安全邊界曾經(jīng)是在分界線內(nèi)部的區(qū)域，該區(qū)域?qū)⒄J為不安全或不受信任的外部與認為安全或受信任的內(nèi)部分隔開。在物理世界中，外圍的外邊緣受by溝，柵欄或墻壁保護，在入口點檢查收入者。在虛擬網(wǎng)絡(luò)中，防火墻傳統(tǒng)上會保護邊界，并且靜態(tài)策略會驗證用戶并授予他們訪問權(quán)限。其他策略可保護敏感資源免受惡意入侵者的攻擊，這些入侵者基于策略逃避了檢測。

在靜態(tài)環(huán)境中，該策略相當(dāng)有效，在靜態(tài)環(huán)境中，數(shù)據(jù)和關(guān)鍵資源通常位于本地。在希望從任何地方，任何時間，從任何設(shè)備進行連接的移動工作人員訪問的基于多云的環(huán)境中，該模型是不可持續(xù)的。新現(xiàn)實導(dǎo)致零信任安全的出現(xiàn)，該零信任安全是為當(dāng)今基于云的網(wǎng)絡(luò)設(shè)計的。

當(dāng)今最先進的零信任體系結(jié)構(gòu)是軟件定義的邊界（SDP）的體系結(jié)構(gòu)。在SDP中，與以前的資源和以數(shù)據(jù)為中心的外圍區(qū)域不同，安全措施集中于單個用戶及其設(shè)備。

用戶和設(shè)備都受到監(jiān)視，甚至在每次連接時都需要驗證受信任設(shè)備上的受信任用戶，然后才可以訪問單個網(wǎng)絡(luò)的網(wǎng)絡(luò)的微分段部分。

驗證過程包括人和機器元素，因此用戶和設(shè)備均得到驗證。人工驗證步驟要求用戶通過身份驗證確認其身份，并通過授權(quán)確認其特權(quán)訪問級別。

但是，僅僅驗證人類用戶還不夠。由于設(shè)備可以訪問軟件定義網(wǎng)絡(luò)（SDN），因此它已與SDP集成在一起，因此也需要進行驗證。這是通過機器驗證完成的。試圖從不受信任的設(shè)備連接的受信任用戶被拒絕訪問所請求的資源。

驗證用戶和設(shè)備后，SDP定義的策略將根據(jù)特權(quán)訪問級別來校準(zhǔn)用戶連接，將特權(quán)級別限制為該用戶/設(shè)備對可用的最低級別，并且限制對單一資源的訪問，防止橫向移動。

SDP包含三個主要組件：

· SDP客戶端

· SDP控制器

· SDP網(wǎng)關(guān)

　　SDP客戶端

SDP客戶端是安裝在外圍設(shè)備中每個端點上的軟件。SDP客戶端功能包括設(shè)備驗證和隧道設(shè)置。

設(shè)備驗證功能本身在SDP供應(yīng)商之間有所不同。

· 用戶和實體行為分析：監(jiān)視端點或設(shè)備是否存在可疑行為，這些行為可能表明該行為已受到威脅，并且需要其他身份驗證/驗證或斷開設(shè)備連接。

· 端點檢測和響應(yīng)：監(jiān)視端點或設(shè)備是否存在威脅跡象，并消除威脅或斷開設(shè)備連接。

· 遠程瀏覽器隔離：通過在外部接口上定位所有基于瀏覽器的活動來防止對設(shè)備的攻擊。隨著設(shè)備與瀏覽器分離，基于瀏覽器的威脅將被消除。

· 沙箱測試：一種隔離的測試環(huán)境，用于測試可能包含病毒或其他惡意軟件的可疑程序，而不允許該軟件損害主機設(shè)備

· 數(shù)據(jù)清理AKA內(nèi)容撤防和重建：將所有下載的文件沙箱化，解析所有可執(zhí)行代碼并重建文件，而無需任何未經(jīng)批準(zhǔn)的可執(zhí)行代碼。這樣可以消除惡意的可執(zhí)行文件下載。

　　SDP控制器

它在SDP客戶端和SDP網(wǎng)關(guān)之間配置傳輸層安全性連接。該加密隧道執(zhí)行兩項功能

· 通過綁定到您的云解決方案進行身份驗證并檢查任何連接請求的授權(quán)，它可以充當(dāng)客戶端和后端資源之間的受信任通道。

· 它帶有一個證書頒發(fā)機構(gòu)，它在客戶端和遠程資源之間建立加密的隧道。

SDP網(wǎng)關(guān)

SDP網(wǎng)關(guān)是獲得對請求資源的訪問權(quán)之前的最后檢查。它盡可能靠近請求的資源，并通過SDP控制器確認客戶端已被授權(quán)，確認和驗證，并可以被授予對請求會話的資源訪問權(quán)限。

收到確認后，網(wǎng)關(guān)允許連接到應(yīng)用程序。

與在第2層停止的MAC連接不同，SDP控制器和網(wǎng)關(guān)覆蓋了第7層之前的所有層。

　　這在現(xiàn)實生活中將如何運作？

SampleCompany已配備了SDP，并且所有員工的設(shè)備都已更新。

他們的銷售代理商Sidney需要從他的手機訪問SalesManagementApp。他點擊該應(yīng)用程序進行連接，發(fā)送包含加密密鑰的單數(shù)據(jù)包授權(quán)。

通過其公鑰基礎(chǔ)結(jié)構(gòu)，SDP控制器可以檢查密鑰。由于密鑰正確，因此可以識別并驗證Sidney。

如果控制器PKI確認了Sidney的身份及其手機的完整性，則SDP控制器將在Sidney的手機和SDP網(wǎng)關(guān)之間創(chuàng)建一個加密的隧道。然后，該網(wǎng)關(guān)允許Sidney的移動設(shè)備訪問SalesManagementApp。

但是，即使SalesAnalyticsApp與SalesManagementApp駐留在同一服務(wù)器上，并且Sidney擁有訪問它的必需特權(quán)，他也將必須經(jīng)歷相同的過程才能訪問SalesAnalyticsApp。

在Sidney的移動設(shè)備始終連接到SalesManagementApp的整個過程中，SDP客戶端和SDP網(wǎng)關(guān)之間的通信將繼續(xù)。如果在連接期間任何時候Sidney的移動設(shè)備遭到破壞，則連接將被斷開，并且侵入Sidney的移動設(shè)備的惡意行為者將被鎖定在整個SDP中。

如果客戶端的密鑰被盜用或無效，則其連接將立即被阻塞，并且網(wǎng)絡(luò)上所有應(yīng)用程序的可見性都將被切斷。如果機器顯示出受到威脅的跡象，則將不再將其視為受信任的機器，并會立即從網(wǎng)絡(luò)和對任何資源的訪問中斷開。

SDP的整個目標(biāo)是防止對應(yīng)用程序的網(wǎng)絡(luò)攻擊，但是在您的網(wǎng)絡(luò)中使用SDP還有其他一些優(yōu)點，包括：

· 通過加密隧道保密

· 在SDP協(xié)議中使用TLS反DOS令牌的DOS保護

· 地理位置保護

· 分割消除橫向運動

· 信息混淆

· 事件響應(yīng)

· 隔離

以上就是關(guān)于云中的零信任網(wǎng)絡(luò)：從傳統(tǒng)的安全范圍到軟件定義的范圍的全部內(nèi)容，想了解更多關(guān)于網(wǎng)絡(luò)安全的信息，請繼續(xù)關(guān)注中培偉業(yè)。