2022软件定义边界在IaaS中的应用.docx

软件定义边界在IaaS中的应用目录序言7目标8方法和范围9执行摘要10软件定义边界和云安全联盟提出的十二大安全威胁11IaaS安全概述13技术原理14IaaS参考架构14为什么IaaS安全性不同？15位置是另外一个属性15唯一不变的是变化15TP地址难题15安全要求和传统安全工具16跳板机：三思而后行19为什么是SDP而不是VPN20虚拟桌面基础设施（VDI）21SDP怎么解决这个问题？21什么是软件定义边界（SDP）?22基于用户而不仅仅是TP地址的策略23SDP的优势23运维效率23简化的合规性工作23降低成本23SDP作为变革的催化剂24SDP身份及访问管理24IaaS使用场景26用例：开发人员安全访问IaaS环境26不使用SDP的访问26使用SDP的访问27总结29用例：保障业务人员访问内部企业应用系统的安全30不使用SDP的访问30使用SDP的访问31总结36使用场景：安全的管理面向公众的服务36使用场景：当新服务实例创建时更新用户访问权限38使用SDP接入39总结41使用场景：对于服务提供商的硬件管理平台访问42总结：45使用场景：通过多企业账号控制访问45总结：45增强SDP规范的建议46混合云以及多云的环境47替代计算模型和SDP48容器和SDP49结论与下一步计划50目标软件定义边界（SDP）的应用正在迅速普及，I其有效性在许多企业和案例中得到了广泛的验证。如今，随着越来越多的企业战略性地拥抱云计算IaaS平台，并且迫切需要云上资源的安全访问。我们相信，致力于保护云上资源的安全架构SDP的时机已经到来。本报告旨在探索和解释软件定义边界（SDP）部署于IaaS时，对提高安全性、合规性和运维效率的相关优势。通过本报告，读者能够清楚认识到企业IaaS所面临的安全挑战（基于共享责任模型），原有的IaaS访问控制与传统网络安全工具结合产生的安全问题，以及软件定义边界在各种场景中的解决之道。方法和范围 本报告内容主要是基于公有云的IaaS产品，例如AmazonWebServices、MicrosoftAzure>GoogleComputeEngine和RaCkSPaCePublicCloud0其相关用例和方法同样适用于私有化部署的IaaS,如基于VMWare或OPenStaCk的私有云。 不管是按照SDP规范实现商业化的厂商，还是没有严格按照Vl标准进行产品开发的厂商，在构建产品的过程中，都有各自不同的架构、方法和能力。在本报告中，我们对产商保持中立，并且避免头轮产商相关的能力。如果有因为产商能力产生的差异化案例，我们会使用“也许、典型的、通常”等词汇来解释这些差异，以不牺牲报告的可读性。 由于大多数公有云IaaS提供商目前只支持IPv4,因此我们所讨论的内容在一定程度上有所束缚。不过，随着IPv6的应用在未来普及，在下一版本的报告中，我们将进一步完善相关内容。 与核心SDP规范相一致，我们专注用户到服务（USeLtO-SerViCe）的访问控制（南北方向）。服务器到服务器SerVeLto-Server（也称为东西方向）通信不在本报告的范围之内（为响应市场发展趋势，在核心SDP规范和本报告的未来修订中，我们将会解决这一问题2）。服务器到服务器是核心规范Vl中所提到的一个支持模型，但目前，该模型还未像用户到服务模型那样被高度采用。 高可用性和负载均衡不在本报告讨论范围之内。 SDP策略模型不在本报告讨论范围之内。报告中讨论的SDP用例和方法也可以适用于平台即服务的系统PaaS,这取决于它们如何支持和管理网络访问控制3o在撰写这份文件时，我们努力做到内容聚焦。我们考虑了很多值得探讨的话题，但这些话题要么更适合包含在整个V2规范中，要么我们认为与本报告无关。