软件定义边界(Software Defined Perimeter,SDP)作为新一代网络安全解决理念,最早由云安全联盟(CSA)于2013年提出,其整个中心思想是通过软件的方式,在移动+云时代,构建起一个虚拟的企业边界,利用基于身份的访问控制,来应对边界模糊化带来的控制粒度粗、有效性差问题,以此达到保护企业数据安全的目的。

SDP的应用正在迅速普及,其有效性在许多企业和案例中得到了广泛的验证。随着越来越多的企业战略性地拥抱云计算IaaS平台,并且迫切需要云上资源的安全访问,我们相信,致力于保护云上资源的安全架构——SDP的时机已经到来。

如今,IT和安全管理者已深刻认识到,企业和云提供商有责任共同面对IaaS安全挑战。IaaS与传统的内网相比,有不同的用户访问和安全需求(并且在某些方面更具挑战),然而,这些需求并不能完全由传统安全工具或者IaaS供应商提供的安全架构来满足。

使用软件定义边界(SDP)架构,企业用户可以安全地访问他们的IaaS资源,且不妨碍业务用户或IT生产力。事实上,当正确部署时,SDP可以成为改变网络安全在整个企业中实践的催化剂——无论是在内网还是公有云的环境。有了SDP,企业可以有一个集中管控并且策略驱动的网络安全平台,覆盖他们的整个基础设施(无论是在内网还是公有云环境)和他们的整个用户群体,这是一个引人注目的愿景。近日,中国云安全联盟专家委员会专家翻译并审校CSA报告《软件定义边界在IaaS中的应用》(Software Defined Perimeter for Infrastructure as a Service),《软件定义边界在IaaS中的应用》报告旨在探索和解释软件定义边界(SDP)部署于IaaS时,对提高安全性、合规性和运维效率的相关优势。通过本报告,读者能够清楚认识到企业IaaS所面临的安全挑战(基于共享责任模型),原有的IaaS访问控制与传统网络安全工具结合产生的安全问题,以及软件定义边界在各种场景中的解决之道。

《软件定义边界在IaaS中的应用》报告包括以下内容:

一、 技术原理

本章节重点讲述对于安全性更为复杂的IaaS环境,为什么传统的网络安全方法不适用。而相比于传统的安全工具,SDP可以解决哪些安全威胁,具有何种优势。

二、 IaaS使用场景

本章节的重点是如何将SDP部署于(IaaS)基础设施的环境中,重点为以下用例:

• 开发人员安全访问IaaS环境

• 业务用户安全访问内部公司应用服务

• 管理员安全访问公共对外服务

• 在创建新服务器实例时更新用户的访问权限

• 服务提供商的硬件管理后台访问

• 多企业帐户访问控制

三、 增强SDP规范的建议

四、 混合云及多云的环境

五、 替代计算模型和SDP

六、 容器和SDP

七、 结论和下一步计划

无论你是一个企业、一个服务提供者、还是一个独立的实践者,我们都希望这项研究能够给您带来帮助。该文档将提高您对与IaaS环境相关的特定网络访问所面临的挑战,并通过软件定义边界SDP来帮助您解决这些问题。

感谢C-CSA专家委员会专家们对本报告的辛勤付出:

组长:陈本峰

组员:方伟 、马韶华 、莫展鹏、沈传宝 、于新宇 、姚凯

C-CSA研究助理:朱晓璐

关注公众号回复“CSA研究报告”下载报告原文:

链接:https://pan.baidu.com/s/1O8gluuU1p4IT31urZb1kLw 提取码:8p4f

声明:本文来自云安全联盟CSA,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。