2024基于SDP和DNS融合的零信任安全增強(qiáng)策略模型

44基于SDP和DNS融合的零信任安全增強(qiáng)策略模型PAGEPAGE10目錄序言 3致謝 4引言 7目的 7范圍 7受眾 7域名系統(tǒng)（DNS） 8動態(tài)主機(jī)配置協(xié)議（DHCP） 9互聯(lián)網(wǎng)協(xié)議地址管理（IPAM） 10實(shí)現(xiàn)云端管理 10基于DNS的安全 11惡意軟件控制點(diǎn) 11阻止數(shù)據(jù)泄露 12域名生成算法(DGAs)控制點(diǎn) 13基于類別的過濾 15零信任策略執(zhí)行 15SDP和零信任策略執(zhí)行 16DNS和零信任策略執(zhí)行 17SDP/零信任和DNS用例 18用例#1:DNS向SDP提供上下文和元數(shù)據(jù) 18?例1中的策略執(zhí)行 21響應(yīng)惡意行為 22基于位置的訪問控制 23基于設(shè)備的訪問控制 23基于用戶的訪問控制 24用例#2-SDP控制器將策略結(jié)果發(fā)布到DNS 24在DNS中的策略執(zhí)行-一個(gè)額外的安全層 253.結(jié)論 26參考文獻(xiàn) 27縮略詞 29引言在網(wǎng)絡(luò)復(fù)雜度飆升和安全威脅加劇的背景下，組織機(jī)構(gòu)需要能夠簡化、優(yōu)化并保護(hù)網(wǎng)絡(luò)通訊的解決方案。域名系統(tǒng)（DNS）將人類可讀的域名（例如，）映射到互聯(lián)網(wǎng)協(xié)議（IP）地址，對于可靠的互聯(lián)網(wǎng)運(yùn)營和連接至關(guān)重要。無論網(wǎng)絡(luò)連接是從用戶的瀏覽器、在線設(shè)備還是業(yè)務(wù)服務(wù)器發(fā)起，幾乎每個(gè)都是以DNS查詢開始。不幸的是，DNS的無處不在以及該協(xié)議的開放性、無連接性和未加密性，使得DNS成為惡意軟件滲透到網(wǎng)絡(luò)中并竊取數(shù)據(jù)（通常不易被發(fā)現(xiàn)）的常用目標(biāo)。但是，組織機(jī)構(gòu)可以集成軟件定義邊界（SDP）架構(gòu)與DNS，獲得安全能力的提升。DNS可作為一個(gè)零信任網(wǎng)絡(luò)策略執(zhí)行點(diǎn)，與SDP策略執(zhí)行點(diǎn)協(xié)同工作，通過挖掘出有價(jià)值的DNS數(shù)據(jù)，加快SDP的威脅響應(yīng)速度。網(wǎng)絡(luò)連接規(guī)模化所需的另外兩個(gè)核心服務(wù)是動態(tài)主機(jī)配置協(xié)議（DHCP）。這三個(gè)核心網(wǎng)絡(luò)服務(wù)統(tǒng)稱為DDI（DNS、DHCP、。集成這三個(gè)組件有助于為當(dāng)今高度分布式的現(xiàn)代化網(wǎng)絡(luò)提供控制力、自動化和安全性。DDI組合具有獨(dú)特的優(yōu)勢，可以記錄網(wǎng)絡(luò)上的人員、人員的去向以及（更重要的是）去過的地方。當(dāng)DDI系統(tǒng)與威脅情報(bào)源結(jié)合使用時(shí)，將具備足夠信息，在控制平面和DNS層配置并實(shí)施策略。在DNS層配置和實(shí)施策略的好處是，它不是計(jì)算密集型的，并且可以擴(kuò)展到數(shù)百萬級別。但是，我們必須注意到DNS層的策略是粗粒度的（例如域名）。因此，需要其他機(jī)制提供細(xì)粒度的策略框架和實(shí)施方案，以利用好DDI數(shù)據(jù)庫。DDI服務(wù)可以為企業(yè)提供可見性和控制力，并且，當(dāng)它與軟件定義邊界SDP結(jié)合使用時(shí)，可以在很大程度上提高安全性并幫助組織機(jī)構(gòu)在零信任安全之旅中更上一層樓。目的本研究文檔的目的是解釋DNS和企業(yè)管理的DDI系統(tǒng)可以如何與軟件定義邊界SDP結(jié)合，以提供改進(jìn)的安全可見性、恢復(fù)能力和響應(yīng)能力。范圍本白皮書探討了企業(yè)管理的DDI與SDP集成以提高安全性、上下文感知能力和響應(yīng)能力的兩個(gè)用例。這種類型的集成（將傳統(tǒng)意義上不同的系統(tǒng)結(jié)合在一起以得到更全面的實(shí)施方案）是零信任安全方案的標(biāo)志。本文并不涉及DNS基礎(chǔ)設(shè)施安全性本身。受眾本文檔的目標(biāo)讀者包括：部署零信任/SDP產(chǎn)品的企業(yè)架構(gòu)師和安全領(lǐng)導(dǎo)者，他們希望采取整體方案。負(fù)責(zé)企業(yè)DNS、DHCP和系統(tǒng)的安全和IT從業(yè)人員，他們尋求提高系統(tǒng)安全有效性的方法。在產(chǎn)品或解決方案中實(shí)施零信任/SDP架構(gòu)的供應(yīng)商或技術(shù)提供商。域名系統(tǒng)（DNS）DNS是一種分層命名系統(tǒng)，它構(gòu)建在一個(gè)為計(jì)算機(jī)、服務(wù)或任何連接到互聯(lián)網(wǎng)或?qū)Ｓ镁W(wǎng)絡(luò)的資源而設(shè)的分布式數(shù)據(jù)庫上。