2022軟件定義邊界在IaaS中的應用

軟件定義邊界在IaaS中的應用目錄序言 7目標 8方法和范圍 9執(zhí)行摘要 10軟件定義邊界和云安全聯盟提出的十二大安全威脅 11IaaS安全概述 13技術原理 14IaaS參考架構 14為什么IaaS安全性不同？ 15位置是另外一個屬性 15唯一不變的是變化 15IP地址難題 15安全要求和傳統(tǒng)安全工具 16跳板機：三思而后行 19為什么是SDP而不是VPN 20虛擬桌面基礎設施（VDI） 21SDP怎么解決這個問題？ 21什么是軟件定義邊界（SDP）？ 22基于用戶而不僅僅是IP地址的策略 23SDP的優(yōu)勢 23運維效率 23簡化的合規(guī)性工作 23降低成本 23SDP作為變革的催化劑 24SDP、身份及訪問管理 24IaaS使用場景 26用例：開發(fā)人員安全訪問IaaS環(huán)境 26不使用SDP的訪問 26使用SDP的訪問 27總結 29用例：保障業(yè)務人員訪問內部企業(yè)應用系統(tǒng)的安全 30不使用SDP的訪問 30使用SDP的訪問 31總結 36使用場景：安全的管理面向公眾的服務 36使用場景：當新服務實例創(chuàng)建時更新用戶訪問權限 38使用SDP接入 39總結 41使用場景：對于服務提供商的硬件管理平臺訪問 42SDP工作組|軟件定義邊界在IaaS中的應用 5SDP工作組SDP工作組|軟件定義邊界在IaaS中的應用6總結： 45使用場景：通過多企業(yè)賬號控制訪問 45總結： 45增強SDP規(guī)范的建議 46混合云以及多云的環(huán)境 47替代計算模型和SDP 48容器和SDP 49結論與下一步計劃 50SDP工作組SDP工作組|軟件定義邊界在IaaS中的應用PAGE10目標軟件定義邊界（SDP）的應用正在迅速普及，1其有效性在許多企業(yè)和案例中得到了廣泛的驗證。如今，隨著越來越多的企業(yè)戰(zhàn)略性地擁抱云計算IaaS資源的安全架構——SDP本報告旨在探索和解釋軟件定義邊界（SDP）部署于IaaS時，對提高安全性、合規(guī)性和運維效率的相關優(yōu)勢。通過本報告，讀者能夠清楚認識到企業(yè)IaaS所面臨的安全挑戰(zhàn)（基于共享責任模型），原有的IaaS訪問控制與傳統(tǒng)網絡安全工具結合產生的安全問題，以及軟件定義邊界在各種場景中的解決之道。方法和范圍本報告內容主要是基于公有云的IaaSAmazonWebServices、MicrosoftAzure、GoogleComputeEngineRackspacePublicCloud。其相關用例和方法同樣適用于私IaaS，VMwareOpenStackSDPV1在構建產品的過程中，都有各自不同的架構、方法和能力。在本報告中，我們對產商保持中立，并且避免頭輪產商相關的能力。如果有因為產商能力產生的差異化案例，我們會使用“也許、典型的、通?！钡仍~匯來解釋這些差異，以不犧牲報告的可讀性。IaaSIPv4，因此我們所討論的內容在一定程度上有IPv6SDP規(guī)范相一致，我們專注用戶到服務（user-to-service）的訪問控制（南北方向）。服務器到服務器Server-to-Server（也稱為東西方向）通信不在本報告的范圍之內（為響SDP2）。服務器V1高可用性和負載均衡不在本報告討論范圍之內。SDPSDPPaaS，3。在撰寫這份文件時，我們努力做到內容聚焦。我們考慮了很多值得探討的話題，但這些話題V2SDPV2IaaS雖然我們避開了這些話題，但該報告的內容仍超過了目標頁數，不過我們相信，在平衡內容長度和范圍方面我們做出了正確的選擇。該報告也將為我們下一次內容的修訂提供了良好的基礎。執(zhí)行摘要如今，IT共同面對）用戶訪問需求和安全需求，然而，這些需求并不能完全例如，企業(yè)往往需要對用戶訪問網絡資源進行一定程度的限制，但傳統(tǒng)的網絡訪問控制（NAC）和虛擬局域網（VLAN）IaaSIaaSVPN。但是，隨著當今移動辦公、跨公司協(xié)作或動態(tài)云環(huán)境等場景廣泛存在企業(yè)當中，VPNIP使用軟件定義邊界（SDP）IaaSITSDPSDP，企業(yè)可以有一個集中管控并且策略驅動的網絡安全平臺，覆蓋他們的整個基礎設施（無論是在內網還是公有云環(huán)境）這是一個引人注目的愿景。事實上，SDPSDPITSDP（IaaS）基礎設施的環(huán)境中，重點為以下用例：IaaS業(yè)務用戶安全訪問內部公司應用服務管理員安全訪問公共對外服務在創(chuàng)建新服務器實例時更新用戶的訪問權限服務提供商的硬件管理后臺訪問多企業(yè)帳戶訪問控制此外，本研究報告還解釋了為什么傳統(tǒng)的網絡安全方法不適用于IaaS環(huán)境，以及SDP部署在混合環(huán)境中的價值。軟件定義邊界和云安全聯盟提出的十二大安全威脅CSA一致意見：SDP下表列出了十二大威脅（《十二大網絡安全威脅》），并分析SDP對于解決這些威脅的作用：安全威脅SDP作用1數據泄露SDP通過添加預驗證和預授權層來減少公開暴露的主機的攻擊面，實現服務器和網絡的安全性的“最小訪問權限”模型，從而有助于減少數據泄露的許多攻擊方式。剩余風險：數據泄露的幾個其他攻擊方式不適用于SDP，包括釣魚、錯誤配置和終端保護。授權用戶對授權資源的惡意訪問將不會被SDP直接阻止。過去，企業(yè)VPN訪問密碼被盜往往導致企業(yè)數據丟失。這是因為VPN通常允許用戶對整個網絡進行廣泛的訪問，從而成為弱身份、密碼與訪問管理中的薄弱環(huán)節(jié)。2弱身份、密碼與訪問管理相比之下，SDP不允許廣泛的網絡訪問，并限制對這些主機的訪問權限。這使得安全體系結構對弱身份、證書和訪問管理有更大的彈性。SDP還可以在用戶訪問資源之前執(zhí)行強認證。剩余風險：企業(yè)必須有一個積極的參與者來調整IAM流程，并確保訪問策略被正確定義。過于寬泛的準入政策會給企業(yè)帶來風險。保護用戶界面不被未授權用戶訪問是SDP的核心能力。使用SDP，未經授權的用戶（即攻擊者）無法訪問UI，因此無法利用任何漏洞。3不安全的界面和APISDP還可以通過在用戶設備上運行的進程來保護API。目前SDP部署的主要焦點一直是保護用戶對服務器的訪問。服務器到服務器的訪問至今還不是SDP的一個重點，但是我們希望這將在不久的將來被包含在SDP范圍內。剩余風險：服務器到服務器API調用在這個時候不是SDP的常見用例，因此這種API服務可能不會受到SDP系統(tǒng)的保護。4系統(tǒng)和應用程序漏洞SDP顯著減少攻擊面，通過將系統(tǒng)和應用程序的漏洞隱藏起來，對于未授權用戶不可見。剩余風險：授權用戶可以訪問授權的資源，存在潛在的攻擊可能性。其它安全系統(tǒng)如SIEM或IDS必須用來監(jiān)控訪問和網絡活動（見下文的內部惡意人員威脅）。SDP工作組SDP工作組|軟件定義邊界在IaaS中的應用PAGE12賬號劫持（APTs）數據丟失盡職調查不足服務DDoS攻擊共享技術問題

