今天的大多數安全團隊還是無法分辨網絡另一端坐着的是個黑客還是間諜，亦或是詐騙犯，甚至——一條狗。

SDP能改變這種狀況。

1993年，漫畫家 Peter Steiner 發表了一幅如今聞名全球的漫畫：一條狗蹲踞在電腦前對另一條狗說“互聯網上沒人知道你是一條狗”。25年過去了，這句話依舊無比正確。而且情況更加糟糕：很多安全專家常常無法弄清所謂的“用戶”到底是黑客還是間諜，或者是騙子。如何驗證遠程連接對面的人(或者狗)，是安全工作的一大重要問題。是時候以用戶爲中心的動態訪問控制來解決這一問題了。

常有人說，用戶身份驗證問題源於互聯網最初的目的和設計。用於收發消息的互聯網協議沒有要求用戶驗明自身。但該問題還有遺留安全系統在設計上的因素。尤其是，我們所用的工具並沒有關注用戶本身。比如說，防火牆和網絡訪問控制就是圍繞網絡地址和端口架設的。即便是複雜的下一代防火牆也是圍繞協議來設計，而不是落腳在用戶上。

爲驗證遠程連接對面的用戶，我們需要基於用戶的安全解決方案，也就是能夠杜絕黑客冒充授權用戶的解決方案。我們需要軟件定義的邊界(SDP)。SDP也稱爲“黑雲( Black Cloud)”，是在2007年美國國防信息系統局“全球信息網格黑核網絡”項目成果的基礎上發展起來的一種安全方法。

軟件定義邊界基於用戶上下文而不是憑證來授權企業資產訪問。爲阻止對應用基礎設施的網絡攻擊，雲安全聯盟(CSA)在2013年成立了SDP工作組，拋出了一個非常全面的安全方法，該方法融合了設備身份驗證、基於身份的訪問和動態配置連接。

“

雖然SDP中的安全組件都很常見，但這三者的集成卻是相當創新的。更重要的是，SDP安全模型可阻止所有類型的網絡攻擊，包括DDoS、中間人攻擊、服務器查詢(OWASP十大威脅之一)和高級持續性威脅(ATP)。

SDP要求用戶拿出多種身份驗證變量，比如時間、位置、機器健康狀況和配置等，用以證實該用戶是否是其所聲稱的身份，或者驗證用戶能否被信任。這一上下文信息可使公司企業識別出非法用戶——即便該用戶持有合法用戶憑證。

訪問控制還應是動態的，能夠應對風險和權限提升。用戶與系統和應用間的互動是實時的。在會話中，用戶可以執行任意數量不同風險級別的事務。舉個例子，用戶可以多次查看電子郵件、打印機密文檔，以及更新企業博客。當用戶行爲或環境發生變化時，SDP會持續監視上下文，基於位置、時間、安全狀態和一些自定義屬性實施訪問控制管理。

SDP還應能夠腳本化，以便能夠檢查除設備信息之外的更多情況。SDP需能收集並分析其他數據源，以提供上下文，幫助進行用戶授權動作。這能確保在合法用戶試圖訪問新設備或不同設備上資源的時候，有足夠的信息可供驗證用戶並授權訪問。

一旦用戶可被恰當驗證，也就是我們可以確信某用戶是財務部門的某某某而不是騙子或狗狗，SDP就可以在用戶和所請求的資源間創建一條安全的加密隧道，保護二者之間的通信。而且，網絡的其他部分則被設爲不可見。通過隱藏網絡資源，SDP可減小攻擊界面，並清除用戶掃描網絡和在網絡中橫向移動的可能性。

最後，因爲當今IT環境的複雜性和巨大規模，SDP需可擴展並高度可靠。最好是打造得像雲一樣能夠容納大規模擴展，且是分佈式和恢復力強的。

保護訪問安全的關鍵，在於確保對手不能輕易盜取憑證以獲得訪問權。我們需要SDP來區別已授權用戶和黑客。儘管有這種長期和必要的安全控制，很多企業還是難以正確運用，但又不得不理順並恰當應用。今天的SDP架構中已經容納了所有這些特性。

全球信息網格黑核網絡詳情：

http://www.acqnotes.com/Attachments/DoD%20GIG%20Architectural%20Vision,%20June%2007.pdf

查看原文 >>