DNS將域名轉(zhuǎn)換為與網(wǎng)絡(luò)設(shè)備關(guān)聯(lián)的數(shù)字標(biāo)識符，定位和尋址全球設(shè)備。類似于系統(tǒng)“電話簿”，DNS使瀏覽器將“”轉(zhuǎn)換為CSA服務(wù)器的實(shí)際IP地址。公共DNS面向所有互聯(lián)網(wǎng)用戶，以遞歸名稱服務(wù)器方式運(yùn)行。公共DNS服務(wù)的示例包括CiscoOpenDNS，GooglePublicDNS，Cloudflare以及由大多數(shù)互聯(lián)網(wǎng)服務(wù)提供商（ISP）運(yùn)營的公共DNS服務(wù)器。但是，公共DNS服務(wù)器或包含在許多互聯(lián)網(wǎng)服務(wù)包中的DNS通常并不適合企業(yè)。通常，組織機(jī)構(gòu)使用商業(yè)或開源DNS服務(wù)器作為私有DNS服務(wù)器，增強(qiáng)控制力、安全性、可靠性和內(nèi)部使用速率。這些參考文獻(xiàn)中描述了幾種不同的DNS服務(wù)器類型。12它們必須協(xié)同工作才能將域名解析為IP地址。如果DNS服務(wù)器不具備這些屬性，就可能會查詢其他DNS服務(wù)器（一種稱為“遞歸”的操作）。遞歸過程如“圖1：企業(yè)中的遞歸DNS解析”所示。1Johnson,D.(2021,February16).WhatisaDNSserver?HowDomainNameSystemserversconnectyoutotheinternet.BusinessInsider.RetrievedMarch9,2022,fromhttps:///what-is-a-dns-server?r=US&IR=T2OmniS.(n.d.).RecursiveandIterativeDNSQueries.RetrievedMarch9,2022,fromhttps:///tcpip/recursive-and-iterative-dns-queries.php圖1:企業(yè)中的遞歸DNS解析#動作描述1客戶端到本地DNS客戶端（訪問發(fā)起主機(jī)）將DNS查詢發(fā)送到本地DNS服務(wù)器以獲取它所查找的應(yīng)用程序的IP地址。本地DNS服務(wù)器如果具有該信息（即本地企業(yè)應(yīng)用程序的IP地址），則會響應(yīng)。2本地DNS服務(wù)器到互聯(lián)網(wǎng)如果本地DNS服務(wù)器沒有該信息，它會將查詢請求轉(zhuǎn)發(fā)給其他DNS服務(wù)器。3互聯(lián)網(wǎng)到外部DNS服務(wù)器所有域都根據(jù)域名層次結(jié)構(gòu)注冊。DNS服務(wù)器可能通過其他遞歸層解析查詢。4外部DNS服務(wù)器到互聯(lián)網(wǎng)DNS響應(yīng)通過互聯(lián)網(wǎng)返回。5互聯(lián)網(wǎng)到本地DNS服務(wù)本地DNS服務(wù)器緩存該響應(yīng)以供將來使用。6本地DNS服務(wù)器到客戶端本地DNS服務(wù)器將該響應(yīng)轉(zhuǎn)發(fā)給客戶端。動態(tài)主機(jī)配置協(xié)議（DHCP）DHCP是一種自動配置協(xié)議服務(wù)，可在連接時(shí)將IP地址分配給網(wǎng)絡(luò)設(shè)備，這對于將設(shè)備連接到網(wǎng)絡(luò)至關(guān)重要。每個(gè)設(shè)備都必須有一個(gè)IP地址才能通信。DHCP允許自動配置設(shè)備，無需網(wǎng)絡(luò)管理員干預(yù)，并提供一個(gè)中央數(shù)據(jù)庫跟蹤連接到網(wǎng)絡(luò)的設(shè)備。此外，DHCP可防止兩個(gè)設(shè)備被意外地配置了相同的IP地址。DHCP和DNS在開放系統(tǒng)互連（OSI）模型的“第7層或應(yīng)用層”上運(yùn)行?；ヂ?lián)網(wǎng)協(xié)議地址管理（IPAM）互聯(lián)網(wǎng)協(xié)議地址管理是企業(yè)在私有網(wǎng)絡(luò)上管理DNS和DHCP的系統(tǒng)。系統(tǒng)可以對網(wǎng)絡(luò)中如何分配和解析IP地址提供計(jì)劃、跟蹤和管理。通常，DNS和DHCP等技術(shù)被用于協(xié)同執(zhí)行這些任務(wù)。然而，一個(gè)使用架構(gòu)的、設(shè)計(jì)良好的DDI會集成DNS和DHCP服務(wù)數(shù)據(jù)，以便每個(gè)服務(wù)都能發(fā)現(xiàn)其他服務(wù)的變化。例如，DNS通過DHCP知道分配給客戶端的IP地址，然后對自身進(jìn)行相應(yīng)的更新。另外，知道分配給客戶端的IP地址也使得私有DNS可以通過主機(jī)名解析客戶端，即便通過DHCP動態(tài)分配IP地址時(shí)也是如此。網(wǎng)絡(luò)發(fā)現(xiàn)網(wǎng)絡(luò)發(fā)現(xiàn)DNS,DHCP,IPAMDHCPDHCP企業(yè)網(wǎng)絡(luò)DHCPDHCP其他設(shè)備發(fā)現(xiàn)IP地址庫設(shè)備指紋設(shè)備1 設(shè)備PCWindows v10DHCP指紋IP地址設(shè)備圖2:DDI中可用的上下文信息實(shí)現(xiàn)云端管理DNS傳統(tǒng)上是在本地部署和管理的。