软件定义边界(Software Defined Perimeter,SDP)作为新一代网络安全解决理念,最早由云安全联盟(CSA)于2013年提出,其整个中心思想是通过软件的方式,在移动+云时代,构建起一个虚拟的企业边界,利用基于身份的访问控制,来应对边界模糊化带来的控制粒度粗、有效性差问题,以此达到保护企业数据安全的目的。
SDP的应用正在迅速普及,其有效性在许多企业和案例中得到了广泛的验证。随着越来越多的企业战略性地拥抱云计算IaaS平台,并且迫切需要云上资源的安全访问,我们相信,致力于保护云上资源的安全架构——SDP的时机已经到来。
如今,IT和安全管理者已深刻认识到,企业和云提供商有责任共同面对IaaS安全挑战。IaaS与传统的内网相比,有不同的用户访问和安全需求(并且在某些方面更具挑战),然而,这些需求并不能完全由传统安全工具或者IaaS供应商提供的安全架构来满足。
使用软件定义边界(SDP)架构,企业用户可以安全地访问他们的IaaS资源,且不妨碍业务用户或IT生产力。事实上,当正确部署时,SDP可以成为改变网络安全在整个企业中实践的催化剂——无论是在内网还是公有云的环境。有了SDP,企业可以有一个集中管控并且策略驱动的网络安全平台,覆盖他们的整个基础设施(无论是在内网还是公有云环境)和他们的整个用户群体,这是一个引人注目的愿景。近日,中国云安全联盟专家委员会专家翻译并审校CSA报告《软件定义边界在IaaS中的应用》(Software Defined Perimeter for Infrastructure as a Service),《软件定义边界在IaaS中的应用》报告旨在探索和解释软件定义边界(SDP)部署于IaaS时,对提高安全性、合规性和运维效率的相关优势。通过本报告,读者能够清楚认识到企业IaaS所面临的安全挑战(基于共享责任模型),原有的IaaS访问控制与传统网络安全工具结合产生的安全问题,以及软件定义边界在各种场景中的解决之道。
《软件定义边界在IaaS中的应用》报告包括以下内容:
一、 技术原理
本章节重点讲述对于安全性更为复杂的IaaS环境,为什么传统的网络安全方法不适用。而相比于传统的安全工具,SDP可以解决哪些安全威胁,具有何种优势。
二、 IaaS使用场景
本章节的重点是如何将SDP部署于(IaaS)基础设施的环境中,重点为以下用例:
• 开发人员安全访问IaaS环境
• 业务用户安全访问内部公司应用服务
• 管理员安全访问公共对外服务
• 在创建新服务器实例时更新用户的访问权限
• 服务提供商的硬件管理后台访问
• 多企业帐户访问控制
三、 增强SDP规范的建议
四、 混合云及多云的环境
五、 替代计算模型和SDP
六、 容器和SDP
七、 结论和下一步计划
无论你是一个企业、一个服务提供者、还是一个独立的实践者,我们都希望这项研究能够给您带来帮助。该文档将提高您对与IaaS环境相关的特定网络访问所面临的挑战,并通过软件定义边界SDP来帮助您解决这些问题。