什麼是軟體定義邊界?| SDP 與 VPN

軟體定義邊界 (SDP) 是基於軟體而非硬體的網路邊界。SDP 可以是 Zero Trust 安全性方法的一部分。

學習目標

閱讀本文後,您將能夠:

  • 瞭解什麼是軟體定義邊界 (SDP)
  • 探索 SDP 的運作原理
  • 比較 SDP 與 VPN

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是軟體定義邊界 (SDP)?

軟件定義邊界 (SDP) 是一種隱藏連接到網際網路的基礎結構(伺服器和路由器等)而使其無法被外部人士和攻擊者看到的方法,不論這些基礎結構是託管於企業內部還是雲端。SDP 方法的目標是使網路周邊基於軟體而非硬體。使用 SDP 的公司本質上是在其伺服器和其他基礎結構上披上隱形外衣,使得無人可從外部看到。但是,授權使用者仍然可以存取基礎結構。

軟體定義邊界

軟體定義邊界在網路層(而不是應用程式層)圍繞公司資產形成虛擬邊界。這將其與其他基於存取的控制區分開來,基於存取的控制限制使用者權限,但允許廣泛的網路存取。另一個關鍵區別是 SDP 會對裝置和使用者身分進行驗證。雲端安全性聯盟 (Cloud Security Alliance) 最先提出了 SDP 概念。

SDP 如何運作?

使用 SDP,除非獲得授權,否則在技術上不可能與伺服器連接。SDP 僅在以下情況下才允許使用者存取:1) 已驗證使用者身分;2)已評估裝置狀態。

使用者和裝置通過驗證后,SDP 會在該裝置與其嘗試存取的伺服器之間設定單獨的網路連線。通過驗證的使用者不會登入到更大的網路,而是獲得自己的網路連線,其他人無法存取該網路連線,且使用該連線僅能存取使用者已被核准存取的服務。

想像一台已連接網際網路但沒有開啟任何連線的網頁伺服器。它不接受請求或傳送回應;它沒有開啟的連接埠,即使它接入網際網路也沒有網路存取(有點像烤麵包機或電燈已插入牆上的插座,但插座關閉了,所以電流不會流過它)。這是軟體定義邊界內伺服器的預設狀態。

另一種理解 SDP 的方法是想像一扇總是鎖著的前門。沒有人可以進門,甚至不能往裡面看,直到門另一邊的人驗證訪客是誰以及他們要做什麼。一旦訪客被允許進入,房子里的人就會再次鎖上門。

使用者如何透過 SDP 獲得存取權限?

使用者身分驗證:使用者身分通常透過第三方識別提供者 (IdP) 進行驗證。SDP 也可以與 SSO 解決方案整合。使用者驗證可能只是使用簡單的使用者名稱和密碼組合,但使用包含某種硬體權杖多重要素驗證要更安全。

裝置驗證:這包括檢查以確保使用者的裝置正在執行最新的軟體、檢查是否有惡意軟體感染以及執行其他安全性檢查。從理論上講,SDP 甚至可以建立不允許裝置的封鎖清單,並檢查以確保該裝置不在封鎖清單中。

SDP 控制器核准:SDP「控制器」是 SDP 的邏輯元件,負責確定應允許哪些裝置和伺服器連接。使用者和裝置通過驗證后,控制器會將使用者和裝置的核准傳遞給 SDP 閘道。SDP 閘道是實際允許或拒絕存取的位置。

建立安全網路連線:SDP 閘道開啟一扇虛擬「大門」以允許使用者通過。它在閘道的一端與使用者裝置建立安全的網路連線,在另一端與使用者有權存取的服務建立網路連線。沒有其他使用者或伺服器共用此連線。這些安全網路連線通常涉及使用相互 TLS,且可能使用 VPN

使用者存取:使用者能夠存取以前隱藏的網路資源,並可以像平常一樣繼續使用他們的裝置。使用者在加密網路中運作,只有他們和他們存取的服務屬於該網路。

什麼是相互 TLS?