基于會話cookie的帳戶劫持被SDP完全消除。如果沒有預先認證和預先授權，并且攜帶適當的SPA數據包，應用服務器會默認拒絕來自惡意終端的網絡連接請求。因此，即使網絡請求中攜帶被劫持的會話cookie，也不會被SDP網關準入。剩余風險：釣魚或密碼竊取仍然是一個風險，但SDP可以通過執(zhí)行強身份驗證來降低這種風險，并有基于諸如地理定位等屬性來控制訪問的策略。SDP將限制內部人員造成安全威脅的能力。適當配置的SDP系統(tǒng)將具有限制用戶僅能訪問執(zhí)行業(yè)務功能所需的資源，而所有其他資源都將被隱藏。剩余風險：SDP不阻止授權用戶對授權資源的惡意訪問。APTS本質上是復雜的、多方面的，不會被任何單一的安全防御所阻止。SDP通過限制受感染終端尋找網絡目標的能力，并且在整個企業(yè)中實施多因子認證，有效減少攻擊面，從而降低APT的存在可能性和傳播。剩余風險：預防和檢測APTS需要多個安全系統(tǒng)和過程結合起來進行深入的防御。SDP通過執(zhí)行最小權限原則，并將網絡資源對未授權用戶隱藏起來，來減少數據丟失的可能性。SDP還可以通過適當的DLP解決方案來增強。剩余風險：SDP不阻止授權用戶對授權資源的惡意訪問。SDP不適用這種情況SDP并不直接適用，但SDP供應商的產品可能有能力檢測和了解云服務使用狀況。SDP架構中的單包授權（SPA）技術使得SDP控制器和網關對阻止DDoS攻擊更有彈性。SPA與典型的TCP握手連接相比可花費更少的資源，使服務器能夠大規(guī)模處理、丟棄惡意的網絡請求數據包。與TCP相比，基于UDP的SPA進一步提高了服務器的可用性。剩余風險：雖然SPA顯著降低了由無效SPA包所施加的計算負擔，但它仍然是非零的，因此面向公眾的SDP系統(tǒng)仍然可能受到大規(guī)模DDoS攻擊的影響。SDP可以由云服務提供商使用，以確保管理員對硬件和虛擬化基礎設施的訪問管理。有關服務提供商的硬件管理控制面板訪問，請參閱下面的討論用例。剩余風險：云服務提供商除了SDP之外，還必須使用各種安全系統(tǒng)和流程。4DDoSSDPTCPSPAUDPSPATCPSPASDP工作組SDP工作組|軟件定義邊界在IaaS中的應用PAGE13IaaS安全概述業(yè)界對云上運行的應用程序的安全性往往存在諸多誤解。眾所周知，如果部署恰當，基于云的應用程序比起內部部署更安全。但是，云環(huán)境遵循的是與傳統(tǒng)內部部署不一樣的安全模型，而這些不同可能無意間導致安全降低。因此，無論廠商還是企業(yè)都需要謹慎考量并采取行動。IaaS供應商通常會創(chuàng)建和推動“責任共享模型”，這個模型定義了IaaS安全，而客戶（企業(yè)）IaaS6的理念而創(chuàng)建的責任共享模型。許多企業(yè)正在嘗試擁抱云安全責任共享概念，尤其是IaaS提供商的工具集由自己創(chuàng)建時更是如此。這些工具傾向基于靜態(tài)IP地址而不是基于用戶（或身份），客戶不能通過這種方法行之有效地管理基于用戶的云資源的訪問。因此，客戶公司依賴應用級的身份驗證來保護對這些資源的訪問，致使內網里任何人都可對整個云網絡進行訪問。從安全角度來看這自然存在相應風險——基于網絡級的資源訪問有太多可以被未經身份驗證的攻擊者利用的弱點。同時還有一個合規(guī)問題——企業(yè)經常要在敏感和受控環(huán)境中報告“誰訪問了什么”。如上圖所示，SDP架構在與IaaS供應商的責任共享模型中有重要作用。通過SDP，云客戶可以在他們自身的安全共享控制部分采用更有效的方式51不安全的AWS和/azuresecurity/2016/04/18/what-does-shared-responsibility-in-the-cloud-mean/SDP工作組SDP工作組|軟件定義邊界在IaaS中的應用PAGE14技術原理IaaS參考架構IaaSIaaSIaaSIaaSAWS虛擬私有云)。從網絡訪問的角度來看,這些私有云網絡受到云防火墻的保護,防火墻在邏輯上控制這些網絡的訪問進出。對進入這些私有云網絡(間)的訪問控制很快就會變得復雜,不同的云提供者有不同的工具集。本文中,我們有意省略路由表、網關或NACLs等構件的復雜性,以便我們能夠集中精力于管理用戶訪問IaaS資源所面臨的挑戰(zhàn)。這個簡單的模型不管供應商是誰，我們都可以持續(xù)地談論云安全性和網絡。具體地說,我們將在本研究中使用以下術語:術語描述示例云防火墻控制云環(huán)境的網絡流量進出的安全構件。通過將服務器實例分配給云防火墻組來進行管理。AWS:SecurityGroupAzure:NetworkSecurityGroup私有云網絡云環(huán)境中由單個帳戶控制的獨立網絡區(qū)AWS:VirtualPrivateCloudAzure:VirtualNetworkIaaS系統(tǒng)支持為服務器實例指派name-AWSTagsSDP工作組SDP工作組|軟件定義邊界在IaaS中的應用PAGE15AWSDirectConnectAzureExpressRouteAWSDirectConnectAzureExpressRouteIaaS供應商與電信運營商合作,提供從企業(yè)內部網絡到IaaS環(huán)境的專用網絡連接(通常使用MPLS)。具有可靠和專用帶寬的優(yōu)點,通常可以將其細分為多個虛擬網絡。直接連接AzureTagsvalue鍵值對。這些標簽在IaaS系統(tǒng)中沒有語義含義,但可以作為一個SDP系統(tǒng)進行訪問策略決策的基礎，非常有用。標簽為什么IaaS的安全性更復雜？IaaS的網絡訪問存在一個重大的安全挑戰(zhàn)。作為云安全責任共享模型的一部分,網絡安全直接依賴于企業(yè)。將私有云資源公開到公共互聯網通常不是一個可接受的選項——僅依賴于身份驗證來保護，顯然不符合安全和合規(guī)要求。因此,企業(yè)需要在網絡層彌補這一差距。由于如下幾個原因，這是一個典型的復雜的安全挑戰(zhàn)。