请参阅“增强SDP规范的建议”部分，这些建议提及到V2规范的相关重点，比IaaS有更广泛的适用性，其非常重要。虽然我们避开了这些话题，但该报告的内容仍超过了目标页数，不过我们相信，在平衡内容长度和范围方面我们做出了正确的选择。该报告也将为我们下一次内容的修订提供了良好的基础。执行摘要如今，IT和安全管理者已深刻认识到，企业和云提供商有共同的责任共同面对IaaS安全挑战。IaaS与传统的内网相比，有着不同的（并且在某些方面更具挑战）用户访问需求和安全需求，然而，这些需求并不能完全由传统安全工具或者IaaS供应商提供的安全架构来满足。例如，企业往往需要对用户访问网络资源进行一定程度的限制，但传统的网络访问控制（NAC）和虚拟局域网（VLAN）解决方案在IaaS环境中并不适用，因为它是多租户、虚拟化的网络基础设施。另一个例子：在IaaS环境中，所有用户都需要对云资源进行“远程访问”，最成熟的手段无它，只有VPN0但是，随着当今移动办公、跨公司协作或动态云环境等场景广泛存在企业当中，VPN通过管理IP地址和端口的访问控制并不适用。企业越来越需要以用户为中心建立安全和访问模型。使用软件定义边界（SDP）架构，企业用户可以安全地访问他们的TaaS资源，且不妨碍业务用户或IT生产力。事实上，当正确部署时，SDP可以成为改变网络安全在整个企业中实践的催化剂一一无论是在内网还是公有云的环境。有了SDP,企业可以有一个集中管控并且策略驱动的网络安全平台，覆盖他们的整个基础设施（无论是在内网还是公有云环境）和他们的整个用户群体，这是一个引人注目的愿景。事实上，SDP也正在实现这一愿景。目前，世界各地的许多企业组织都在使用SDP来增强他们的网络安全，减少网络攻击面，增加业务和IT人员的生产力，并减少他们的合规负担同时节省资金。 本研究的重点是如何将SDP部署于（IaaS）基础设施的环境中，重点为以下用例： 开发人员安全访问IaaS环境 业务用户安全访问内部公司应用服务 管理员安全访问公共对外服务 在创建新服务器实例时更新用户的访问权限 服务提供商的硬件管理后台访问 多企业帐户访问控制此外，本研究报告还解释了为什么传统的网络安全方法不适用于IaaS环境，以及SDP部署在混合环境中的价值。软件定义边界和云安全联盟提出的十二大安全威胁云安全联盟公布了一个值得关注的网络安全威胁的报告，以此帮助企业对云计算的采用做出明智的风险管理决策。该报告反映了安全专家在CSA社区中就最重要的云上的安全问题所达成的一致意见：SDP可有效减少受攻击面，缓解或者彻底消除安全报告中提到的威胁、风险和漏洞，从而帮助企业能够集中资源于其他领域。下表列出了十二大威胁（十二大网络安全威胁）,并分析SDP对于解决这些威胁的作用:安全威胁SDP作用1数据泄露SDP通过添加预验证和预授权层来减少公开暴露的主机的攻击面，实现服务器和网络的安全性的“最小访问权限”模型，从而有助于减少数据泄露的许多攻击方式。剩余风险：数据泄露的几个其他攻击方式不适用于SDP,包括钓鱼、错误配置和终端保护。授权用户对授权资源的恶意访问将不会被SDP直接阻止。2弱身份、密码与访问管理过去，企业VPN访问密码被盗往往导致企业数据丢失。这是因为VPN通常允许用户对整个网络进行广泛的访问，从而成为弱身份、密码与访问管理中的薄弱环节。相比之下，SDP不允许广泛的网络访问，并限制对这些主机的访问权限。这使得安全体系结构对弱身份、证书和访问管理有更大的弹性。SDP还可以在用户访问资源之前执行强认证。剩余风险：企业必须有一个积极的参与者来调整IAM流程，并确保访问策略被正确定义。过于宽泛的准入政策会给企业带来风险。