然而，就像許多企業(yè)IT和安全基礎(chǔ)設(shè)施元素一樣，由企業(yè)運(yùn)營的DDI的部署模式已經(jīng)轉(zhuǎn)向云端管理。在云端管理的DDI中，管理和控制平面轉(zhuǎn)移到云端，輕量級協(xié)議引擎部署在本地。輕量級協(xié)議引擎可以是容器化的也可以是虛擬機(jī)形式的。本地部署提供了本地存活性。即使互聯(lián)網(wǎng)被切斷，在遠(yuǎn)程站點(diǎn)擁有上百個(gè)傳感器的鉆井機(jī)仍可以繼續(xù)運(yùn)行，制造中心也可以繼續(xù)生產(chǎn)。而將控制和管理能力轉(zhuǎn)移到云端，也可以帶來一些與軟件即服務(wù)（SaaS）相關(guān)的好處。包括：生命周期管理是自動化的。消費(fèi)模式更像SaaS。無需過度準(zhǔn)備。組織機(jī)構(gòu)可以根據(jù)業(yè)務(wù)需求增加或減少其使用量。不像本地部署管理，云端管理可以擴(kuò)展到成百上千個(gè)遠(yuǎn)程站點(diǎn)，例如加油站和零售商店。以硬件為中心 容器化本地部署管理傳統(tǒng)本地部署管理傳統(tǒng)DNS服務(wù)器云端管理管理云云端管理的DNS服務(wù)器圖3:云端管理私有DNS基于DNS的安全基于域名系統(tǒng)的安全性對于早期檢測和阻斷網(wǎng)絡(luò)內(nèi)的惡意軟件活動至關(guān)重要。惡意軟件通常需要利用DNS解析命令和控制（C&C）服務(wù)器的IP地址。域名解析系統(tǒng)也被惡意軟件用作隱蔽通信通道，以避免被企業(yè)安全機(jī)制檢測到。惡意軟件控制點(diǎn)當(dāng)需要命名空間解析時(shí)，DNS是傳播惡意軟件的失陷設(shè)備的第一個(gè)通信點(diǎn)。這意味著DNS擁有一個(gè)觀測惡意軟件活動的“前排座位”，并可以檢測和響應(yīng)惡意軟件攻擊。通過在DNS服務(wù)器上使用高質(zhì)量的聚合威脅情報(bào)，組織機(jī)構(gòu)可以破壞C&C通道，并防止惡意軟件活動的執(zhí)行，包括勒索軟件活動。這可以通過使用響應(yīng)策略區(qū)域（RPZ）實(shí)現(xiàn)。該區(qū)域可以有效阻止到已知惡意的或已知C&C服務(wù)器的外部域名（例如webdisk.yakimix[.]com）的DNS解析。威脅情報(bào)包括失陷的主機(jī)名、域名和URL。這些信息可以用來阻止通向這些目的地址的DNS解析。安全DNS在攻擊開始之前破壞攻擊鏈報(bào)針對DNS的精選威脅情如果已經(jīng)被感染，C&C連接請求在DNS上被阻斷報(bào)針對DNS的精選威脅情如果已經(jīng)被感染，C&C連接請求在DNS上被阻斷到惡意網(wǎng)站的連接在DNS上被阻止圖4:在DNS上使用威脅情報(bào)來阻止惡意軟件活動阻止數(shù)據(jù)泄露DNS還可以充當(dāng)將數(shù)據(jù)從企業(yè)中泄露出去的反向通道。惡意攻擊者可以使用標(biāo)準(zhǔn)的隧道工具包或自定義方法繞過傳統(tǒng)的安全技術(shù)（如防火墻、入侵檢測系統(tǒng)【IDS】等）。例如，近年針對醫(yī)療機(jī)構(gòu)的Ryuk勒索軟件活動就使用了DNS隧道3。在這種情況下，聰明的黑客意識到，他們可以通過將命令和數(shù)據(jù)隱藏到格式有效的DNS請求中，進(jìn)而與目標(biāo)計(jì)算機(jī)秘密通信。這個(gè)想法利用了DNS隧道的核心。不幸的是，各種隧道的變體很難檢測到，因?yàn)樗鼈兪褂昧艘郧拔粗姆椒?，目的地址可能還沒有添加到不可信名單中（這意味著它們不被認(rèn)為是惡意的，并且不會出現(xiàn)在任何威脅源中）。緩解0Day數(shù)據(jù)泄露/隧道的最佳方法是對DNS查詢使用基于人工智能/機(jī)器學(xué)習(xí)（AI/ML）的分析。機(jī)器學(xué)習(xí)模型有助于檢測和允許合法的隧道（一些防病毒軟件使用DNS隧道更新端點(diǎn)），同時(shí)阻Cybersecurity&InfrastructureSecurityAgency.(2020,November2).RansomwareActivityTargetingtheHealthcareandPublicHealthSector|CISA.https:///uscert/ncas/alerts/aa20-302aGreen,A.(2020,October19).WhatisDNSTunneling?ADetectionGuide.Varonis.https:///blog/dnstunnelingPaloAltoNetworks.(n.d.).WhatIsDNSTunneling?RetrievedMarch9,2022,fromhttps:///cyberpedia/what-is-dns-tunnelingRoblyer,K.