位置只是一個普通的屬性而已例如,Sally3306JoeSallyPurpleSSHPurple務器。ChrisPurpleJoe位置可能僅僅是訪問策略需要考慮的屬性之一，而非傳統(tǒng)網絡環(huán)境中網絡訪問層的主要驅動因素。唯一不變的是變化這是一個真理，在云環(huán)境中尤其如此。首先,IaaS環(huán)境中的計算資源是高度動態(tài)的，服務器實例不斷地被創(chuàng)建和銷毀7。手動管理和跟蹤這些訪問幾乎不可能。其次,開發(fā)者也是動態(tài)的(盡管從個人的角度來看不一定如此)——至少他們可能同時在不同項目中擔任不同的角色。這個問題在DevOps環(huán)境中被放大。開發(fā)、QA、發(fā)布和運維角色混合在一個團隊中,對“生產環(huán)境”資源的訪問可以迅速改變。IP地址難題也許我們不需要傳說中的網絡管理員福爾摩斯(CCIE#1),但我們的IPv4世界確實面臨著嚴峻的挑戰(zhàn)：不僅用戶的IP地址定期更改,用戶和IP地址之間也沒有一對一的對應關系。下圖說明了當訪問規(guī)則完全由IP地址驅動時,即使是簡單的環(huán)境也會很復雜:SDP工作組SDP工作組|軟件定義邊界在IaaS中的應用PAGE16位置網絡設置安全隱患公司總部所有用戶都映射到單個IP地址。在此位置有許多用戶需要廣泛的網絡訪問能力遠程開發(fā)辦公室直接網絡連接會保留每個用戶的IP地址IP地址是動態(tài)分配的,并每天更改。用戶還可以從多個設備訪問云。IT運營團隊不斷更新安全組的規(guī)則（增加業(yè)務延遲）或網絡完全對云開放（降低安全性）?？Х鹊暌粋€(或很少)用戶需要從不同的位置遠程訪問,可能是NAT的方式來自這些位置的網絡訪問將會同步開放給同一網絡上的任何惡意用戶。IT管理員很難根據用戶的位置和訪問需求的變化來手動調整網絡訪問策略。安全要求和傳統(tǒng)安全工具從根本上說,有兩個問題需要解決:安全地遠程訪問用戶訪問的可見性和可控性安全專業(yè)人員普遍認為向公網開放敏感服務是一個壞主意,并希望使用其中的一種或兩種方法來保護敏感服務。PAGE33PAGE33SDP工作組|軟件定義邊界在IaaS中的應用安全地遠程訪問首先,讓我們考慮安全的遠程訪問問題。直到今天,我們還沒有發(fā)明一種將開發(fā)人員上傳到云中的方法,所以，所有的云用戶都是遠程的,這意味著無論網絡連接是公共互聯網還是專用的直接連接，與云的通信都是在網絡連接上發(fā)生。VPNVPN(如上面的圖中的公司VPN集中器直接連到云。或者,結合上述兩個VPNVPN使用VPN在技術上解決了上面的問題的第一部分（安全地遠程訪問），它為從用戶設備到云網絡的網絡通信提供了安全、加密的隧道。這有一些缺點，特別是如果所有的用戶流量都需要先到公司網絡，然后再去訪問云，這將引入額外的延遲,造成單點故障,并可能會增加VPNVPNVPN（例如訪問內部開發(fā)資源）發(fā)生沖突。VPNHTTPS和SSH，并不會增強安全的保密性和完整性，VPN可以提供價值的一個方面是安全的可用性,因為被VPN保護的資源可以確保不會公開可見,從而防止DDoS一類的攻擊。這是我們下一節(jié)的一個很好的話題,在這里我們談及查看和控制用戶訪問的需求,而這點VPN無法幫助到企業(yè)用戶。用戶訪問的可見性和控制IaaS（VPN），安全團隊仍然需要控制(并監(jiān)視IaaS環(huán)境中哪些用戶可以訪問哪些資源。IaaS平臺提供了內置的工具來管理這一點，例如AWS中的安全組和Azure中的網絡安全組(在本文中我們稱為云防火墻),基于IP地址控制對服務器的訪問。這是安全訪問面臨的最基礎的挑戰(zhàn)——企業(yè)需要解決用戶訪問問題,但只被賦予了基于IP地址的訪問控制工具。讓我們來看一個關于云防火墻的例子：類型協(xié)議端口范圍源地址HTTPTCP8054/32HTTPTCP8013/32HTTPTCP8021/32HTTPTCP8092/32HTTPTCP808/32HTTPTCP8062/32HTTPTCP8017/32RDPTCP338954/32RDPTCP338907/32RDPTCP338913/32RDPTCP338921/32RDPTCP338992/32RDPTCP33898/32上述的防火墻配置片段展示了IaaS平臺提供的簡單IP地址規(guī)則方法。所有被分配到此防火墻組的虛擬機實例都將繼承這個規(guī)則集，允許網絡訪問特定的端口。任何IaaS的用戶都可以證明這種方法存在以下幾個問題：它提供對此云防火墻中所有服務器的粗粒度訪問IPIP上述列表是靜態(tài)的，不能依據用戶位置和權限的變化而做出相應的變化。上述方法沒有考慮任何信任的概念（比如身份驗證強度，設備配置文件或客戶端行為），并相應調整訪問權限。IaaS需要進行集中化處理，因而導致性能下降需要對更多用戶設置管理員訪問權限，從而產生安全性、合規(guī)性和操作性問題在IaaS環(huán)境下，安全遠程訪問控制已經不再是一個特殊場景。所有用戶都是“遠程的”，因此，網絡安全團隊需要關心所有用戶是如何訪問資源的，而不僅僅是用戶的一個子集。也就是說，安全的遠程訪問控制必須成為一個核心關注點，并且是采用IaaS的任何企業(yè)的整體策略的一部分。注意：除了上述方法（IP）以外，在另外一些云平臺上，你可以使用略微有所差異的方法——創(chuàng)建多個云防火墻（IP一個防火墻），或者每個云服務器實例關聯多個云防火墻。這些都與上述方法具有相同的邏輯效果。雖然可以給防火墻分配有意義的名字（例如“Sallyhomeandwork”）讓它能行之有效，但是這會帶來額外的開銷，并且這仍然是個靜態(tài)的解決方案。跳板機：三思而后行跳板機，也被稱作跳轉服務器或跳轉主機，使不安全區(qū)域的用戶訪問在更安全區(qū)域中運行的服務器或服務。對于本文檔，使用跳板機的場景是使用跳板機來代理訪問云環(huán)境中的服務器。如上圖所示，跳板機的網絡訪問可以是公開的，通過直接連接或者VPN來訪問。訪問跳板機桌面本身需要用戶認證（多因子）。跳板機通過用對受管理的服務的強制單點訪問，來控制云資源的訪問。然而，跳板機中的諸多限制使得它不適合用于海量的云資源訪問控制：它不是典型的多用戶系統(tǒng)，用于單用戶訪問受保護的服務器它是為特殊場合的訪問控制設計的，比如系統(tǒng)管理員訪問，而不是為持續(xù)的訪問控制設計的它只能對跳板機網絡中的所有服務器一刀切地提供“要么全有，要么全無”的網絡訪問控制它是一個非常有價值的攻擊目標。