在线观看www成人影院-在线观看www日本免费网站-在线观看www视频-在线观看操-欧美18在线-欧美1级

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

零信任安全技術的特性和軟件定義邊界的架構

汽車玩家 ? 來源:新鈦云服 ? 作者:王愛華 ? 2020-05-05 21:08 ? 次閱讀

01. 零信任安全(zero trust security)

零信任安全是一種IT安全模型。零信任安全要求對所有位于網絡外部或網絡內部的人和設備,在訪問專用網絡資源時,必須進行嚴格的身份驗證。零信任安全需要通過多種網絡安全技術實現。

零信任安全技術特性包括:

零信任網絡背后的理念是假設網絡內部和外部都存在攻擊者,因此不應自動信任任何用戶或計算機。

零信任安全性的另一個原則是最小特權訪問。即只向用戶提供所需的訪問權限,從而可以最大程度地減少每個用戶可以訪問的網絡敏感資源。

零信任網絡使用了微分段概念。微分段是一種將安全邊界劃分為小區域的做法,以維護對網絡各個部分的單獨訪問。例如,使用微分段的文件位于單個數據中心的網絡可能包含數十個單獨的安全區域。未經單獨授權,有權訪問這些區域之一的個人或程序將無法訪問任何其他區域。

零信任安全強化了多因素身份驗證(MFA)的使用,用戶需要使用多個證據來進行身份驗證,僅輸入密碼不足以獲取訪問權限。

除了對用戶進行訪問控制之外,零信任還要求對用戶所使用的設備進行嚴格的控制。零信任系統需要監視有多少種不同的設備正在嘗試訪問其網絡,并確保每臺設備都得到授權。這進一步最小化了網絡的攻擊面。

02.軟件定義邊界(software-defined perimeter)

SDP是實現零信任安全性的一種方法。用戶和設備都必須經過驗證才能連接,并且僅具有所需的最小網絡訪問權限。
SDP 旨在使應用程序所有者能夠在需要時部署安全邊界,以便將服務與不安全的網絡隔離開來。SDP 將物理設備替換為在應用程序所有者控制下運行的邏輯組件。SDP 僅在設備驗證和身份驗證后才允許訪問企業應用基礎架構。
SDP去除了需要遠程訪問網關設備的缺點。在獲得對受保護服務器的網絡訪問之前,SDP 要求發起方進行身份驗證并首先獲得授權。然后,在請求系統和應用程序基礎架構之間實時創建加密連接。

03.SDP架構

零信任安全技術的特性和軟件定義邊界的架構

SDP控制器確定哪些SDP主機可以相互通信。SDP控制器可以將信息中繼到外部認證服務。

SDP連接發起主機(IH)與SDP控制器通信以請求它們可以連接的SDP連接接受方(AH)列表。在提供任何信息之前,控制器可以從SDP連接發起主機請求諸如硬件或軟件清單之類的信息。

默認情況下,SDP連接接受主機(AH)拒絕來自SDP控制器以外的所有主機的所有通信。只有在控制器指示后,SDP連接接受主機才接受來自SDP連接發起主機的連接。

04.SDP訪問過程

零信任安全技術的特性和軟件定義邊界的架構

一個或多個SDP控制器服務上線并連接至適當的可選認證和授權服務(例如,PKI 頒發證書認證服務、設備驗證、地理定位、SAML、OpenID、Oauth、LDAP、Kerberos、多因子身份驗證等服務)。