(2021,August2).3ThingsNISTTaughtUsAboutDNSSecurity.BlueCatNetworks.https://bluecatnetworks.com/blog/3-things-nist-taught-us-dns-security/止用于泄露數(shù)據(jù)的惡意隧道?；贏I/ML的分析還有助于檢測高級威脅，如域名生成算法（DGAs）、FastFllux以及仿冒域名。DNS偽裝的DNS解析器DNS偽裝的DNS解析器互聯(lián)網(wǎng)失設(shè)備 核安全棧DNS與威脅情報(bào)和分析通過機(jī)器學(xué)習(xí)分析檢查數(shù)據(jù)泄露的DNS請求DNS與威脅情報(bào)和分析通過機(jī)器學(xué)習(xí)分析檢查數(shù)據(jù)泄露的DNS請求通過阻斷DNS請求來保護(hù)數(shù)據(jù)安全5檢測和阻斷DNS數(shù)據(jù)泄露域名生成算法(DGA控制點(diǎn)域名生成算法(DGA)用于生成域名，使得黑客能夠繞過靜態(tài)的、基于域名的URL阻斷系統(tǒng)（如防火墻黑名單）的檢測和阻斷。通常情況下，黑客會編寫惡意軟件入侵網(wǎng)絡(luò)，并利用DGAs連接到由其控制的服務(wù)器。但惡意軟件并沒有使用靜態(tài)域名，而是嘗試連接到由算法生成的動態(tài)域名。首先，黑客將注冊由相同算法生成的一些域名，并在該域名上運(yùn)行“惡意”服務(wù)器（即命令和控制服務(wù)器，或稱C&C服務(wù)器）。最后，惡意軟件將連接C&C服務(wù)器。威脅情報(bào)/信譽(yù)列表對該攻擊方式無效圖6:DGAs如何工作機(jī)器學(xué)習(xí)識別基于算法的域名查詢DNSDNSTW9uZGF5LCA9uZGF5LCA.comV2VkbmVzZ.comTW9uZGF5LCA互聯(lián)網(wǎng)失設(shè)備 核安全棧DNS請求圖7:檢測和阻斷DGAFastflux是一種DNS技術(shù)，用于通過在包含失陷主機(jī)(作為代理)的網(wǎng)絡(luò)中快速跳轉(zhuǎn)來隱藏僵尸網(wǎng)絡(luò)。這些代理擁有大量與合法域名關(guān)聯(lián)的IP地址，使攻擊者能夠延緩或逃避檢測。仿冒域名是為收集敏感信息而創(chuàng)建的偽造(釣魚)網(wǎng)站。例如，誘騙用戶“登錄”偽裝成合法銀行網(wǎng)站的虛假網(wǎng)頁等。使用AI/ML模型分析DGA之類的威脅涉及觀測大量此類威脅以預(yù)測使用諸如熵(不確定性級別)、語言分析、頻率和大小等技術(shù)的未知版本7。除檢測和阻斷基于DGA的攻擊之外，DNS可以作為一個(gè)強(qiáng)大的網(wǎng)絡(luò)策略執(zhí)行點(diǎn)，用于阻止訪問特定的內(nèi)容類別，如社交媒體、暴力、賭博等。例如，一家公司可能想阻止大多數(shù)員工訪問社交媒體，但又要允許有需要的營銷人員訪問，因?yàn)樵L問社交媒體是他們工作的一部分。許多企業(yè)已經(jīng)為網(wǎng)絡(luò)設(shè)備部署了DNS過濾服務(wù)，以便對用戶強(qiáng)制實(shí)施這些策略。零信任策略執(zhí)行美國國家標(biāo)準(zhǔn)與技術(shù)研究所NIST（NationalInstituteofStandardsandTechnology）的特別出版物800-207首先通過描述滿足零信任（Zero需求所需的核心組件（參見下圖8）揭示零信任?？偟膩碚f，零信任架構(gòu)首先需要有三個(gè)核心組件，然后才能應(yīng)用邏輯決策。這三個(gè)核心組件包括：通信：實(shí)體訪問資源的請求以及由此產(chǎn)生的訪問或會話。身份：請求訪問資源的實(shí)體身份（用戶或設(shè)備），需要一定程度的身份驗(yàn)證。資源：目標(biāo)環(huán)境中的任何資產(chǎn)。除了這三個(gè)核心組件外，零信任還有另外兩個(gè)基本要素：策略：定義“誰、如何、什么和何時(shí)”目標(biāo)資源可被訪問的治理規(guī)則。數(shù)據(jù)源：用于動態(tài)更新策略的上下文信息。圖8:NIST800-207零信任組件8這些策略是用于確定“誰”可以訪問“什么”、“何時(shí)”、“多長時(shí)間”和“出于什么目的”的“規(guī)則”。NIST零信任工作流程通過兩種機(jī)制定義、管理和執(zhí)行策略：Yu,B.,Pan,J.,Gray,D.,Hu,J.,Choudhary,C.,Nascimento,A.C.A.,anddeCock,M.(2019,April15)WeaklySupervisedDeepLearningfortheDetectionofDomainGenerationAlgorithms.IEEEAccess.Vol.7,pp.51542-51556.https://ieeexplore./stamp/stamp.jsp?tp=&arnumber=8691763Rose,S.(2020,August11).SP800–207,ZeroTrustArchitecture|CSRC.NationalInstituteofStandardsandTechnology./publications/detail/sp/800-207/final策略決策點(diǎn)（PDP）策略執(zhí)行點(diǎn)（PEP）它們放置在流量的訪問工作流中共同調(diào)節(jié)對資源的訪問。