一旦攻破一個跳板機，或者一臺可以訪問跳板機的用戶設備，就對攻擊者開放了整個網絡難以跟蹤用戶訪問以實現合規(guī)性檢查很顯然，跳板機不是云系統(tǒng)用戶訪問控制的合適解決方案。為什么是SDP而不是VPNVPN是一種廣泛用于安全遠程用戶訪問控制的普遍技術。但是為什么企業(yè)不能繼續(xù)使用這種被驗證過的技術呢？VPN很好地為遠程用戶提供對虛擬局域網或網段的安全訪問，就好像他/她們實際物理地存在于企業(yè)網絡一樣。這種技術，在與多因子身份認證結合時，對于具有傳統(tǒng)邊界的企業(yè)以及靜態(tài)用戶和服務器資源來說效果很好。但是正如Gartner的調研報告所說，“DMZ和傳統(tǒng)VPN是為上世紀90年代的網絡設計的，由于缺乏保護數字業(yè)務所需的敏捷性，它們已經過時?！盫PN有兩個缺點，使它們不適合當今的需求。首先，它們對所分配的網絡提供非常粗粒度的訪問控制。它們的目標是讓遠程用戶的行為就像在本地網絡上一樣，這意味著所有用戶都可以對整個虛擬局域網VLAN進行完全的網絡訪問。嘗試配置VPN以為不同用戶提供不同級別的訪問是不現實的。它們也不能很容易地適應網絡或服務器集群的變化。VPN根本無法跟上當今的動態(tài)發(fā)展的企業(yè)的需要。其次，即使公司對VPN所提供的控制級別感到滿意，但VPN只是一種控制遠程用戶的豎井式解決方案——它們不會幫助保護本地內網中的用戶，這意味著組織需要一組完全不同的技術和策略來控制本地用戶的訪問。這將使協(xié)調和匹配這兩個解決方案所需的工作量成倍增加。而且，隨著企業(yè)采用混合和基于云計算的計算模型，VPN就更難被有效地使用。Gartner指出：“到2021年，60%的企業(yè)將逐步淘汰VPN，換而使用軟件定義邊界（SDP），（盡管2016年SDP的使用量不到1%）?！?虛擬桌面基礎設施（VDI）虛擬桌面基礎設施（VDI）是一組技術，可以讓企業(yè)在企業(yè)數據中心的集中式服務器機群中托管大量的桌面操作系統(tǒng)實例。這些實例可以是桌面操作系統(tǒng)的虛擬化實例，也可以是許多用戶并發(fā)登錄到的桌面操作系統(tǒng)的多用戶版本。與VPN一樣，VDI一直是企業(yè)用來遠程訪問其網絡和應用程序的一種重要機制?？偟膩碚f，在今天的云計算和移動世界中，VDI有一些缺點。首先，遠程桌面的用戶體驗往往在小型的移動設備上表現不佳。它不會以一種響應的方式呈現，而且非常難以使用，因此會阻礙生產力。其次，很多基于桌面的客戶端/服務器（C/S）應用程序已經被重新編寫為Web應用程序，從而減少了VDI的價值。第三，VDI集群的采購成本很高，尤其是如果它們是基于硬件的。最重要的是，隨著越來越多的工作業(yè)務系統(tǒng)轉移到云上，企業(yè)已經意識到VDI并不能解決遠程應用程序的用戶訪問的問題。事實上，VDI確實解決了部分遠程訪問問題——通常通過對從客戶端設備到VDI服務器的流量進行加密，但它不能幫助解決核心的用戶訪問問題——控制一個特定用戶可以訪問的網絡資源。在某些情況下，VDI會使多個用戶出現在一個多用戶操作系統(tǒng)中，從而使這個問題變得更加困難。在這種情況下，通過傳統(tǒng)的網絡安全解決方案進行網絡訪問控制實際上是不可能的。VDISDP怎么解決這個問題？SDP可以解決上面討論的所有安全問題，為企業(yè)提供對IaaS環(huán)境的安全遠程訪問，并對用戶訪問做到細粒度的可見性和控制。通過使用SDP，企業(yè)的云資源對于未經授權的用戶完全不可見。這樣完全消除了許多攻擊方式，包括暴力攻擊;網絡流量攻擊，以及TLS漏洞攻擊，如著名的“心臟出血Heartbleed漏洞”和“貴賓犬Poodle漏洞”。SDP通過在企業(yè)的服務器周圍建立一張“暗網”，幫助它們成功地為云計算安全負責。SDP什么是軟件定義邊界（SDP）？軟件定義邊界10（SDP）架構由三個主要組件組成，如下所示：CLIENT客戶端（發(fā)起主機）每個用戶的設備上運行的客戶端CONTROLLER控制器用戶身份認證的組件（可選擇性地與用戶身份管理系統(tǒng)集成），并在授予每個用戶個性化的網絡權限之前對其進行驗證GATEWAY網關（接收主機）網關代理訪問受保護的資源?？蛻舳说牧髁客ㄟ^加密的通道發(fā)送到每個網關，在那里它被解密并發(fā)送到適當的應用程序（受保護的資源）。如上圖所示，SDP體系結構支持多個分布式網關，每個網關保護一組應用程序或系統(tǒng)資源。用SDP術語來說，客戶端（用戶設備）指的是發(fā)起主機，網關指的是接收主機。在通過控制器進行身份驗證后，客戶端為每個網關建立加密的隧道（上面的圖表顯示了兩個分布式網關，每個網關保護一組不同的資源，由單個控制器管理）。SDP規(guī)范中的一個重要元素是單包授權（SPA）。使用這種技術，客戶端基于一個共享密鑰（seed）創(chuàng)建一個基于HMAC的一次性口令，并將其提交給SDP控制器和網關，作為連接建立過程發(fā)送的第一個網絡數據包。（它也用于網關與控制器的連接建立）SDP（可能來自未經授權的用戶），所以它們可以TCPSDPDDoSSDP基于用戶而不僅僅是IP地址策略由于SDP系統(tǒng)是以用戶為中心的（也就是說，在允許任何訪問之前，它們先驗證用戶和設備），因此它們允許企業(yè)基于用戶屬性創(chuàng)建訪問策略。通過使用諸如目錄組成員、IAM-分配的屬性和角色等機制，公司可以以一種對業(yè)務、安全和合規(guī)性團隊有意義的方式定義和控制對云資源的訪問。相比之下，傳統(tǒng)的網絡安全系統(tǒng)完全基于IP地址，根本不考慮用戶。SDP的優(yōu)勢SDP運維效率與達到特定級別的安全性所需的手工工作相比，SDPSDP傳統(tǒng)的安全工具實現的。簡化的合規(guī)性工作SDP的實施產品通常提供每個用戶訪問權限和活動的詳細記錄，這是由于網關對所有客戶端網絡流量進行日志記錄和控制。因此，SDP可以根據這些細節(jié)提供自動化的合規(guī)性報告。而且，由于SDP支持對用戶訪問的細粒度控制，企業(yè)通過將其網絡分割成更小的、隔離的部分來獲得降低合規(guī)性需要的范圍。降低成本SDP可以幫助企業(yè)以多種方式降低成本。首先，對訪問策略的自動執(zhí)行減少了為響應用戶或服務器更改而手動更新和測試防火墻規(guī)則的需求。在較大的企業(yè)中，這通常是其IT人員日常工作的一部分，因此這提供了一個減少工作量和人工成本的機會（特別是在外包模型中）。