一個或多個SDP連接接受主機(AH)上線。這些主機連接到控制器并由其進行身份驗證。但是,他們不會應答來自任何其他主機的通信,也不會響應非預分配的請求。

每個上線的SDP連接發起主機(IH)都與SDP控制器連接并進行身份驗證。

在驗證SDP連接發起主機(IH)之后,SDP控制器確定可授權給SDP連接發起主機(IH)與之通信的SDP連接接受主機(AH)列表。

SDP控制器通知SDP連接接受主機(AH)接受來自SDP連接發起主機(IH)的通信以及加密通信所需的所有可選安全策略。

SDP控制器向SDP連接發起主機(IH)發送可接受連接的SDP連接接主機(AH)列表以及可選安全策略。

SDP連接發起主機(IH)向每個可接受連接的SDP連接接受主機(AH)發起單包授權,并創建與這些SDP連接接受主機(AH)的雙向TLS連接。

05.SDP部署方式

5.1 客戶端-網關模型在客戶端—網關的實施模型中,一個或多個服務器在 SDP 連接接受主機(AH)后面受到保護。這樣,SDP 連接接受主機(AH)就充當客戶端和受保護服務器之間的網關。此實施模型可以在企業網絡內執行,以減輕常見的橫向移動攻擊,如服務器掃描、操作系統和應用程序漏洞攻擊、中間人攻擊、傳遞散列和許多其他攻擊。或者,它可以在Internet上實施,將受保護的服務器與未經授權的用戶隔離開來,并減輕諸如拒絕服務(DoS)、SQL 注入、操作系統和應用程序漏洞攻擊、中間人攻擊、跨站點腳本(XSS)、跨站點請求偽造(CSRF)等攻擊。
5.2 客戶端-服務器模型客戶機到服務器的實施在功能和優勢上與上面討論的客戶機到網關的實施相似。然而,在這種情況下,受保護的服務器將運行可接受連接主機(AH)的軟件。客戶機到網關實施和客戶機到服務器實施之間的選擇通?;谑鼙Wo的服務器數量、負載平衡方法、服務器的彈性以及其他類似的拓撲因素。
5.3 服務器-服務器模型在服務器到服務器的實施模型中,可以保護提供代表性狀態傳輸(REST)服務、簡單對象訪問協議(SOAP)服務、遠程過程調用(RPC)或 Internet 上任何類型的應用程序編程接口(API)的服務器,使其免受網絡上所有未經授權的主機的攻擊。例如,對于 REST 服務,啟動 REST 調用的服務器將是 SDP 連接發起主機(IH),提供 REST 服務的服務器將是可以接受連接的主機(AH)。為這個用例實施一個軟件定義邊界可以顯著地減少這些服務的負載,并減輕許多類似于上面提到的攻擊。這個概念可以用于任何服務器到服務器的通信。
5.4 客戶端-服務器-客戶端模型客戶端到服務器到客戶端的實施在兩個客戶端之間產生對等關系,可以用于 IP 電話、聊天和視頻會議等應用程序。在這些情況下,軟件定義邊界會混淆連接客戶端的 IP 地址。作為一個微小的變化,如果用戶也希望隱藏應用服務器,那么用戶可以有一個客戶端到客戶端的配置。

06.SDP應用場景

6.1 企業應用隔離對于涉及知識產權,財務信息,人力資源數據以及僅在企業網絡內可用的其他數據集的數據泄露,攻擊者可能通過入侵網絡中的一臺計算機進入內部網絡,然后橫向移動獲得高價值信息資產的訪問權限。在這種情況下,企業可以在其數據中心內部署 SDP,以便將高價值應用程序與數據中心中的其他應用程序隔離開來,并將它們與整個網絡中的未授權用戶隔離開來。未經授權的用戶將無法檢測到受保護的應用程序,這將減輕這些攻擊所依賴的橫向移動。
6.2 私有云和混合云除了有助于保護物理機器,SDP 的軟件覆蓋特性使其可以輕松集成到私有云中,以利用此類環境的靈活性和彈性。此外,企業可以使用 SDP 隔離隱藏和保護其公共云實例,或者作為包含私有云和公共云實例和/或跨云集群的統一系統。
6.3 軟件即服務軟件即服務(SaaS)供應商可以使用 SDP 架構來保護他們提供的服務。在這種應用場景下,SaaS 服務是一個 SDP 連接接受主機(AH),而所有連接服務的終端用戶就是 SDP 連接發起主機(IH)。這樣使得 SaaS 產商可以通過互聯網將其服務提供給全球用戶的同時不再為安全問題擔憂。
6.4 基礎設施即服務基礎設施即服務(IaaS)供應商可以為其客戶提供 SDP 即服務作為受保護的入口。這使他們的客戶可以充分利用 IaaS 的靈活性和性價比,同時減少各種潛在的攻擊。
6.5 平臺即服務平臺即服務(PaaS)供應商可以通過將 SDP 架構作為其服務的一部分來實現差異化。這為最終用戶提供了一種嵌入式安全服務,可以緩解基于網絡的攻擊。
6.6 基于云的虛擬桌面基礎架構虛擬桌面基礎架構(VDI)可以部署在彈性云中,這樣 VDI 的使用按小時支付。然而,如果VDI 用戶需要訪問公司網絡內的服務器,VDI 可能難以使用,并且可能會產生安全漏洞。但是,VDI 與 SDP 相結合,可通過更簡單的用戶交互和細粒度訪問解決了這兩個問題。
6.7 物聯網大量的新設備正在連接到互聯網上。管理這些設備或從這些設備中提取信息抑或兩者兼有的后端應用程序的任務很關鍵,因為要充當私有或敏感數據的保管人。軟件定義邊界可用于隱藏這些服務器及其在 Internet 上的交互,以最大限度地提高安全性和正常運行時間。

