01. 零信任安全（zero trust security）

零信任安全是一種IT安全模型。零信任安全要求對(duì)所有位于網(wǎng)絡(luò)外部或網(wǎng)絡(luò)內(nèi)部的人和設(shè)備，在訪問(wèn)專用網(wǎng)絡(luò)資源時(shí)，必須進(jìn)行嚴(yán)格的身份驗(yàn)證。零信任安全需要通過(guò)多種網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)。

零信任安全技術(shù)特性包括：

零信任網(wǎng)絡(luò)背后的理念是假設(shè)網(wǎng)絡(luò)內(nèi)部和外部都存在攻擊者，因此不應(yīng)自動(dòng)信任任何用戶或計(jì)算機(jī)。

零信任安全性的另一個(gè)原則是最小特權(quán)訪問(wèn)。即只向用戶提供所需的訪問(wèn)權(quán)限，從而可以最大程度地減少每個(gè)用戶可以訪問(wèn)的網(wǎng)絡(luò)敏感資源。

零信任網(wǎng)絡(luò)使用了微分段概念。微分段是一種將安全邊界劃分為小區(qū)域的做法，以維護(hù)對(duì)網(wǎng)絡(luò)各個(gè)部分的單獨(dú)訪問(wèn)。例如，使用微分段的文件位于單個(gè)數(shù)據(jù)中心的網(wǎng)絡(luò)可能包含數(shù)十個(gè)單獨(dú)的安全區(qū)域。未經(jīng)單獨(dú)授權(quán)，有權(quán)訪問(wèn)這些區(qū)域之一的個(gè)人或程序?qū)o(wú)法訪問(wèn)任何其他區(qū)域。

零信任安全強(qiáng)化了多因素身份驗(yàn)證（MFA）的使用，用戶需要使用多個(gè)證據(jù)來(lái)進(jìn)行身份驗(yàn)證，僅輸入密碼不足以獲取訪問(wèn)權(quán)限。

除了對(duì)用戶進(jìn)行訪問(wèn)控制之外，零信任還要求對(duì)用戶所使用的設(shè)備進(jìn)行嚴(yán)格的控制。零信任系統(tǒng)需要監(jiān)視有多少種不同的設(shè)備正在嘗試訪問(wèn)其網(wǎng)絡(luò)，并確保每臺(tái)設(shè)備都得到授權(quán)。這進(jìn)一步最小化了網(wǎng)絡(luò)的攻擊面。

02.軟件定義邊界（software-defined perimeter）

SDP是實(shí)現(xiàn)零信任安全性的一種方法。用戶和設(shè)備都必須經(jīng)過(guò)驗(yàn)證才能連接，并且僅具有所需的最小網(wǎng)絡(luò)訪問(wèn)權(quán)限。
SDP 旨在使應(yīng)用程序所有者能夠在需要時(shí)部署安全邊界，以便將服務(wù)與不安全的網(wǎng)絡(luò)隔離開(kāi)來(lái)。SDP 將物理設(shè)備替換為在應(yīng)用程序所有者控制下運(yùn)行的邏輯組件。SDP 僅在設(shè)備驗(yàn)證和身份驗(yàn)證后才允許訪問(wèn)企業(yè)應(yīng)用基礎(chǔ)架構(gòu)。
SDP去除了需要遠(yuǎn)程訪問(wèn)網(wǎng)關(guān)設(shè)備的缺點(diǎn)。在獲得對(duì)受保護(hù)服務(wù)器的網(wǎng)絡(luò)訪問(wèn)之前，SDP 要求發(fā)起方進(jìn)行身份驗(yàn)證并首先獲得授權(quán)。然后，在請(qǐng)求系統(tǒng)和應(yīng)用程序基礎(chǔ)架構(gòu)之間實(shí)時(shí)創(chuàng)建加密連接。

03.SDP架構(gòu)

SDP控制器確定哪些SDP主機(jī)可以相互通信。SDP控制器可以將信息中繼到外部認(rèn)證服務(wù)。

SDP連接發(fā)起主機(jī)（IH）與SDP控制器通信以請(qǐng)求它們可以連接的SDP連接接受方（AH）列表。在提供任何信息之前，控制器可以從SDP連接發(fā)起主機(jī)請(qǐng)求諸如硬件或軟件清單之類的信息。

默認(rèn)情況下，SDP連接接受主機(jī)（AH）拒絕來(lái)自SDP控制器以外的所有主機(jī)的所有通信。只有在控制器指示后，SDP連接接受主機(jī)才接受來(lái)自SDP連接發(fā)起主機(jī)的連接。