它還將提高業(yè)務和技術人員的生產效率，同時也可以有效降低硬成本（特別是對于小時工或外包的工人）。其次，簡化的合規(guī)性工作將減少準備和執(zhí)行審計所需的時間和精力。這兩項活動都需要第三方咨詢師，節(jié)省的每一小時都是直接的成本節(jié)約。最后，SDPNACSDP，這為他們節(jié)省了數十萬美元的資本支出。SDP作為變革的催化劑我們特別欣慰的是，SDP可以成為變革的催化劑。我們相信，SDP代表了安全架構的突破，并將很快成為廣泛被采用的保護網絡服務的方法。SDPVPN、NACDMZ，品。SDP、身份及訪問管理SDP、身份及訪問管理（IAM）在很多方面都是互補的。首先，SDPSDPLDAPADSAML其次，SDP實施產品通常使用IAM用戶屬性（如目錄組成員、目錄屬性或角色）作為SDP策略的元素。例如，一個SDP策略可能會定義為“目錄組中的所有銷售用戶都可以在443端口上訪問銷售門戶的服務器?！边@是一個很好的例子，說明SDP系統(tǒng)如何為現有的IAM系統(tǒng)增值（并擴展能力）最后，SDP系統(tǒng)也可以包含在由IAM系統(tǒng)管理的身份生命周期中。通常被稱為“加入，移動，離開”流程，IAM系統(tǒng)管理著與用戶帳戶和訪問權限相關的業(yè)務和技術流程。部署SDP的企業(yè)應該將SDP管理的網絡權限包含到它們的IAM供應系統(tǒng)中。例如，當IAM系統(tǒng)在應用程序X中為SallySmith創(chuàng)建一個新帳戶時，SDP系統(tǒng)應該同時創(chuàng)建相應的網絡權限。綜上所述，這種集成很好地支持了第三方用戶訪問SDP系統(tǒng)。SDP控制器信任第三方IAM系統(tǒng)提供的身份驗證和用戶身份生命周期的所有權管理。因此，當第三方用戶在它們的IAM系統(tǒng)中被禁用時（這對企業(yè)的用戶禁用流程非常關鍵），用戶將自動無法訪問SDP保護的資源，因為他們不能通過關聯進行身份驗證。這個關聯很好地解決了第三方訪問的一個常見問題。SDPIAMSDPv2Gartner:G00315586，《迎接新時代：隔離互聯網污染環(huán)境與你的網絡服務》，2016930如上SDP1.0/download/sdp-specification-v1-0/DDoSSDPTCPSPAUDPSPATCPSPA這個例子是一個真實的策略，但是它在一些更大的環(huán)境中可能會面臨挑戰(zhàn)。供應商應該考慮支持參數化的策略，例如，一個使用身份和系統(tǒng)屬性的策略有效地聲明“只有部門中的用戶可以訪問他們在端口443上的部門門戶”。IaaS使用場景本節(jié)包含六個用例，代表了SDP可以為IaaS訪問的核心需求提供幫助。用例場景：開發(fā)人員安全訪問IaaS環(huán)境開發(fā)人員需要訪問IaaS資源，用于開發(fā)，測試和部署工作。這些用戶需要訪問各種協(xié)議和端口，以及訪問不斷變化的IaaS資源。DevOps規(guī)性的需求下，組織對系統(tǒng)訪問行為必須是可視而且可控的。不使用SDP的訪問如上圖所示，各種開發(fā)人員需要訪問兩個私有云網絡環(huán)境。這些開發(fā)人員具有不同的訪問要求，并且處于不同的位置。云防火墻是網絡流量的唯一控制點，實質上是一個包含所有授權連接的簡單表格。表格包含源IP地址到目標服務器和端口的映射。使用SDP的訪問SDP部署如下?？刂破鳎ㄈ缦马搱D所示）在所有用戶均可訪問的位置運行（為了清楚起見，連接未在圖中顯示）。它可能在云端的公共可訪問位置運行，或者可能在總部的DMZ區(qū)運行。訪問控制器受單包授權（SPA,Single-PacketAuthorization）保護，因此將其暴露在互聯網并不會顯著增加風險。SDPSDPSPA對照需求：Grace，Lou和Frank在總部工作，需要通過應用程序進行協(xié)作，在多個服務器實例上訪問端口22（SSH），443（HTTPS），3306（MySQL）和3389（RDP）。挑戰(zhàn)：總部的所有系統(tǒng)都NAT到單個IP地址28不使用SDP使用SDP方法：必須將防火墻配置為允許從28到私有云網絡中的所有服務器上的所有服務器上的所有端口的流量通過。這些服務器必須分配可公開訪問的IP地址。方法：每個用戶建立一個從其設備（發(fā)起主機）到SDP網關互相認證的隧道，然后再通過網關連接到云中的目標資源。云防火墻配置變得更簡單：SDP通過SPA連接，所以它可以在一定程度上減輕DDoS和其他攻擊。13受保護的資源位于SDP網關后面的私用IP地址上，無法從互聯網訪問。云防火墻配置為只接受來自網關IP地址的訪問連接。效果：公司網絡上的所有用戶和系統(tǒng)效果：因為每個用戶到SDP網關的連接都是單獨建立并經過都可以完全訪問私有云網絡，違反了IPNATSDP最小權限原則，增加了攻擊面。云網關可以以細粒度的方式對每個用戶實施對云資源的訪問控絡可以被掃描并且可以被攻擊者利用制。組織可以定義與用戶、設備和角色相關的策略。漏洞進行攻擊。服務器訪問僅通過身份驗證保護，而不受網絡級別的保護。密鑰管理可能成為開發(fā)人員的負擔。合規(guī)性檢查更加困難，因為所有用戶都可以訪問所有系統(tǒng)。需求：David是一名遠程開發(fā)人員，他必須定期從不安全的網絡（如咖啡店）訪問云端系統(tǒng)中的多個服務器。他還需要訪問總部網絡上的開發(fā)資源。這些服務使用多個協(xié)議和端口（22,443,3389）。挑戰(zhàn)：咖啡店網絡NAT到單個IP地址1。不使用SDP使用SDP方法：開放云防火墻使其面向整個互方法：David的設備向SDP控制器進行身份驗證，然聯網訪問是不能接受的，甚至允許來后授予訪問受SDP網關保護的資源的權限。David不自1的所有流量都具有再需要VPN進入辦公網絡，從而提高網絡性能并減太大的安全風險，因此David首先將少網絡帶寬使用成本。VPN連接到辦公網絡，然后像訪問云網絡那樣訪問企業(yè)局域網效果：David需要通過VPN連接到總效果：由于流量是從David的設備加密到網關，因部網絡（他需要訪問本地資源），所此他即使使用公共無線網絡或公共互聯網也沒有太有流量都必須回到公司網絡，從而增大風險。云防火墻的配置不必改變–網關對互聯加延遲和帶寬成本。該解決方案變成網開放（但受SPA保護）-所以David無論身在何了上面表格中的要求，即允許企業(yè)網處都可以高效工作，并且安全基礎架構無論位于何絡上的所有用戶和設備都可以完全訪處都能始終如一地工作。