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 服務器
    +關注

    關注

    13

    文章

    9717

    瀏覽量

    87388
  • SDP
    SDP
    +關注

    關注

    0

    文章

    39

    瀏覽量

    13431
收藏 人收藏

    評論

    相關推薦
    熱點推薦

    易安聯完成C1輪融資,加速領跑國內信任安全市場化

    戰略升級新階段,易安聯完成C1輪融資,深度融合信任+AI+數據智能,重塑企業安全防護新范式
    的頭像 發表于 06-14 15:56 ?97次閱讀

    IPv6 與信任架構重塑網絡安全新格局

    現如今,網絡安全形勢日益嚴峻,傳統網絡安全架構的局限性愈發凸顯。在此背景下,IPv6和信任架構逐漸成為該領域的焦點,它們的融合正為網絡
    的頭像 發表于 06-10 13:25 ?334次閱讀
    IPv6 與<b class='flag-5'>零</b><b class='flag-5'>信任</b><b class='flag-5'>架構</b>重塑網絡<b class='flag-5'>安全</b>新格局

    直播預告 | @5/22 以英飛凌安全芯片為基礎,打造可信任的 AI 應用架構

    解析以安全芯片為核心的AI信任架構。內容涵蓋AI資安趨勢、硬件安全策略、數據加密應用及實際案例分享。 無論您是技術開發者、IT管理者還是企業
    的頭像 發表于 05-14 14:43 ?444次閱讀
    直播預告 | @5/22 以英飛凌<b class='flag-5'>安全</b>芯片為基礎,打造可<b class='flag-5'>信任</b>的 AI 應用<b class='flag-5'>架構</b>

    解鎖未來汽車電子技術軟件定義車輛與區域架構深度解析

    解鎖未來汽車電子技術軟件定義車輛與區域架構深度解析 ——立即下載白皮書,搶占智能汽車發展先機 *附件:解鎖未來汽車電子技術
    的頭像 發表于 04-27 11:58 ?481次閱讀

    用Renesas Flash Programmer軟件設置安全邊界——瑞薩RA系列FSP庫開發實戰指南(07)

    ? 2.6 使用Renesas Flash Programmer軟件 設置安全邊界 注解 芯片出廠時其DLM狀態默認處于“ CM ”,并且未設置IDAU安全
    的頭像 發表于 04-09 17:22 ?896次閱讀
    用Renesas Flash Programmer<b class='flag-5'>軟件</b>設置<b class='flag-5'>安全</b><b class='flag-5'>邊界</b>——瑞薩RA系列FSP庫開發實戰指南(07)

    信任+DeepSeek企業數字化更安全 芯盾時代全線產品接入DeepSeek

    DeepSeeK大模型自發布以來,憑借出色的性能表現和低成本訓練模式,在全球掀起了AI大模型部署熱潮,推動大模型技術從實驗室走向實際應用。 芯盾時代作為領先的信任業務安全產品方案提供
    的頭像 發表于 04-02 12:00 ?629次閱讀
    <b class='flag-5'>零</b><b class='flag-5'>信任</b>+DeepSeek企業數字化更<b class='flag-5'>安全</b> 芯盾時代全線產品接入DeepSeek

    信任賦能社交化辦公:企業數字化轉型中的暴露面收斂與安全升級

    的限制,如需隨時隨地訪問到工作臺的業務系統,便需要通過邊界防火墻將各個業務系統映射在互聯網上,這將面臨由于長期端口暴露及0day漏洞等問題帶來的安全風險。因此引入信任
    的頭像 發表于 04-01 18:28 ?203次閱讀
    <b class='flag-5'>零</b><b class='flag-5'>信任</b>賦能社交化辦公:企業數字化轉型中的暴露面收斂與<b class='flag-5'>安全</b>升級