策略決策點(diǎn)（PDP）確定適用于每個(gè)被驗(yàn)證身份的“規(guī)則”，并傳達(dá)給策略執(zhí)行點(diǎn)（PEP）。策略執(zhí)行點(diǎn)（PEP）充當(dāng)邏輯網(wǎng)關(guān)，確保已向正確的實(shí)體授予正確的訪問權(quán)限，以及對已批準(zhǔn)資源的正確訪問級別。SDP和零信任策略執(zhí)行SDP架構(gòu)旨在提供按需的、動態(tài)調(diào)配的、并且邏輯隔離的網(wǎng)絡(luò)。隔離網(wǎng)絡(luò)指的是與所有不安全網(wǎng)絡(luò)隔離的受信任網(wǎng)絡(luò)，減輕來自于網(wǎng)絡(luò)的攻擊。實(shí)施零信任需要在授予訪問權(quán)限之前驗(yàn)證嘗試連接到資產(chǎn)的任何元素，并在整個(gè)連接期間持續(xù)評估會話?！盎谲浖x邊界（SDP）的零信任實(shí)現(xiàn)方案使組織機(jī)構(gòu)能夠防御現(xiàn)有的、以邊界為中心的網(wǎng)絡(luò)和基礎(chǔ)設(shè)施中不斷出現(xiàn)的舊攻擊方法的新變體。實(shí)施SDP可以改善企業(yè)的安全狀況，由于攻擊面日益復(fù)雜并且不斷擴(kuò)大，企業(yè)需要不斷適應(yīng)這種挑戰(zhàn)。11”。企業(yè)必須監(jiān)控資產(chǎn)的完整性和安全狀況（NISTSP800-2072020第7頁）。SDP通過啟用默認(rèn)的“拒絕所有”防火墻策略，只有用戶/設(shè)備經(jīng)過身份驗(yàn)證和授權(quán)后，才可以訪問由SDP系統(tǒng)保護(hù)的資產(chǎn)。此外，SDP通過預(yù)審查連接，審查誰可以連接、從哪些設(shè)備連接、到哪些服務(wù)和基礎(chǔ)設(shè)施以及其他參數(shù)，控制所有通向受信任區(qū)域的連接12。在最簡單的SDP形態(tài)中，包括發(fā)起主機(jī)、接受主機(jī)和SDP控制器。發(fā)起和接受主機(jī)通過控制平面上的安全通道與SDP控制器交互，管理它們之間的連接操作。SDP控制器是一種策略定義、驗(yàn)證和決策機(jī)制（零信任策略決策點(diǎn)），維護(hù)著有關(guān)哪些用戶/組可以使用哪些發(fā)起主機(jī)（即用戶設(shè)備）通過哪些接受主機(jī)（本地或云中）訪問哪個(gè)組織資源的信息。數(shù)據(jù)通過數(shù)據(jù)平面中單獨(dú)的安全通道通信，接受主機(jī)（通常部署為SDP網(wǎng)關(guān)）隔離在受信任區(qū)域中。SDP網(wǎng)關(guān)（零信任策略執(zhí)行點(diǎn)）充當(dāng)受保護(hù)服務(wù)的前置系統(tǒng)，并執(zhí)行由SDP控制器維護(hù)的身份驗(yàn)證和授權(quán)規(guī)則。因此，在SDP中，控制平面與數(shù)據(jù)平面分離，建立靈活和高度可擴(kuò)展的系統(tǒng)架構(gòu)。ForanintroductiontotheSDPArchitecture:/artifacts/sdp-architecture-guide-v2/ForanintroductiontotheSDPArchitecture:/artifacts/sdp-specification-v1-0/NIST.(2020,October).ImplementingaZeroTrustArchitecture.NationalInstituteofStandardsandTechnology.https:///sites/default/files/library/project-descriptions/zta-project-description-final.pdfNIST.(2020,October).ImplementingaZeroTrustArchitecture.NationalInstituteofStandardsandTechnology.https:///sites/default/files/library/project-descriptions/zta-project-description-final.pdf32SDP32圖9:SDP架構(gòu)13在SDP中，網(wǎng)關(guān)是零信任策略執(zhí)行點(diǎn)，確保用于決定“誰”可以訪問“什么內(nèi)容”、“什么時(shí)間”、“多長時(shí)間”和“出于什么目的”的“規(guī)則”得到執(zhí)行。DNS和零信任策略執(zhí)行零信任原則鼓勵(lì)企業(yè)將安全生態(tài)系統(tǒng)的元素整合在一起，提供更多的上下文，并更好地通過零信任策略執(zhí)行點(diǎn)（PEP）實(shí)施訪問控制。如上所述，SDP是一個(gè)經(jīng)過充分驗(yàn)證的用于實(shí)現(xiàn)零信任原則的架構(gòu)，并提供以身份為中心和基于上下文感知的策略執(zhí)行。