今天來(lái)介紹當(dāng)今使用主要的網(wǎng)絡(luò)安全體系結(jié)構(gòu)是什么的內(nèi)容。傳統(tǒng)的網(wǎng)絡(luò)外圍安全性由許多不同的部分組成，所有部分工作以為網(wǎng)絡(luò)提供安全解決方案。傳統(tǒng)上，網(wǎng)絡(luò)安全通常從用戶身份驗(yàn)證開(kāi)始，通常使用用戶名和密碼。此方法也稱為單因素身份驗(yàn)證，通過(guò)兩因素身份驗(yàn)證，將需要驗(yàn)證另一項(xiàng)內(nèi)容，例如手機(jī)，USB驅(qū)動(dòng)器甚至某種令牌。

驗(yàn)證用戶身份之后，防火墻將確保遵循訪問(wèn)協(xié)議，并對(duì)用戶在網(wǎng)絡(luò)中的訪問(wèn)權(quán)限施加限制。這是防止未經(jīng)授權(quán)的人訪問(wèn)網(wǎng)絡(luò)的非常有效的方法。此外，可以對(duì)網(wǎng)絡(luò)上兩個(gè)主機(jī)之間的通信進(jìn)行加密，以為網(wǎng)絡(luò)提供額外的安全層。

一些企業(yè)可能還會(huì)部署蜜罐。蜜罐本質(zhì)上是一種網(wǎng)絡(luò)資源，它充當(dāng)網(wǎng)絡(luò)內(nèi)部的誘餌。這些可以用作監(jiān)視工具或作為預(yù)警系統(tǒng)的形式，因?yàn)槊酃薏挥糜谌魏魏戏ǖ纳虡I(yè)目的。這意味著，如果訪問(wèn)了蜜罐，通常會(huì)出問(wèn)題。安全團(tuán)隊(duì)可以分析對(duì)蜜罐的攻擊，以及時(shí)了解新的攻擊。然后，可以通過(guò)突出顯示以前未知的漏洞，將這些發(fā)現(xiàn)應(yīng)用于進(jìn)一步提高真實(shí)網(wǎng)絡(luò)中的安全級(jí)別。

與蜜罐類似，蜜網(wǎng)是誘騙的網(wǎng)絡(luò)，設(shè)置了故意的安全漏洞。這些工具旨在誘使攻擊者，以便可以分析其方法以提高真實(shí)網(wǎng)絡(luò)的安全性。當(dāng)前，越來(lái)越多的企業(yè)正在利用網(wǎng)絡(luò)分段并將其添加到系統(tǒng)中以增強(qiáng)安全性。

盡管具有傳統(tǒng)的外圍安全保護(hù)的優(yōu)點(diǎn)，但此過(guò)程在阻止特洛伊木馬和計(jì)算機(jī)蠕蟲通過(guò)網(wǎng)絡(luò)傳播方面并不完全可靠。傳統(tǒng)上，為了解決此問(wèn)題，將使用防病毒軟件或入侵防御系統(tǒng)。他們可以檢測(cè)并阻止這些攻擊的傳播。

此外，盡管該系統(tǒng)在防止外部威脅方面表現(xiàn)出色，但在防止內(nèi)部威脅方面卻無(wú)效。隨著使用自己的設(shè)備進(jìn)行遠(yuǎn)程工作的人數(shù)增加，受污染的設(shè)備可能連接到公司網(wǎng)絡(luò)的風(fēng)險(xiǎn)也增加了，這有可能使網(wǎng)絡(luò)面臨風(fēng)險(xiǎn)。這導(dǎo)致零信任體系結(jié)構(gòu)的日益普及。

　　遠(yuǎn)程訪問(wèn)VPN

VPN可以在最初是公共的網(wǎng)絡(luò)上創(chuàng)建專用網(wǎng)絡(luò)。這樣，VPN的用戶就可以像實(shí)際連接到主專用網(wǎng)絡(luò)本身一樣，通過(guò)它們發(fā)送和接收數(shù)據(jù)。這意味著通過(guò)VPN運(yùn)行的任何應(yīng)用程序都將能夠使用VPN連接的專用網(wǎng)絡(luò)的功能，安全性和管理功能。