04.SDP訪問(wèn)過(guò)程

一個(gè)或多個(gè)SDP控制器服務(wù)上線并連接至適當(dāng)?shù)目蛇x認(rèn)證和授權(quán)服務(wù)（例如，PKI 頒發(fā)證書認(rèn)證服務(wù)、設(shè)備驗(yàn)證、地理定位、SAML、OpenID、Oauth、LDAP、Kerberos、多因子身份驗(yàn)證等服務(wù)）。

一個(gè)或多個(gè)SDP連接接受主機(jī)（AH）上線。這些主機(jī)連接到控制器并由其進(jìn)行身份驗(yàn)證。但是，他們不會(huì)應(yīng)答來(lái)自任何其他主機(jī)的通信，也不會(huì)響應(yīng)非預(yù)分配的請(qǐng)求。

每個(gè)上線的SDP連接發(fā)起主機(jī)（IH）都與SDP控制器連接并進(jìn)行身份驗(yàn)證。

在驗(yàn)證SDP連接發(fā)起主機(jī)（IH）之后，SDP控制器確定可授權(quán)給SDP連接發(fā)起主機(jī)（IH）與之通信的SDP連接接受主機(jī)（AH）列表。

SDP控制器通知SDP連接接受主機(jī)（AH）接受來(lái)自SDP連接發(fā)起主機(jī)（IH）的通信以及加密通信所需的所有可選安全策略。

SDP控制器向SDP連接發(fā)起主機(jī)（IH）發(fā)送可接受連接的SDP連接接主機(jī)（AH）列表以及可選安全策略。

SDP連接發(fā)起主機(jī)（IH）向每個(gè)可接受連接的SDP連接接受主機(jī)（AH）發(fā)起單包授權(quán)，并創(chuàng)建與這些SDP連接接受主機(jī)（AH）的雙向TLS連接。

05.SDP部署方式

5.1 客戶端-網(wǎng)關(guān)模型在客戶端—網(wǎng)關(guān)的實(shí)施模型中，一個(gè)或多個(gè)服務(wù)器在 SDP 連接接受主機(jī)（AH）后面受到保護(hù)。這樣，SDP 連接接受主機(jī)（AH）就充當(dāng)客戶端和受保護(hù)服務(wù)器之間的網(wǎng)關(guān)。此實(shí)施模型可以在企業(yè)網(wǎng)絡(luò)內(nèi)執(zhí)行，以減輕常見(jiàn)的橫向移動(dòng)攻擊，如服務(wù)器掃描、操作系統(tǒng)和應(yīng)用程序漏洞攻擊、中間人攻擊、傳遞散列和許多其他攻擊。或者，它可以在Internet上實(shí)施，將受保護(hù)的服務(wù)器與未經(jīng)授權(quán)的用戶隔離開(kāi)來(lái)，并減輕諸如拒絕服務(wù)（DoS）、SQL 注入、操作系統(tǒng)和應(yīng)用程序漏洞攻擊、中間人攻擊、跨站點(diǎn)腳本（XSS）、跨站點(diǎn)請(qǐng)求偽造（CSRF）等攻擊。
5.2 客戶端-服務(wù)器模型客戶機(jī)到服務(wù)器的實(shí)施在功能和優(yōu)勢(shì)上與上面討論的客戶機(jī)到網(wǎng)關(guān)的實(shí)施相似。然而，在這種情況下，受保護(hù)的服務(wù)器將運(yùn)行可接受連接主機(jī)（AH）的軟件?？蛻魴C(jī)到網(wǎng)關(guān)實(shí)施和客戶機(jī)到服務(wù)器實(shí)施之間的選擇通?；谑鼙Ｗo(hù)的服務(wù)器數(shù)量、負(fù)載平衡方法、服務(wù)器的彈性以及其他類似的拓?fù)湟蛩亍?br /> 5.3 服務(wù)器-服務(wù)器模型在服務(wù)器到服務(wù)器的實(shí)施模型中，可以保護(hù)提供代表性狀態(tài)傳輸（REST）服務(wù)、簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議（SOAP）服務(wù)、遠(yuǎn)程過(guò)程調(diào)用（RPC）或 Internet 上任何類型的應(yīng)用程序編程接口（API）的服務(wù)器，使其免受網(wǎng)絡(luò)上所有未經(jīng)授權(quán)的主機(jī)的攻擊。例如，對(duì)于 REST 服務(wù)，啟動(dòng) REST 調(diào)用的服務(wù)器將是 SDP 連接發(fā)起主機(jī)（IH），提供 REST 服務(wù)的服務(wù)器將是可以接受連接的主機(jī)（AH）。為這個(gè)用例實(shí)施一個(gè)軟件定義邊界可以顯著地減少這些服務(wù)的負(fù)載，并減輕許多類似于上面提到的攻擊。這個(gè)概念可以用于任何服務(wù)器到服務(wù)器的通信。
5.4 客戶端-服務(wù)器-客戶端模型客戶端到服務(wù)器到客戶端的實(shí)施在兩個(gè)客戶端之間產(chǎn)生對(duì)等關(guān)系，可以用于 IP 電話、聊天和視頻會(huì)議等應(yīng)用程序。在這些情況下，軟件定義邊界會(huì)混淆連接客戶端的 IP 地址。作為一個(gè)微小的變化，如果用戶也希望隱藏應(yīng)用服務(wù)器，那么用戶可以有一個(gè)客戶端到客戶端的配置。