    芯盾時代信任SDP開啟智能安全新時代

    中國信通院布《信任發展洞察報告(2024 年)》提出,信任技術正在跨越“鴻溝”,面臨一系列的關鍵挑戰。也代表了
    的頭像 發表于 03-17 15:02 ?527次閱讀

    芯盾時代郵箱二次認證解決方案助力企業應對釣魚郵件

    芯盾時代作為領先的信任業務安全產品方案提供商,基于自主研發的信任業務安全平臺(SDP),打造
    的頭像 發表于 02-27 15:16 ?614次閱讀

    芯盾時代中標寶雞市金臺醫院信任安全認證網關

    芯盾時代中標寶雞市金臺醫院信任安全認證網關,通過人工智能技術賦能,對網絡環境中所有用戶實施信任
    的頭像 發表于 12-24 13:52 ?454次閱讀

    華為入選國際權威機構信任邊緣領域推薦廠商

    簡稱“報告”),對全球25家信任邊緣方案(SD-WAN、ZTNA、SWG等關鍵技術,即SASE)廠商進行了綜合性評估。報告對信任邊緣市場
    的頭像 發表于 12-23 13:42 ?888次閱讀

    軟件定義車輛加速推進汽車電子技術的未來發展

    制造商轉向軟件定義車輛和區域架構。通過集中管理軟件并將硬件與軟件分離,軟件
    的頭像 發表于 11-17 15:17 ?577次閱讀
    <b class='flag-5'>軟件</b><b class='flag-5'>定義</b>車輛加速推進汽車電子<b class='flag-5'>技術</b>的未來發展

    簡單認識芯盾時代信任業務安全平臺

    近年來,我國信任網絡訪問市場保持高速增長態勢。IDC報告顯示,2023年中國信任網絡訪問解決方案市場的規模達23.3億元,同比增長25.5%。
    的頭像 發表于 11-01 16:28 ?690次閱讀

    紫光同芯推出開放式架構安全芯片E450R

    2024紫光同芯合作伙伴大會在北京璀璨啟幕,會上紫光同芯震撼發布了其最新技術結晶——全球首顆融合開放式硬件與軟件架構安全芯片E450R。這款芯片以其獨特的雙開放設計,即開放式硬件
    的頭像 發表于 08-28 16:28 ?899次閱讀

    芯盾時代入選《現代企業信任網絡建設應用指南》

    近日,國內知名網絡安全媒體安全牛重磅發布了《現代企業信任網絡建設應用指南(2024版)》報告(以下簡稱“報告”)。芯盾時代憑借在
    的頭像 發表于 08-28 09:45 ?825次閱讀
    主站蜘蛛池模板: 天天干中文字幕 | 一级a级国产不卡毛片 | 六月婷婷精品视频在线观看 | 俺去啦网婷婷 | 伊人丁香婷婷综合一区二区 | youjizz国产| dyav午夜片 | 日本黄色免费一级片 | 五月婷婷色综合 | 啪啪免费视频 | 沟沟人体一区二区 | 不卡精品国产_亚洲人成在线 | 国产在线小视频 | 人人乳乳香蕉大免费 | 丁香六月综合激情 | 野外啪啪抽搐一进一出 | 色内内免费视频播放 | 国产精品一区在线播放 | 国产免费人成在线视频视频 | 国产一区二区三区夜色 | 久久夜夜操妹子 | 天天干妹子 | 成年视频在线观看 | 欧美一级第一免费高清 | 免费人成a大片在线观看动漫 | 国产色综合天天综合网 | 美女张开腿露尿口给男人亲 | 手机看片自拍自拍自拍 | 黄鳝钻进下面好爽小说 | 人与禽一级一级毛片 | 天天狠狠弄夜夜狠狠躁·太爽了 | 欧美69xx性欧美 | 日本高清午夜色wwwσ | 啪啪免费小视频 | 一级一级特黄女人精品毛片 | 天堂电影免费在线资源 | 边做饭边被躁欧美三级小说 | 九色综合九色综合色鬼 | 狠狠色丁香婷婷综合最新地址 | 国内自拍 亚洲系列 欧美系列 | 寂寞午夜影院 |