VPN技術(shù)的最初開(kāi)發(fā)是為了允許遠(yuǎn)程用戶和不同的辦公室分支機(jī)構(gòu)訪問(wèn)將在主辦公室分支機(jī)構(gòu)的網(wǎng)絡(luò)中托管的應(yīng)用程序和其他項(xiàng)目。要訪問(wèn)VPN，用戶必須使用密碼或安全證書對(duì)自己進(jìn)行身份驗(yàn)證。

當(dāng)企業(yè)使用VPN技術(shù)時(shí)，它可以幫助確保遠(yuǎn)程工作人員和其他辦公室可以建立與總部網(wǎng)絡(luò)的安全連接，而沒(méi)有攻擊者通過(guò)遠(yuǎn)程用戶滲透到網(wǎng)絡(luò)的風(fēng)險(xiǎn)。

　　網(wǎng)絡(luò)細(xì)分

在計(jì)算機(jī)網(wǎng)絡(luò)的上下文中，網(wǎng)絡(luò)分段的做法是將計(jì)算機(jī)網(wǎng)絡(luò)分成一組子網(wǎng)。這些子網(wǎng)中的每一個(gè)都稱為一個(gè)網(wǎng)段。

對(duì)網(wǎng)絡(luò)進(jìn)行分段的安全性優(yōu)勢(shì)之一是，來(lái)自分段的任何廣播都將保留在內(nèi)部網(wǎng)絡(luò)內(nèi)部。結(jié)果，網(wǎng)絡(luò)的結(jié)構(gòu)將僅在內(nèi)部可見(jiàn)。

對(duì)網(wǎng)絡(luò)進(jìn)行分段的另一個(gè)優(yōu)點(diǎn)是，如果網(wǎng)絡(luò)的某個(gè)部分確實(shí)受到威脅，則攻擊者可以通過(guò)的表面積會(huì)減少。此外，某些類型的網(wǎng)絡(luò)攻擊僅在本地網(wǎng)絡(luò)上起作用，這意味著如果您對(duì)系統(tǒng)的不同區(qū)域進(jìn)行分段，則根據(jù)其使用情況做出這些決定。例如，如果要為數(shù)據(jù)庫(kù)，Web服務(wù)器和用戶設(shè)備創(chuàng)建單獨(dú)的網(wǎng)絡(luò)，這將有助于使網(wǎng)絡(luò)更加安全。

網(wǎng)絡(luò)分段也可以用來(lái)確保人們只能訪問(wèn)他們需要的資源。這可以通過(guò)在戰(zhàn)術(shù)上將您的資源分配到各個(gè)網(wǎng)絡(luò)并將特定的人員分配給每個(gè)網(wǎng)絡(luò)段來(lái)實(shí)現(xiàn)。

正確使用網(wǎng)絡(luò)分段來(lái)提高安全級(jí)別將涉及將網(wǎng)絡(luò)分段劃分為那些不同的子網(wǎng)絡(luò)，并為每個(gè)子網(wǎng)絡(luò)分配一定級(jí)別的訪問(wèn)權(quán)限。然后，您應(yīng)采取步驟確保已制定協(xié)議以限制每個(gè)子網(wǎng)之間可以移動(dòng)的協(xié)議。

　　基于角色的訪問(wèn)控制

基于角色的訪問(wèn)控制可根據(jù)用戶擁有的授權(quán)級(jí)別來(lái)幫助限制對(duì)某些系統(tǒng)的訪問(wèn)。擁有500多名員工的絕大多數(shù)公司都使用基于角色的訪問(wèn)控制，而中小型企業(yè)越來(lái)越多地開(kāi)始使用此技術(shù)。為了最有效地使用RBAC，公司將按特定類別劃分其用戶資料。通常，他們將基于工作角色，資歷水平以及每個(gè)人基于前兩個(gè)因素所需的資源。

例如，如果組織要使用RBAC，財(cái)務(wù)團(tuán)隊(duì)的初級(jí)成員要登錄到他們的網(wǎng)絡(luò)，則該員工將可以訪問(wèn)較低級(jí)別的財(cái)務(wù)數(shù)據(jù)，這些數(shù)據(jù)將要求他們?cè)谄渎殑?wù)中查看。但是，他們的訪問(wèn)僅限于此。例如，他們將無(wú)法查看與法律團(tuán)隊(duì)有關(guān)的任何文件或數(shù)據(jù)，或者僅由高級(jí)財(cái)務(wù)團(tuán)隊(duì)成員(例如財(cái)務(wù)總監(jiān))查看的文件。