問云網絡。DDoSSDPCSASDPHackathons。需求：FreddyVPN挑戰(zhàn)：FreddyVPN。不使用SDP使用SDP方法：FreddyVPN方法：FreddySDP效果：這種方法會影響到Freddy的工作效率，因為他的一些工具和開發(fā)任務需要從同一個系統(tǒng)訪問這兩個環(huán)境。效果：他可以同時使用自己的VPN連接到辦公室網絡，與訪問云資源沒有沖突或問題，因為SDP連接看起來像是常規(guī)網絡連接，而不是VPN。所以Freddy的工作將更高效。FreddyVPNFreddy總結對于這個用例，SDP為企業(yè)提供了強大的優(yōu)勢：無論位置如何，都可確保開發(fā)者的訪問需求通過服務和端口精確控制每個開發(fā)人員可以訪問的服務更簡單的合規(guī)報告更簡單的安全策略配置提高開發(fā)人員的生產力用例場景：保障業(yè)務人員訪問內部企業(yè)應用系統(tǒng)的安全業(yè)務人員需要安全訪問在IaaS環(huán)境中運行的企業(yè)應用系統(tǒng)，如人力資源管理系統(tǒng)、財務、采購、費用、供應鏈等。這些應用可能是供應商提供的系統(tǒng)，可能是內部IT開發(fā)人員開發(fā)的應用系統(tǒng)，也可能處于生產環(huán)境或者測試/QA環(huán)境。在這些情況下，業(yè)務人員通常不需要考慮網絡或計算機的底層訪問協(xié)議（例如SSH或RDP）。不使用SDP的訪問向業(yè)務人員提供應用系統(tǒng)的安全遠程訪問有三種常見方式：1）直接連接、2）VPN和3）VDI。直接連接：在直接訪問的情況下，應用系統(tǒng)通常是一個Web應用程序，配置到公共互聯網環(huán)境下，不考慮訪問限制。在這些情況下，應用系統(tǒng)會暴露于各種因素（安全威脅）下，容易受到各種形式的攻擊，包括暴力破解，DDoSXSS和任何TLS漏洞（如心臟出血漏洞Heartbleed或貴賓犬漏洞Poodle）。VPN：通過VPN，內網及其所有的資源都將對該業(yè)務人員的設備開放。VDI：通過VDI，業(yè)務人員可以操作虛擬計算機（通常是Windows操作系統(tǒng)），這個虛擬機可以用作企業(yè)應用系統(tǒng)的啟動平臺。業(yè)務應用系統(tǒng)通常是一個需要“厚Windows客戶端”（較多在客戶端及服務器端的運算，較少的通信鏈接）的客戶端/服務器應用程序。使用SDP的訪問通過SDP解決方案，只有授權用戶才能訪問業(yè)務應用系統(tǒng)。實際上，未經授權的用戶甚至無法訪問SDP網關-因為它受到單包授權SPA的保護，所以對攻擊者來說實際上是完全不可見。我們來看看不同的用戶的訪問需求，以及如何管理這種訪問。需求：Grace在公司總部的銷售部門工作。她需要通過由IT團隊開發(fā)的新銷售報告系統(tǒng)訪問重點客戶銷售報告。她經常拜訪不同地方的客戶，需要遠程運行報告，且該應用系統(tǒng)托管在AmazonAWS上。挑戰(zhàn)：Grace在出差期間在機場和咖啡店訪問多個免費網絡。過去，IT安全部門發(fā)現了她的筆記本電腦上的惡意軟件，他們擔心當Grace通過VPN訪問新的重點客戶銷售報告或返回公司總部時，惡意軟件可能會傳播到AWS基礎架構中（“星期一惡意軟件”）。不使用SDP使用SDP方法：惡意軟件不應該能夠在網絡內傳播。因此，ITAWS器。方法：SDPGrace14（例如VPN）。效果：使用傳統(tǒng)網絡工具創(chuàng)建微分段效果：業(yè)務人員現在可以完全訪問托管在公有云網絡上很復雜。隨著應用程序數量的增長，的企業(yè)應用系統(tǒng)。SDP在默認情況下提供有限制的網絡ACL記錄的數量往往呈指數增長15。很訪問，因此不違背最小權限訪問的原則?？?，網絡管理員由于需要支持數千個ACL而負擔過重。每個新建的ACL請網絡管理員能夠阻止通過公網訪問帶入的惡意軟件，不求都需要數天才能分析和處理。生產會因公司日益復雜的網絡問題而負擔過重。力降低，IT失去敏捷性，新應用的部署會變慢。需求：Dave負責IT部門的供應鏈應用系統(tǒng)。新的業(yè)務流程要求其供應商員工Jim在貨物發(fā)運后立即在其供應鏈應用系統(tǒng)中輸入貨件的詳細信息。挑戰(zhàn)：這需要授予第三方供應商的一部分人員對應用系統(tǒng)的訪問權限，這些業(yè)務人員（例如Jim）不是公司的員工，而Dave對其安全策略及安全培訓等方面的控制是有限的。Dave不希望授予他們進入公司內網的廣泛網絡訪問權限（VPN），他擔心如果供應商端的賬號被盜，他的整個公司網絡將會受到傷害。他該如何限制“爆炸半徑”？SDPv2SDPIaaS從技術上講，O（n^2）是為了建立應用程序到應用程序的連接模型。不使用SDP使用SDP方法：Dave為這一個應用服務器創(chuàng)建方法：使用SDP的情況下，他們可以從針對單個服務一個虛擬內網VLAN，這樣就能將其與器進行網絡隔離中獲益（而不是隔離整個網絡）。遠其它網絡隔離。但是，供應鏈應用系程連接不會向供應商暴露任何其他網絡資源。惡意的統(tǒng)非常復雜，并已集成到網絡中的其攻擊者無法進行嗅探或探索網絡中的其他漏洞或者易他幾個系統(tǒng)中。這里存在跨VPC的連攻陷的資源。Dave選擇使用SDP來為供應商人員提供接和防火墻規(guī)則，以及網絡層訪問控安全和保密的遠程接入。制表。因此，維護復雜的網絡配置非常麻煩，因為任何系統(tǒng)中的IP地址更改都可能會導致整個供應鏈應用程序無法運行。效果：Dave不再向第三方供應商提供效果：盡管Dave無法控制第三方供應商業(yè)務人員執(zhí)行應用系統(tǒng)訪問權限，因為從網絡安全安全最佳實踐和培訓，但通過SDP他可以在發(fā)生賬號角度來看其過于復雜且存在風險。失竊時限制影響范圍。授予第三方訪問權限變得更安供應鏈用戶希望他們能更好的規(guī)劃來全，不僅提高了供應鏈的效率而且同時保證業(yè)務增自供應商的供應。這樣做的影響是，長。上下游不再能夠看到即將到來的發(fā)貨數據，業(yè)務面臨錯誤訂單和延遲發(fā)貨的風險。需求：Jim每周都會準備一份業(yè)務分析報告，生成報告的是一個只能在Windows系統(tǒng)上運行的客戶端/服務器(C/S)應用程序。所以IT部門為Jim和他的團隊部署了一個VDI解決方案。