因此，將DNS與企業(yè)管理的DDI和SDP整合在一起是零信任之旅中自然而有價(jià)值的一步，將幫助企業(yè)從這些基礎(chǔ)設(shè)施元素中獲得更多價(jià)值，并提高環(huán)境的安全性和響應(yīng)能力。下面將探討兩個(gè)用例，說明這些要素是如何連接起來并執(zhí)行零信任策略的。策略執(zhí)行是將控制機(jī)制應(yīng)用于網(wǎng)絡(luò)訪問。規(guī)則或策略可能基于許多準(zhǔn)則。DNS和企業(yè)管理的DDI提供了基本信息，可以為是否允許用戶訪問網(wǎng)絡(luò)提供決策支持，并且可以成為策略執(zhí)行的關(guān)鍵組件。當(dāng)新設(shè)備加入網(wǎng)絡(luò)時(shí)，DNS和企業(yè)管理的DDI解決方案提供的監(jiān)測模塊可以向策略執(zhí)行工具發(fā)CloudSecurityAlliance.(2019,May7).SDPArchitectureGuidev2.CloudSecurityAlliance.https://cloudsecurityalliance.org/artifacts/sdp-architecture-guide-v2/1818送警報(bào)。為了添加到網(wǎng)絡(luò)，新設(shè)備會發(fā)出DHCP請求。已存儲的數(shù)據(jù)使DDI能夠識別設(shè)備，并通過“指紋”跟蹤其活動。DDI支持將基于MAC（媒體訪問控制）地址和操作系統(tǒng)的IP地址分配映射為基本DHCP過程的一部分。如果公司的設(shè)備啟用策略中定義了對任何未執(zhí)行漏洞掃描的新設(shè)備的訪問限制，NAC（網(wǎng)絡(luò)訪問控制）解決方案可以通過使用DDI解決方案中的警報(bào)阻止對該設(shè)備的訪問。這個(gè)過程可以動態(tài)、實(shí)時(shí)地進(jìn)行。策略執(zhí)行還與安全目標(biāo)直接相關(guān)。例如，絕大多數(shù)基礎(chǔ)的DNS監(jiān)控具備快速發(fā)現(xiàn)通過DNS泄露數(shù)據(jù)等惡意活動的能力。安全生態(tài)系統(tǒng)工具（如漏洞掃描器）和網(wǎng)絡(luò)訪問控制（NAC）解決方案（如SDP）也同樣可以在基于網(wǎng)絡(luò)或安全事件的應(yīng)用策略中使用DDI數(shù)據(jù)。例如，當(dāng)檢測到已知或潛在惡意域名的DNS請求時(shí)，可以觸發(fā)設(shè)備掃描以檢查設(shè)備是否存在漏洞和惡意軟件?；蛘?，可以隔離有問題的設(shè)備，并且只有在其漏洞得到修復(fù)后才允許重新連接。類似地，當(dāng)實(shí)施零信任SDP時(shí)，策略執(zhí)行點(diǎn)（PEP）可以阻止來自失陷設(shè)備的連接。SDP/零信任和DNS用例在實(shí)施零信任的軟件定義邊界環(huán)境中，上下文信息對訪問策略的決策非常關(guān)鍵。因此，基于身份、資源和通信進(jìn)行風(fēng)險(xiǎn)評估至關(guān)重要。以下兩個(gè)用例說明了DDI和SDP系統(tǒng)可以整合在一起。用例#1DNS向SDP提供上下文和元數(shù)據(jù)本用例側(cè)重于使用DNS和企業(yè)管理的DDI中的元素提供有關(guān)設(shè)備和網(wǎng)絡(luò)行為的上下文信息，并將此上下文信息作為零信任SDP系統(tǒng)的輸入，增強(qiáng)訪問控制策略的決策能力。在此用例中，企業(yè)使用SDP控制用戶對企業(yè)受控資源的訪問。圖10描述了一個(gè)常見的零信任SDP部署模型。14關(guān)鍵在于零信任SDP使用邏輯上集中的控制器作為策略決策點(diǎn)，并通過控制平面將訪問控制策略傳遞到SDP網(wǎng)關(guān)（策略執(zhí)行點(diǎn)）。該企業(yè)還采用了私有DDI基礎(chǔ)設(shè)施。在此用例中，DNS服務(wù)器充當(dāng)“天線”，向SDP控制器提供有關(guān)設(shè)備和網(wǎng)絡(luò)活動的額外信息，從而增強(qiáng)系統(tǒng)的訪問控制決策的能力。圖10所示的模型描述了分布式SDP中的DNS、DHCP和IPAM（DDI）。SDP控制器可以利用DDI數(shù)據(jù)和其他信息，根據(jù)相應(yīng)的策略，向受SDP網(wǎng)關(guān)保護(hù)的位于不同信任區(qū)域中的應(yīng)用（云應(yīng)用或者數(shù)14Specifically,thisfiguredepictstheClient-to-Gatewaymodelforclarity.TheusecasesinthisdocumentareequallyapplicableacrossallSDPdeploymentmodels.PAGEPAGE19據(jù)中心中應(yīng)用）授予訪問權(quán)限。這個(gè)圖說明了DNS和SDP如何協(xié)同工作以提供安全和無縫的用戶體SDP控制器一旦確定用戶設(shè)備（發(fā)起主機(jī)，IH）是可信的，就將建立從用戶設(shè)備到SDP網(wǎng)關(guān)的安全隧道，這些隧道能夠安全地傳輸應(yīng)用流量和DNS請求。