當(dāng)企業(yè)使用RBAC時(shí)，這是一種非常有效的方法，可以確保只有擁有查看權(quán)限的個(gè)人才能查看任何敏感數(shù)據(jù)。它還可以幫助防止故意的內(nèi)部信息泄漏。

　　什么是軟件定義的邊界

在組織內(nèi)創(chuàng)建零信任體系結(jié)構(gòu)的一種方法是創(chuàng)建或使用SDP。我們將研究什么是SDP，因此您可以做到這一點(diǎn)。

由于云存儲(chǔ)在現(xiàn)代變得越來(lái)越普遍，由于這些云服務(wù)器無(wú)法用傳統(tǒng)的外圍安全措施保護(hù)，這一事實(shí)在這些云系統(tǒng)上遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)有所增加。這導(dǎo)致在2013年創(chuàng)建了軟件定義的邊界。軟件定義的邊界是一個(gè)研究工作組。他們的重點(diǎn)是創(chuàng)建一個(gè)安全系統(tǒng)，以幫助防止對(duì)云系統(tǒng)的攻擊。

他們的研究結(jié)果將免費(fèi)提供給公眾使用，并且不會(huì)受到任何使用費(fèi)或任何其他限制。

從工作組成立之初，他們就決定嘗試并著重于構(gòu)建一種既經(jīng)濟(jì)高效又靈活又有效的安全解決方案。在工作中，團(tuán)隊(duì)確定了三個(gè)基本設(shè)計(jì)要求。

首先，他們認(rèn)為他們的安全體系結(jié)構(gòu)需要確認(rèn)用戶的ID，他們使用的設(shè)備以及訪問(wèn)某些目錄的權(quán)限。接下來(lái)，他們認(rèn)為使用加密技術(shù)的驗(yàn)證將是確保應(yīng)用其安全協(xié)議的最佳選擇。最終，確定滿足前兩個(gè)要求所需的工具是具有可靠記錄并且在公共領(lǐng)域中的安全工具。

SDP決定他們的安全體系結(jié)構(gòu)應(yīng)基于控制通道。該控制通道將使用團(tuán)隊(duì)認(rèn)為最適合該任務(wù)的標(biāo)準(zhǔn)組件。這些組件是SAML，PKI和相互TLS。

SDP正在進(jìn)行的工作引起了人們的極大興趣，這導(dǎo)致他們?cè)?014年4月發(fā)布了其系統(tǒng)的版本1。

他們的第一個(gè)設(shè)計(jì)是由啟動(dòng)主機(jī)組成的，它將為控制器提供有關(guān)正在使用什么設(shè)備以及由誰(shuí)使用的設(shè)備的信息。該信息將與相互TLS連接一起傳輸。完成此操作后，控制器將鏈接到頒發(fā)CA的設(shè)備，以確認(rèn)設(shè)備的身份，還將鏈接到ID提供程序，以便他們可以驗(yàn)證用戶的身份。確認(rèn)此信息后，控制器將提供一個(gè)或多個(gè)相互TLS連接，這些連接將鏈接前面提到的發(fā)起主機(jī)和任何必需的接受主機(jī)。該系統(tǒng)發(fā)揮了重要作用，能夠防止任何形式的網(wǎng)絡(luò)攻擊，包括中間人，DDoS和高級(jí)持續(xù)威脅。

　　SDP版本1的體系結(jié)構(gòu)

用于商業(yè)用途的原始SDP產(chǎn)品是使用用于商業(yè)應(yīng)用程序的覆蓋網(wǎng)絡(luò)實(shí)現(xiàn)的，其中的示例是對(duì)高價(jià)值數(shù)據(jù)的遠(yuǎn)程訪問(wèn)，或者用于保護(hù)云系統(tǒng)免受攻擊。SDP的發(fā)起主機(jī)采用客戶端的形式，接受主機(jī)成為網(wǎng)關(guān)。

　　SDP客戶端

SDP客戶端本身負(fù)責(zé)多種功能。其中兩個(gè)包括驗(yàn)證正在使用的設(shè)備和正在使用的用戶ID，以及將白名單應(yīng)用程序路由到已授權(quán)的受保護(hù)應(yīng)用程序。