Jim每次需要通過VDI登錄遠程桌面，然后啟動報告程序。挑戰(zhàn)：這個（C/S）報告程序是從一個大型供應商處購買的打包的應用程序。建議的部署模式僅是“私有部署”，即供應商建議不要通過公共互聯網訪問應用程序的服務端，因為其并不穩(wěn)定/安全。也就是說，服務器必須與客戶端在同一網絡內。因此，對于遠程用戶，IT安全團隊決定使用VDI，其中客戶端和服務器始終保持在同一網絡中。但是，構建和維護VDI服務器的成本非常高，并且會隨著遠程/出差雇員數量的增加而增加。組織面臨的挑戰(zhàn)是如何安全地開放（C/S）應用程序的服務器部分，以便業(yè)務用戶可以直接在他們自己的Windows筆記本電腦上運行客戶端。不使用SDP使用SDP方法：Jim持續(xù)增加更多基礎設施來支持VDI集群方法：使用SDP，Jim可以安全的向經過認證/授權的選定業(yè)務用戶開放服務器/端口。對于其他人而言，服務器保持“不可見”JimSDPC/S效果：建立一個大型的VDI效果：使用SDP方法減少了維護VDI基礎架構的成本。業(yè)務人員變集群既增加了用于硬件的資得更加高效，因為他們運行應用程序之前省去了日常登錄遠程桌本支出，也增加了用于維護面的步驟。和保養(yǎng)VDI服務器的運營支不久以后，VDI集群就可以淘汰，從而為其他設施騰出IT預算。出。因此，IT部門必須削減其他重要項目的預算，而VDI集群正在耗盡所有的資金?？偨Y在這個使用場景中，SDP為為企業(yè)提供了強大的優(yōu)勢：為遠程業(yè)務用戶提供安全訪問企業(yè)應用的途徑精確控制用戶可以訪問的應用程序。增加第三方業(yè)務集成。更簡單的合規(guī)報告降低VDI相關基礎設施成本更簡單的安全策略配置提高業(yè)務流程的生產效率使用場景：安全的管理面向公眾的服務當一個應用程序在云端提供服務時，系統(tǒng)管理員、開發(fā)人員以及其他高級用戶都需要遠程訪問它的很多后端服務。這些服務可能包括：通過SQL接口來訪問數據庫層（例如SQLNavigatorforOracle,forPostgres等）通過SSH訪問服務器應用程序的管理員界面（例如WordPress博客的管理界面）通過HTTPS訪問數據庫工具（例如PhpMyadminforMySQL）些服務會導致暴力破解、錯誤配置、0day利用等攻擊的幾率上升。不使用SDP時，這些后端服務需要被暴露到公共互聯網，或者在云防火墻上手動維護限制某些源地址訪問，但即使如此也有可能將服務暴露給許多用戶。SDP（HTTPS）才會暴露于互聯網。所有SDPVPN。SDP工作組SDP工作組|軟件定義邊界在IaaS中的應用PAGE38需求：Peter是一個財務應用系統(tǒng)的數據庫管理員。他的公司已經將他們的基礎設施轉移到一個行業(yè)領先的IaaS上。Peter負責調整數據庫SQL查詢以改善應用性能。所以，他通過防火墻開放了數據庫端口并且使用SQL瀏覽工具連接數據庫來完成優(yōu)化計劃。挑戰(zhàn)：現在數據庫端口對外開放，惡意的自動機器人會迅速發(fā)現開放端口，并且嘗試暴力破解管理員密碼。他們有可能在幾天內通過字典破解口令并獲得公司的重要財務數據，也可能發(fā)現默認密碼，或者利用已知的數據庫平臺漏洞（未被修復）進行攻擊。不使用SDP使用SDP方法：Peter為云端網絡設立VPN方法SDP，PeterPeter效果：PeterVPN。他不得VPNVPN。PeterSQLITVPNVPN。效果：Peter不需要切換不同配置，也不需要配置網絡安全策略就可以安全地訪問數據庫。使用場景：當新服務實例創(chuàng)建時更新用戶訪問權限云環(huán)境本質上是動態(tài)的，實際上，大多數企業(yè)利用IaaS的這一特點來提高其開發(fā)速度和敏捷性。特別是在IaaS環(huán)境中，創(chuàng)建和銷毀服務器實例非常簡單，所以企業(yè)可以頻繁地(如果不是連續(xù)的)創(chuàng)建和銷毀服務器實例16。如下圖所示，一個人使用IaaS控制臺（或者調用API接口的系統(tǒng)）創(chuàng)建一個新的服務器實例。所需的網絡更改取決于其位置，云連接類型和需求，并在以下頁面的表中討論。對于這個用例，我們所描述的是由IaaS管理控制臺手動啟動的服務器實例，或者從開發(fā)或部署腳本IaaSAPIIaaS（CPU）。訪問這些示例已在已有用例的覆蓋范圍內，因為它們實際上是純粹用于負載平衡和擴展目的的已運行資源的克隆。對它們的訪問將由與控制池中服務器核心集相同的訪問策略來管理，本文檔中的其他使用場景將對此進行介紹。由于通過將實例分配給云防火墻組來授予網絡訪問權限，因此在實例終止時無需執(zhí)行任何操作即可移IPSDP工作組SDP工作組|軟件定義邊界在IaaS中的應用PAGE39使用SDP接入SDP有元數據（標簽）。SDP工作組SDP工作組|軟件定義邊界在IaaS中的應用PAGE40需求：Grace啟動一個實例并且只需要SSH訪問（端口22）挑戰(zhàn)：Grace位于一個通過NAT地址訪問云的網絡不使用SDP使用SDP方法：IPNAT28或者整個互聯網（）對實例的完全訪問。方法：訪問新的服務器實例必須通過SDP網關，SDP網關可公開訪問并且受SPA的保護。SDPGrace22效果：雖然云防火墻不需要立即進行更改，但對效果：Grace會自動獲得生產所需的最低訪問權限，任何用戶或在公司網絡中的設備來說，訪問此服而無需任何手動重新配置或IT部門參與操作。務器都是不受限的。這代表著重大的安全風險。由于IP地址是NAT的，因此不可能將網絡訪問權限限制為單個用戶或單個端口。因此，安全團隊要求通過單獨的密鑰來控制對這些實例的SSH訪問。管理和跟蹤這些密鑰文件是一件令人頭疼的事情，并且對開發(fā)者來說也存在安全風險。需求：Sally啟動一個實例，并需要從她的所有設備上訪問HTTPS，RDP和MySQL端口。挑戰(zhàn)：Sally通過她直連到云的辦公室網絡來訪問云端——這些資源就好像在本地網絡一樣。不使用SDP使用SDP方法：如果目的是只允許Sally訪問，云方法：SDP系統(tǒng)檢測到這個新的服務器實例，并根據其元防火墻則必須更新以允許Sally當前IP數據（標簽）自動授予Sally適當的端口訪問權限。地址訪問這個特定的服務器實例。如果目標是不產生任何延遲的情況下授予Sally訪問權限，則必須將實例配置為允許所有本地網絡上的設備訪問新服務器實例的所有端口。效果：要求對云防火墻進行持續(xù)更改是大效果：Sally會自動獲得必要的最低訪問權限，無需任何多數企業(yè)不愿意承擔的運營負擔，因為這手動重新配置或IT部門參與操作。