TLS (Transport Layer Security) 是一種加密和驗證通訊協定,用於驗證伺服器是否合法,即它是否為所聲稱的身分。在 mutual TLS 中,驗證過程在兩端進行:用戶端和伺服器都經過驗證。詳細瞭解 mutual TLS

什麼是 VPN?

VPN(虛擬私人網路)是在未加密網路上執行的加密網路。它在裝置和伺服器之間建立加密連線,因此就好像它們在自己的私人網路上一樣。

傳統上,VPN 用於保護和管理對公司基礎結構的存取。在某些情況下,SDP 可以取代 VPN。

SDP 與 VPN:有什麼區別?

SDP 可以將 VPN 整合到其架構中,以便在使用者裝置和他們需要存取的伺服器之間建立安全的網路連線。但是,SDP 與 VPN 有很大不同。在某些方面,它們更安全:VPN 使所有連接的使用者都能存取整個網路,而 SDP 不共用網路連線。SDP 也可能比 VPN 更容易管理,尤其是在內部使用者需要多級存取的情況下。

使用 VPN 管理多個不同層級的網路存取需要部署多個 VPN。假設 Bob 在 Acme Inc. 從事會計工作,Carol從事銷售工作,Alice 從事工程工作。在網路層級管理他們的存取需要設定三個 VPN:1)會計 VPN 提供對會計資料庫的存取,2)用於存取客戶資料庫的銷售 VPN,以及 3)用於存取程式碼庫的工程 VPN。這不僅對 IT 來說難以管理,而且安全性也較低:例如,任何獲得會計 VPN 存取權限的人現在都可以存取 Acme Inc. 的財務資訊。如果 Bob 不小心將他的登入認證提供給 Carol,那麼安全性就會受到損害,IT 人員甚至可能不會並不知曉這一事實。

現在想像一下第四個人:Acme Inc. 的財務長 David。David 需要存取會計資料庫和客戶資料庫。他是不是需要登入兩個單獨的 VPN 才能完成工作?還是應該由 Acme 的IT部門建立一個新的VPN,同時提供對會計和客戶資料庫的存取?這兩種選擇都難以管理,第二種選擇引入了高度的風險:如果攻擊者入侵了這個新 VPN,則將擁有對這兩個資料庫的廣泛存取權限,從而造成兩倍於以前的破壞。

另一方面,SDP 要精細得多。不會讓存取相同資源的所有人都登入一個整體 VPN,而是為每個使用者建立一個單獨的網路連線。幾乎可以說是每個人都有自己的私人 VPN。此外,SDP 會驗證裝置和使用者,這使得攻擊者更難以僅依靠盜用認證來入侵系統。

還有其他幾個關鍵特徵可以區別 SDP 和 VPN:SDP 與位置和基礎結構無關。由於 SDP 基於軟體而不是硬體,因此可以部署在任何地方,以保護內部部署基礎結構、雲端基礎結構或兩者兼而有之。SDP 還可輕鬆與多雲端混合雲端部署整合。最後,SDP 可以連接任何位置的使用者;他們不需要位於公司的實體網路周邊內。這使得 SDP 可用於管理不在公司辦公室工作的遠端團隊。

SDP 與 Zero Trust 安全性有何關係?

顧名思義,Zero Trust 安全性中沒有任何信任;預設情況下,沒有任何使用者、裝置或網路被視為可信。Zero Trust 安全性是一種安全性模型,它要求對嘗試存取內部資源的每個人和每台裝置進行嚴格的身分驗證,無論他們是位於網路週邊(或軟體定義邊界)內部還是外部。

SDP 是實作 Zero Trust 安全性的一種方法。使用者和裝置都必須經過驗證才能連接,而且他們(它們)只擁有所需的最低網路存取權限。任何裝置,哪怕是 CEO 的筆記型電腦,都無法與無權使用的資源建立網路連線。

詳細瞭解 Zero Trust 安全性。