文学大全

SDP(软件定义边界)让SDN更安全,你的对面可不能是一条狗! SDNLAB 专注网络创新技术 情感句子英文

  • 作者:本站
  • 时间:2019-06-09
  • 171人已阅读
您现在的位置:首页 > 西方诗歌 > 文章
简介 为什么需要SDP?为了阻止所有类型的网络攻击,包括DDoS、中间人攻击、服务器查询(OWASP十大威胁之一)和高级持续性威胁(ATP),SDP的安全模型融合了设备身份验证、基于身份的访问和动态

SDP(软件定义边界)让SDN更安全,你的对面可不能是一条狗!  SDNLAB  专注网络创新技术 情感句子英文

为什么需要SDP?为了阻止所有类型的网络攻击,包括DDoS、中间人攻击、服务器查询(OWASP十大威胁之一)和高级持续性威胁(ATP),SDP的安全模型融合了设备身份验证、基于身份的访问和动态配置连接三大组件,虽然SDP中的安全组件都很常见,但这三者的集成却是相当创新的。 SDP要求用户拿出多种身份验证变量,比如时间、位置、机器健康状况和配置等,用以证实该用户身份,或者验证用户能否被信任。 这一上下文信息可使公司企业识别出非法用户——即便该用户持有合法用户凭证。 访问控制是动态的,能够应对风险和权限提升。 用户与系统和应用间的互动是实时的。 在会话中,用户可以执行任意数量不同风险级别的事务。 举个例子,用户可以多次查看电子邮件、打印机密文档,以及更新企业博客。

当用户行为或环境发生变化时,SDP会持续监视上下文,基于位置、时间、安全状态和一些自定义属性实施访问控制管理。

SDP还能够脚本化,以便能够检查除设备信息之外的更多情况。 SDP能够收集并分析其他数据源,以提供上下文,帮助进行用户授权动作。

这能确保在合法用户试图访问新设备或不同设备上资源的时候,有足够的信息可供验证用户并授权访问。

一旦用户可被验证,我们就可以确信用户是谁(可能是骗子或狗狗),SDP在用户和所请求的资源间创建一条安全的加密隧道,保护二者之间的通信。

而且,网络的其他部分则被设为不可见。

通过隐藏网络资源,SDP可减小攻击界面,并清除用户扫描网络和在网络中横向移动的可能性。

最后,因为当今IT环境的复杂性和巨大规模,SDP需可扩展并高度可靠。

最好是打造得像云一样能够容纳大规模扩展,且是分布式和恢复力强的。 SDP使用案例SDP可以支持大量的用例,这些用例可以帮助IT领导人支持新的业务活动,简化IT架构和操作。

许多企业已经在为各种关键用例使用软件定义的边界。

需要注意的是,并不是所有的SDP服务都是以相同的方式构建的,所以安全和网络专家在部署SDP时,应该根据实际场景来规划部署方式。

下表中列举了一些SDP的应用场景:SDP与传统VPN的区别目前,虚拟专用网络(VPN)是很多公司远程访问的解决方案之一。 但是,VPN用户一旦获得授权就可以广泛访问公司网络上的资源。 这种广泛访问的方法使潜在的敏感资源和信息暴露给VPN用户和攻击者。

因此,围绕软件定义的边界解决方案(SDP)成为安全远程访问的一个更具吸引力的替代方案。

传统的VPN具有过度信任、访问广泛、复杂等问题。 首先传统VPN遵循以网站为中心的拓扑结构,具有广泛的信任度。

其次在传统的VPN网络访问中,一旦用户登陆了VLAN,他们的主机就可以广播地址解析协议(ARP),以检查是否有其他东西连接到这个网段。 由于地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这最终会创建一个相当大的攻击界面,供黑客使用。

最后,在企业迁移到云时,VPN管理变得复杂。

IT管理员必须在不同的地理位置配置和协调VPN、防火墙策略。

这反过来又很难拦截未经授权的访问。 软件定义边界完全颠倒了传统的网络安全模型,每个网络资源、用户、设备和数据中心、应用程序都可以连接到SDP云。

与传统的以站点为中心的方法相反,用户现在成为网络的中心。 在这种情况下,我们拥有一个以用户为中心的拓扑结构,用户位于中心,可以从任何地方访问应用程序,无论是在云端还是旧数据中心。

整个软件定义的边界模型假定为零信任。 它假设用户、设备和服务之间不存在任何信任。

零信任不仅基于身份:用户的ID,他们的设备,还包括他们访问的服务、应用程序和网络。

基于身份的访问控制用于阻止或允许网络连接。

在配置方面,传统的VPN需要配置在每个数据中心和云上。

而通过SDP,管理员可以向平台添加一次网络资源,然后以集中方式管理云中的所有策略。 使用完全基于云的SDP解决方案的另一个好处是,在授予数据中心或虚拟私有云内的访问权限时,几乎不需要额外的配置和维护。 所有与安全相关的活动,都在云中执行。 总之,SDP的安全远程访问机制吸引了众多企业的关注。

它为用户和资源实现了自定义的网络访问策略。 这些资源对于未授权的用户来说是不可见的,减少了潜在的攻击面。

SDP解决方案以客户为导向,使其更易于控制、全面适用和灵活。 这些特点超越了传统VPN服务的优点。 SDP与SDN高度互补当提到软件定义边界时,可能会有人问“它与软件定义的网络(SDN)有关系吗?”云安全联盟(CSA)表示“SDP被设计为与软件定义网络(SDN)高度互补”。 似乎SDP是为了预防网络攻击而实施的SDN。 根据定义,SDN是一种计算机网络方法,允许网络管理员通过抽象出更高级别的功能来管理网络服务。 SDN通过控制平面和转发平面分离来管理网络基础设施。 它具有动态性、可管理性、成本效益和适应性,是当今各组织的理想选择。 SDP是一个安全控制框架,在授予对应用程序基础结构的访问权限之前,设备和身份是经过验证的。 因此,虽然SDN是建立动态网络基础设施的概念,让用户能够以尽可能多的吞吐量快速有效地进行点对点连接,但SDP遍历多个OSI层,使用经过审查的安全模型将应用程序和用户与可信网络联系起来。 二者高度互补,对于未来的云技术来说,它们显然比传统的IT系统更安全。 SDN和SDP相结合能为网络管理和安全带来1+12的效果。 首先当组织需要管理和保护不断增长的数据量时,完整的网络可见性和透明度是必不可少的。

通过SDN和SDP提供网络自动化和业务流程,可以创建更多数据,以提供有价值的见解和及时的警报,为IT管理人员提供安全分析的良好基础。 其次,SDP与SDN功能密切配合可以从设备到应用程序提供安全的点对点网络隧道,在动态基础上最小化网络攻击面。 所以,SDP与SDN的结合对于云技术、网络安全都有深远意义。 SDP潜在的挑战尽管SDP给出了零信任条件下、满足现代企业数据保护需求的访问控制模型,但从框架到落地实现还涉及到许多技术问题及资源整合;同时,即使在此完成基础上,SDP自身仍有一些能力缺陷。

Top