06.SDP應(yīng)用場(chǎng)景

6.1 企業(yè)應(yīng)用隔離對(duì)于涉及知識(shí)產(chǎn)權(quán)，財(cái)務(wù)信息，人力資源數(shù)據(jù)以及僅在企業(yè)網(wǎng)絡(luò)內(nèi)可用的其他數(shù)據(jù)集的數(shù)據(jù)泄露，攻擊者可能通過(guò)入侵網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)進(jìn)入內(nèi)部網(wǎng)絡(luò)，然后橫向移動(dòng)獲得高價(jià)值信息資產(chǎn)的訪問(wèn)權(quán)限。在這種情況下，企業(yè)可以在其數(shù)據(jù)中心內(nèi)部署 SDP，以便將高價(jià)值應(yīng)用程序與數(shù)據(jù)中心中的其他應(yīng)用程序隔離開(kāi)來(lái)，并將它們與整個(gè)網(wǎng)絡(luò)中的未授權(quán)用戶隔離開(kāi)來(lái)。未經(jīng)授權(quán)的用戶將無(wú)法檢測(cè)到受保護(hù)的應(yīng)用程序，這將減輕這些攻擊所依賴的橫向移動(dòng)。
6.2 私有云和混合云除了有助于保護(hù)物理機(jī)器，SDP 的軟件覆蓋特性使其可以輕松集成到私有云中，以利用此類環(huán)境的靈活性和彈性。此外，企業(yè)可以使用 SDP 隔離隱藏和保護(hù)其公共云實(shí)例，或者作為包含私有云和公共云實(shí)例和/或跨云集群的統(tǒng)一系統(tǒng)。
6.3 軟件即服務(wù)軟件即服務(wù)（SaaS）供應(yīng)商可以使用 SDP 架構(gòu)來(lái)保護(hù)他們提供的服務(wù)。在這種應(yīng)用場(chǎng)景下，SaaS 服務(wù)是一個(gè) SDP 連接接受主機(jī)（AH），而所有連接服務(wù)的終端用戶就是 SDP 連接發(fā)起主機(jī)（IH）。這樣使得 SaaS 產(chǎn)商可以通過(guò)互聯(lián)網(wǎng)將其服務(wù)提供給全球用戶的同時(shí)不再為安全問(wèn)題擔(dān)憂。
6.4 基礎(chǔ)設(shè)施即服務(wù)基礎(chǔ)設(shè)施即服務(wù)（IaaS）供應(yīng)商可以為其客戶提供 SDP 即服務(wù)作為受保護(hù)的入口。這使他們的客戶可以充分利用 IaaS 的靈活性和性價(jià)比，同時(shí)減少各種潛在的攻擊。
6.5 平臺(tái)即服務(wù)平臺(tái)即服務(wù)（PaaS）供應(yīng)商可以通過(guò)將 SDP 架構(gòu)作為其服務(wù)的一部分來(lái)實(shí)現(xiàn)差異化。這為最終用戶提供了一種嵌入式安全服務(wù)，可以緩解基于網(wǎng)絡(luò)的攻擊。
6.6 基于云的虛擬桌面基礎(chǔ)架構(gòu)虛擬桌面基礎(chǔ)架構(gòu)（VDI）可以部署在彈性云中，這樣 VDI 的使用按小時(shí)支付。然而，如果VDI 用戶需要訪問(wèn)公司網(wǎng)絡(luò)內(nèi)的服務(wù)器，VDI 可能難以使用，并且可能會(huì)產(chǎn)生安全漏洞。但是，VDI 與 SDP 相結(jié)合，可通過(guò)更簡(jiǎn)單的用戶交互和細(xì)粒度訪問(wèn)解決了這兩個(gè)問(wèn)題。
6.7 物聯(lián)網(wǎng)大量的新設(shè)備正在連接到互聯(lián)網(wǎng)上。管理這些設(shè)備或從這些設(shè)備中提取信息抑或兩者兼有的后端應(yīng)用程序的任務(wù)很關(guān)鍵，因?yàn)橐洚?dāng)私有或敏感數(shù)據(jù)的保管人。軟件定義邊界可用于隱藏這些服務(wù)器及其在 Internet 上的交互，以最大限度地提高安全性和正常運(yùn)行時(shí)間。