統的網絡安全方法不適用。而相比於傳統的安全工具,SDP可以解決哪些安全威脅,具有何種優勢。
二、 IaaS使用場景
本章節的重點是如何將SDP部署於(IaaS)基礎設施的環境中,重點爲以下用例:
• 開發人員安全訪問IaaS環境
• 業務用戶安全訪問內部公司應用服務
• 管理員安全訪問公共對外服務
• 在創建新服務器實例時更新用戶的訪問權限
• 服務提供商的硬件管理後臺訪問
• 多企業帳戶訪問控制
三、 增強SDP規範的建議
四、 混合雲及多雲的環境
五、 替代計算模型和SDP
六、 容器和SDP
七、 結論和下一步計劃
無論你是一個企業、一個服務提供者、還是一個獨立的實踐者,我們都希望這項研究能夠給您帶來幫助。該文檔將提高您對與IaaS環境相關的特定網絡訪問所面臨的挑戰,並通過軟件定義邊界SDP來幫助您解決這些問題。