3不安全的界面和API保护用户界面不被未授权用户访问是SDP的核心能力。使用SDP,未经授权的用户（即攻击者）无法访问UL因此无法利用任何漏洞。SDP还可以通过在用户设备上运行的进程来保护API。目前SDP部署的主要焦点一直是保护用户对服务器的访问。服务器到服务器的访问至今还不是SDP的一个重点，但是我们希望这将在不久的将来被包含在SDP范围内。剩余风险：服务器到服务器APl调用在这个时候不是SDP的常见用例，因此这种APl服务可能不会受到SDP系统的保护。4系统和应用程序漏洞SDP显著减少攻击面，通过将系统和应用程序的漏洞隐藏起来，对于未授权用户不可见。剩余风险：授权用户可以访问授权的资源，存在潜在的攻击可能性。其它安全系统如SIEM或IDS必须用来监控访问和网络活动（见下文的内部恶意人员威胁）。5账号劫持基于会话Cookie的帐户劫持被SDP完全消除。如果没有预先认证和预先授权，并且携带适当的SPA数据包，应用服务器会默认拒绝来自恶意终端的网络连接请求。因此，即使网络请求中携带被劫持的会话cookie,也不会被SDP网关准入。剩余风险：钓鱼或密码窃取仍然是个风险，但SDP可以通过执行强身份验证来降低这种风险，并有基于诸如地理定位等属性来控制访问的策略。6内部恶意人员威胁SDP将限制内部人员造成安全威胁的能力。适当配置的SDP系统将具有限制用户仅能访问执行业务功能所需的资源，而所有其他资源都将被隐藏。剩余风险：SDP不阻止授权用户对授权资源的恶意访问。7高级持续威胁攻击(APTs)APTS本质上是复杂的、多方面的，不会被任何单一的安全防御所阻止。SDP通过限制受感染终端寻找网络目标的能力，并且在整个企业中实施多因子认证，有效减少攻击面，从而降低APT的存在可能性和传播。剩余风险：预防和检测APTS需要多个安全系统和过程结合起来进行深入的防御。8数据丢失SDP通过执行最小权限原则，并将网络资源对未授权用户隐藏起来，来减少数据丢失的可能性。SDP还可以通过适当的DLP解决方案来增强。剩余风险：SDP不阻止授权用户对授权资源的恶意访问。9尽职调查不足SDP不适用这种情况10滥用和非法使用云服务SDP并不直接适用，但SDP供应商的产品可能有能力检测和了解云服务使用状况。11DDOS攻击SDP架构中的单包授权(SPA)技术使得SDP控制器和网关对阻止DDoS攻击更有弹性。SPA与典型的TCP握手连接相比可花费更少的资源，使服务器能够大规模处理、丢弃恶意的网络请求数据包。与TCP相比，基于UDP的SPA进一步提高了服务器的可用性。剩余风险：虽然SPA显著降低了由无效SPA包所施加的计算负担，但它仍然是非零的，因此面向公众的SDP系统仍然可能受到大规模DDoS攻击的影响。12共享技术问题SDP可以由云服务提供商使用，以确保管理员对硬件和虚拟化基础设施的访问管理。有关服务提供商的硬件管理控制面板访问，请参阅下面的讨论用例。剩余风险：云服务提供商除了SDP之外，还必须使用各种安全系统和流程。4抗DDOSSDP工作组对这个问题提供了一些有趣的研究，一些正在进展中的的性能指标来对比传统TCP连接和SPA对服务器的负载的影响。值得注意的是，基于UDP的SPA甚至比基于TCP的SPA更有如I性，因为它消耗更少的服务器资源，并能更好地抵御无效的数据包流量攻击。IaaS安全概述业界对云上运行的应用程序的安全性往往存在诸多误解。众所周知，如果部署恰当，基于云的应用程序比起内部部署更安全。但是，云环境遵循的是与传统内部部署不一样的安全模型，而这些不同可能无意间导致安全降低。因此，$向云端迁移工作业务系统不会自动让工作更安全，无论厂商还是企业都需要谨慎考量并采取行动。IaaS供应商通常会创建和推动“责任共享模型”，这个