會增加時間和成本。大多數企業(yè)授予開放式網絡訪問權限，而僅依靠認證進行控制。SDP工作組SDP工作組|軟件定義邊界在IaaS中的應用PAGE41需求：Ringo作為一個外包的測試人員，需要Web訪問（443端口）才能測試這個新實例。挑戰(zhàn)：RingoNATIPRingo個時區(qū)，他有時必須在家工作實時與團隊協(xié)作。不使用SDP使用SDP方法：RingoIPRingoIP地址（定期更改）訪問。方法：SDPRingo443效果：用戶啟動的這個新服務器實例必須將RingoNATRingo443RingoIPIT24效率。RingoITRingo，所以不會綁定IPRingo總結在這個使用場景中，SDP為企業(yè)提供了強大的優(yōu)勢：自動檢測新服務器實例，并根據實例元數據自動分配用戶訪問權限無論位置如何，都可確保開發(fā)者安全訪問完全的高效生產-不用等待網絡訪問控制更改的延遲由策略驅動的訪問控制，而不是基于云防火墻配置ITSDP工作組SDP工作組|軟件定義邊界在IaaS中的應用PAGE42使用場景：對于服務提供商的硬件管理平臺訪問盡管我們提出了一個無限可擴展且完全虛擬化的平臺概念，但它實際上是運行在某個層面上的網絡和計算硬件上。當然，這些硬件必須由服務提供商管理，無論他們是提供私有云平臺的內部IT部門、服務器托管商或共址提供商、還是商業(yè)IaaS供應商。下面的邏輯圖說明了要管理的網絡訪問路徑：DataPlane數據平臺是用于訪問第三方操作系統(tǒng)實例的標準網絡。我們在整個文檔中的討論都集中在這個網絡上。HardwareManagementPlane硬件管理平臺是內置于許多硬件平臺的網絡，通?；诜Q為IPMI（智能平臺管理接口）的英特爾規(guī)范構建。這可以通常稱為底板管理控制器，或者非正式地稱為“熄燈網絡”。大多數服務器制造商通過具有其自身物理網絡連接的嵌入式硬件卡，比較著名的如Dell服務器的DRAC）和HP的ILOforILO都支持此功能。但是，這些IPMI服務因許多漏洞而眾所周知，包括不修改的默認賬號密碼以及無法抵御簡單攻擊。HypervisorManagementPlane虛擬化管理平臺是管理員通過GUI控制臺或API訪問讀虛擬化進行管理。雖然虛擬機管理程序通常具有比IPMI系統(tǒng)更好的訪問控制，但它們仍應配置為僅通過單獨的網卡，在物理上獨立的網絡或虛擬局域網VLAN上進行訪問，并受SDP保護。下面的討論雖然側重于IPMI，但也適用于虛擬化管理平臺。安全管理員訪問各種端口上的IPMI網絡接口。此訪問必須具有強身份驗證，并且出于安全性和SDP工作組SDP工作組|軟件定義邊界在IaaS中的應用PAGE43合規(guī)性報告目的而被記錄。理想情況下，管理員需要全天候訪問到這個網絡。但是，這種按需訪問通常具有時間敏感性，因為IT可能會響應服務器中斷。同時應該有業(yè)務流程-例如請求和批準-來控制訪問，并且使用閉環(huán)機制確保一旦不再需要訪問就被刪除。IPMI有許多已知的弱點，從可利用的漏洞到有限的管理功能。IPMI需要單獨的網絡，無論是物理上分離還是通過VLAN。不使用SDP 使用SDP方法：強烈建議不要使用默認方法，即依賴IPMI系統(tǒng)中的默認賬號密碼，并將訪問IPMI網絡的權限僅限于授權用戶。較好的方法雖然會產生很大的開銷，但卻是單獨管理每個服務器的訪問賬號。更好的方法是將IPMI身份驗證與企業(yè)的LDAP/RADIUS系統(tǒng)聯通。方法：使用SDP，IPMI服務器可以簡單地放置在受SDP網關保護的網段上。也就是說，除非SDP策略允許，否則任何網絡流量都無法到達任何IPMI接口。SDP系統(tǒng)可以利用各種用戶和系統(tǒng)屬性-例如組成員資格、設備配置文件、位置或時間。效果：這些解決方案都不夠完善-保留IPMI系統(tǒng)的默認賬號密碼是在自討苦吃-惡意攻擊者很容易獲得對網絡的訪問權限，例如通過錯誤的配置。效果：IPMI請求、批準等流程。在每個服務器的基礎上配置用戶訪問賬號可以提供更好的安全性，但在任何規(guī)模的環(huán)境中都是行不通的，因為需要較多的手動工作和賬號跟蹤就來實現這一點。并且，SDP系統(tǒng)可以基于位置實施訪問規(guī)則，例如僅允許從本地公司網絡訪問，以及阻止來自遠程位置的任何訪問。LDAP/RADIUSIPMI會延遲對服務器的管理員訪問。SDP還可以與組織的IAM系統(tǒng)集成，以實施強身份驗證。SDP工作組SDP工作組|軟件定義邊界在IaaS中的應用PAGE44總結：對于此場景，SDP提供以下好處：IPMI細粒度控制哪些用戶可以訪問這些系統(tǒng)，以及何時訪問通過簡單的、以用戶為中心的策略進行控制IAM在保障安全性或合規(guī)性的情況下，實現緊急服務器中斷情況的快速訪問全面詳細的日志，了解誰可以訪問哪些系統(tǒng)（以及何時）以實現合規(guī)性隨著數據中心的增長和動態(tài)而擴展的解決方案/wiki/Intelligent_Platform_Management_Interface來了解更多信息。/community/metasploit/blog/2013/07/02/a-penetration-testers-guide-to-ipmiSDP工作組SDP工作組|軟件定義邊界在IaaS中的應用PAGE45使用場景：通過多企業(yè)賬號控制訪問在此場景中，一個企業(yè)在IaaS上具有多個不同的帳戶。出于安全性或合規(guī)性原因，這可能是故意的，或者由于不同的組獨立設置帳戶而偶然發(fā)生的的。下圖顯示了兩個帳戶的情況，但企業(yè)通常還有更多帳戶，例如，如果他們采用了“一系統(tǒng)一個帳戶”策略，則會有更多帳戶。從企業(yè)到云的連接（如上圖中的墨綠色部分所示）可以通過共享云直連（實際上是專用站點到云的VPN）或通過Internet進行連接。在任何一種情況下，都有相同的挑戰(zhàn)，如上圖所示。要求：針對不同用戶設置不同的訪問權限，并且在該用戶的所有帳號上保持一致。挑戰(zhàn)：雖然有多個單獨的帳戶可能在計費或訪問云控制臺，但它們不共享云防火墻。不使用SDP使用SDP方法：如果企業(yè)試圖嚴格控制用戶對資源的訪方法：通過在每個云防火墻前部署SDP網關，企業(yè)問，上述用例中提到的問題仍然存在，并且實際可以立即簡化并提高其安全性。每個帳戶的云防火上隨著帳戶數量越來