這使得用戶可以訪問私有或遠(yuǎn)程DNS服務(wù)器，而不用將其暴露在互聯(lián)網(wǎng)上。當(dāng)域名解析后，用戶流量的傳遞會從用戶設(shè)備開始，通過網(wǎng)關(guān)到達(dá)目標(biāo)業(yè)務(wù)應(yīng)用。除了DNS解析之外，DNS服務(wù)器還可以提供設(shè)備的上下文信息以增強(qiáng)SDP工作流。圖10：DNS和SDP協(xié)同工作圖10中展示的步驟描述了該?例的典型事件序列。序號 步驟 描述1SDP控制器啟動?個(gè)或多個(gè)SDP控制器加載上線并連接到適當(dāng)?shù)?份驗(yàn)證和授權(quán)服務(wù)（可選項(xiàng)。例如，PKI、IAM、?份驗(yàn)證、設(shè)備管理、地理定位和其他服務(wù)）。2接受主機(jī)啟動?個(gè)或多個(gè)AH加載上線（SDP?關(guān)是所述部署模型中的AH）。這些?關(guān)連接到控制器,并進(jìn)行?份驗(yàn)證。但是，它們不回應(yīng)來?任何其他主機(jī)的通信請求，并且不會響應(yīng)任何未配置的請求。3發(fā)起主機(jī)啟動IH上的?個(gè)或多個(gè)客?端上線后，SDP控制器對每個(gè)??（或?個(gè)?實(shí)體NPE）進(jìn)行?份驗(yàn)證。此步驟可能包括SDP控制器的DNS解析。4發(fā)起主機(jī)IH到SDP控制器當(dāng)接入的IH重新上線時(shí)（例如，設(shè)備重啟后或??啟動連接時(shí)），會連接到SDP控制器并進(jìn)行?份驗(yàn)證。5SDP控制器到發(fā)起主機(jī)IH在對IH進(jìn)行?份驗(yàn)證后（在某些場景下，由對應(yīng)的?份提供者IdP完成），SDP控制器會向IH提供?個(gè)已授權(quán)通信的?關(guān)列表，用于后續(xù)通信。6SDP控制器到DNSSDP控制器從DNS服務(wù)器檢索該設(shè)備上下?信息。例如，如果設(shè)備被認(rèn)為是惡意的，則不允許IH請求。7SDP控制器到SDP網(wǎng)關(guān)SDP控制器指??關(guān)接受來?IH的通信，以及提供用于建立雙向加密通信的用戶、設(shè)備和服務(wù)等相關(guān)信息。8發(fā)起主機(jī)IH到SDP網(wǎng)關(guān)IH使?單包認(rèn)證(SPA)協(xié)議啟動與每個(gè)授權(quán)的SDP?關(guān)的連接，該?關(guān)驗(yàn)證中的信息（?于執(zhí)行）IH建立到這些SDP?關(guān)的雙向TLS連接。此步驟可能包括SDP?關(guān)的DNS解析。9DNS遞歸解析IH發(fā)出的DNS解析請求（解析目標(biāo)為處于SDP?關(guān)后的遠(yuǎn)程主機(jī)）都通過SDP隧道路由到遠(yuǎn)程私有DNS服務(wù)器。?1中的策略執(zhí)行在零信任環(huán)境中，訪問策略通常包括用戶、設(shè)備和要訪問的服務(wù)。?絡(luò)上下?和身份信息隨著越來越多的設(shè)備加??絡(luò)，DNS和企業(yè)管理的DDI可以共享所有設(shè)備的綜合視圖，實(shí)現(xiàn)?效的資產(chǎn)管理、降低?險(xiǎn)和支撐合規(guī)政策。此外，DDI系統(tǒng)管理的IP記錄還包含了能進(jìn)?步描述資產(chǎn)，并帶來額外潛在效?的元數(shù)據(jù)。圖11:網(wǎng)絡(luò)上下文和身份信息DNS、DHCP和IPAM數(shù)據(jù)可以為SDP控制器提供額外的上下?信息，例如來自特定用戶或客戶端設(shè)備的DNS請求。DDI中可?的詳細(xì)上下?信息提供了相關(guān)?絡(luò)活動的完整指紋，包括：DHCP發(fā)現(xiàn)MAC地址操作系統(tǒng)(OS)系列類型操作系統(tǒng)版本當(dāng)前IP地址歷史IP地址和位置IPAM元數(shù)據(jù)用戶詳細(xì)信息（通過與IAM集成）子網(wǎng)/網(wǎng)絡(luò)位置由管理員提供的物理位置（例如，樓層、建筑物、地理位置）軟件定義邊界SDP系統(tǒng)也可以使?這些上下?信息做出更好的訪問控制決策。注意，私有DDI系統(tǒng)通常?法為遠(yuǎn)程用戶提供此級別的信息，因?yàn)檫@些用戶不再直接連接到企業(yè)?絡(luò)。通常，諸如VPN之類的遠(yuǎn)程訪問解決?案會混淆內(nèi)部企業(yè)DDI系統(tǒng)中的用戶和設(shè)備（即，將所有遠(yuǎn)程用戶映射到?個(gè)共享的私有IP地址或。SDP系統(tǒng)通過提供統(tǒng)?的深度上下?和?戶/設(shè)備相關(guān)信息（不考慮位置）彌補(bǔ)這?點(diǎn)。雖然只有本地用戶會使?DDI的DHCP，但內(nèi)網(wǎng)（指接入企業(yè)內(nèi)?）和外網(wǎng)（例如，居家遠(yuǎn)程辦公）用戶都將因?yàn)镈NS請求而實(shí)施DDI系統(tǒng)。因此，DDI可以向SDP系統(tǒng)提供這些請求的相關(guān)信息。圖12描述了下?