SDP客戶端具有實(shí)時(shí)配置，以確保相互TLSVPN連接僅鏈接到單個(gè)用戶有權(quán)使用的項(xiàng)目。這意味著SDP客戶端具有根據(jù)用戶權(quán)限級(jí)別限制對(duì)某些數(shù)據(jù)點(diǎn)的訪問(wèn)的功能。這是在驗(yàn)證用戶ID和設(shè)備之后進(jìn)行的。

　　SDP網(wǎng)關(guān)

SDP網(wǎng)關(guān)用作終止與SDP客戶端的相互TLS連接的點(diǎn)。從拓?fù)涞慕嵌葋?lái)看，網(wǎng)關(guān)將被實(shí)現(xiàn)為盡可能接近受保護(hù)的應(yīng)用程序。

一旦確認(rèn)了請(qǐng)求訪問(wèn)的設(shè)備的身份并且暴露了它們的許可級(jí)別，SDP網(wǎng)關(guān)就會(huì)收到IP地址及其證書。

　　SDP控制器

SDP控制器在后端安全功能之間充當(dāng)受信任中間人的功能。一旦SDP客戶端已完成驗(yàn)證并且已經(jīng)檢查了用戶的權(quán)限級(jí)別，SDP控制器將開(kāi)始配置SDP客戶端和SDP網(wǎng)關(guān)，以便它們可以通過(guò)相互TLS建立實(shí)時(shí)連接。

　　SDP架構(gòu)的安全性

正確實(shí)現(xiàn)所有這三個(gè)功能后，SDP體系結(jié)構(gòu)可以為您的安全系統(tǒng)提供出色的獨(dú)特屬性。這些功能在下面列出。

　　1.隱藏信息

受保護(hù)的應(yīng)用程序基礎(chǔ)結(jié)構(gòu)中沒(méi)有DNS信息，也沒(méi)有任何可見(jiàn)端口。因此，受SDP保護(hù)的資產(chǎn)被稱為“深色”資產(chǎn)，因?yàn)榧词鼓M(jìn)行掃描也無(wú)法發(fā)現(xiàn)它們。

　　2.預(yù)身份驗(yàn)證

嘗試訪問(wèn)的設(shè)備的身份將始終在被授予連接之前進(jìn)行驗(yàn)證。將使用MFA令牌確認(rèn)設(shè)備的身份，該MFA令牌將嵌入在TCP或相互TLS體系結(jié)構(gòu)中。

　　3.預(yù)授權(quán)

僅授予SDP系統(tǒng)中的用戶訪問(wèn)角色所需要訪問(wèn)的服務(wù)器的權(quán)限。用于確認(rèn)身份的系統(tǒng)會(huì)將用戶的授權(quán)傳達(dá)給SDP控制器。這是使用SAML斷言執(zhí)行的。

　　4.應(yīng)用程序?qū)釉L問(wèn)

即使授予用戶訪問(wèn)應(yīng)用程序的權(quán)限，也只能在應(yīng)用程序級(jí)別，而不能在網(wǎng)絡(luò)級(jí)別。SDP還將在主機(jī)正在使用的設(shè)備上將某些應(yīng)用程序列入白名單，這有助于將系統(tǒng)通信保持在應(yīng)用程序到應(yīng)用程序級(jí)別。

　　5.可擴(kuò)展性

SDP的體系結(jié)構(gòu)是在各種基于標(biāo)準(zhǔn)的不同部分的基礎(chǔ)上創(chuàng)建的。其中包括相互的TSL，SAML和安全證書。由于由基于標(biāo)準(zhǔn)的部分組成，SDP體系結(jié)構(gòu)可以輕松地與其他類型的安全系統(tǒng)鏈接和集成，包括數(shù)據(jù)加密系統(tǒng)和遠(yuǎn)程證明系統(tǒng)。

以上就是關(guān)于當(dāng)今使用主要的網(wǎng)絡(luò)安全體系結(jié)構(gòu)是什么的全部?jī)?nèi)容，想了解更多關(guān)于網(wǎng)絡(luò)安全的信息，請(qǐng)繼續(xù)關(guān)注中培偉業(yè)。