兩個(gè)用戶的活動：Natalia在辦公室?作，使?企業(yè)局域?(LAN中的DHCP服務(wù)器獲取IP地址，并使?本地DNS服務(wù)器處理所有的DNS請求，因此，Natalia的DNS訪問活動是全部可見的。Jim在家?作，并使?本地路由器提供的DHCP服務(wù)，因此，企業(yè)DDI系統(tǒng)?法查看他的DHCP請求或指紋。但是，SDP系統(tǒng)可以確保他對企業(yè)資源的DNS請求送入SDP隧道并由企業(yè)DNS服務(wù)器解析，從?獲得Jim的DNS訪問活動的完全可?性。注意，SDP實(shí)現(xiàn)可以將Jim的全部或部分DNS流量放在隧道內(nèi)傳輸。通常來說，這個(gè)機(jī)制是可配置的。圖12:內(nèi)網(wǎng)與外網(wǎng)的用戶流量SDP的一種實(shí)現(xiàn)可以利用網(wǎng)絡(luò)上下文和身份數(shù)據(jù)定義SDP控制器的策略，并在SDP網(wǎng)關(guān)上強(qiáng)制執(zhí)行。SDP控制器可以集成許多如身份信息提供者(目錄)和漏洞掃描器之類的信息源，提供可執(zhí)行的細(xì)粒度策略。響應(yīng)惡意行為如圖12所示，私有DNS服務(wù)器通常是惡意行為(或被入侵跡象)發(fā)生的起始位置。例如，一個(gè)終端感染后向與勒索軟件關(guān)聯(lián)的C&C服務(wù)器發(fā)出DNS請求。DNS是將行為歸因于某特定設(shè)備的一種非常有效的方法。此外，DDI的檢測功能可用于觸發(fā)SDP的響應(yīng)，例如設(shè)備的網(wǎng)絡(luò)訪問變更、增強(qiáng)的認(rèn)證要求、以及讓用戶采取特定行動等。例如，如果許多遠(yuǎn)程用戶從SDP網(wǎng)關(guān)到受保護(hù)資源的網(wǎng)絡(luò)流量映射到本地網(wǎng)絡(luò)上的一個(gè)共享IP地址（例如，源NAT配置），SDP可以幫助消除網(wǎng)絡(luò)行為的歧義。圖13:使用DNS、DHCP和IPAM信息精準(zhǔn)識別受感染的設(shè)備基于位置的訪問控制根據(jù)用戶或設(shè)備的地理位置，諸如用戶所接入的網(wǎng)絡(luò)、交換機(jī)端口或無線接入點(diǎn)，可以選擇是否授予訪問權(quán)限。例如，一個(gè)使用手推車采集病人生命體征信息的醫(yī)療機(jī)構(gòu)可以制定政策規(guī)定這些設(shè)備只能從臨床側(cè)而不是服務(wù)前臺獲得網(wǎng)絡(luò)訪問權(quán)。網(wǎng)絡(luò)分段是確保資源安全、減少攻擊風(fēng)險(xiǎn)和滲透影響的關(guān)鍵。在這種情景下，IPAM元數(shù)據(jù)，如網(wǎng)絡(luò)和物理位置，可以告知SDP控制器某個(gè)設(shè)備的行蹤?；谠O(shè)備的訪問控制零信任是指在盡可能早時(shí)、盡可能多地了解設(shè)備的情況以建立信任。因此，在DHCP工作過程中提取信息并收集設(shè)備數(shù)據(jù)是至關(guān)重要的。利用DHCP指紋（在試圖檢索IP地址時(shí)識別請求DHCP租約的設(shè)備）和MAC分析等技術(shù)，可以獲得豐富的設(shè)備元數(shù)據(jù)，包括：硬件供應(yīng)商設(shè)備類別（電話/平板電腦/PC/IoT）操作系統(tǒng)和版本號MAC地址IP地址SDP控制器可以利用這些信息確定設(shè)備是否允許接入，尤其是在常見的BYOD場景中。允許這些設(shè)備訪問網(wǎng)絡(luò)資源意味著要確保它們足夠安全。例如，運(yùn)行最新iOS版本的iPhone或許網(wǎng)絡(luò)訪問的風(fēng)險(xiǎn)相對較低；而運(yùn)行過時(shí)版本的舊安卓手機(jī)或許會產(chǎn)生足夠高的惡意軟件風(fēng)險(xiǎn)，有必要阻止或限制其網(wǎng)絡(luò)訪問。此設(shè)備上下文對于零信任策略決策點(diǎn)(SDP控制器)是必要的，因?yàn)镾DP控制器會評估策略，確定它們是否適用于給定的主體。具體實(shí)施中SDP是從本地用戶代理(SDPClient)獲取這類信息。設(shè)備元數(shù)據(jù)應(yīng)該包含在可靠的零信任部署的策略分配標(biāo)準(zhǔn)中?；谟脩舻脑L問控制前面的場景可以擴(kuò)展到只允許特定的用戶訪問特定的應(yīng)用程序。例如，通過與企業(yè)目錄集成，用戶信息和DNS提供的IP地址信息可以集成到SDP系統(tǒng)中，作為附加的上下文或附加的完整性檢查策略。用例#2-SDP控制器將策略結(jié)果發(fā)布到DNSDNS和SDP控制器可以協(xié)同提高安全性的另一個(gè)用例是SDP控制器將訪問策略結(jié)果發(fā)布到本地DNS服務(wù)器，以便提供一層額外的控制。例如，假設(shè)財(cái)務(wù)部中只有經(jīng)過認(rèn)證的用戶才能訪問的應(yīng)用程序。相對的，只有工程部用戶應(yīng)該能夠訪問服務(wù)器。所有員工都應(yīng)該能夠訪問服務(wù)器，并且所有設(shè)備都應(yīng)該允許對外部域(例如，)的DNS