01. 零信任安全（zero trust security）

零信任安全是一種IT安全模型。零信任安全要求對所有位于網(wǎng)絡(luò)外部或網(wǎng)絡(luò)內(nèi)部的人和設(shè)備，在訪問專用網(wǎng)絡(luò)資源時，必須進(jìn)行嚴(yán)格的身份驗證。零信任安全需要通過多種網(wǎng)絡(luò)安全技術(shù)實現(xiàn)。

零信任安全技術(shù)特性包括：

零信任網(wǎng)絡(luò)背后的理念是假設(shè)網(wǎng)絡(luò)內(nèi)部和外部都存在攻擊者，因此不應(yīng)自動信任任何用戶或計算機(jī)。

零信任安全性的另一個原則是最小特權(quán)訪問。即只向用戶提供所需的訪問權(quán)限，從而可以最大程度地減少每個用戶可以訪問的網(wǎng)絡(luò)敏感資源。

零信任網(wǎng)絡(luò)使用了微分段概念。微分段是一種將安全邊界劃分為小區(qū)域的做法，以維護(hù)對網(wǎng)絡(luò)各個部分的單獨訪問。例如，使用微分段的文件位于單個數(shù)據(jù)中心的網(wǎng)絡(luò)可能包含數(shù)十個單獨的安全區(qū)域。未經(jīng)單獨授權(quán)，有權(quán)訪問這些區(qū)域之一的個人或程序?qū)o法訪問任何其他區(qū)域。

零信任安全強(qiáng)化了多因素身份驗證（MFA）的使用，用戶需要使用多個證據(jù)來進(jìn)行身份驗證，僅輸入密碼不足以獲取訪問權(quán)限。

除了對用戶進(jìn)行訪問控制之外，零信任還要求對用戶所使用的設(shè)備進(jìn)行嚴(yán)格的控制。零信任系統(tǒng)需要監(jiān)視有多少種不同的設(shè)備正在嘗試訪問其網(wǎng)絡(luò)，并確保每臺設(shè)備都得到授權(quán)。這進(jìn)一步最小化了網(wǎng)絡(luò)的攻擊面。

02.軟件定義邊界（software-defined perimeter）

SDP是實現(xiàn)零信任安全性的一種方法。用戶和設(shè)備都必須經(jīng)過驗證才能連接，并且僅具有所需的最小網(wǎng)絡(luò)訪問權(quán)限。
SDP 旨在使應(yīng)用程序所有者能夠在需要時部署安全邊界，以便將服務(wù)與不安全的網(wǎng)絡(luò)隔離開來。SDP 將物理設(shè)備替換為在應(yīng)用程序所有者控制下運行的邏輯組件。SDP 僅在設(shè)備驗證和身份驗證后才允許訪問企業(yè)應(yīng)用基礎(chǔ)架構(gòu)。
SDP去除了需要遠(yuǎn)程訪問網(wǎng)關(guān)設(shè)備的缺點。在獲得對受保護(hù)服務(wù)器的網(wǎng)絡(luò)訪問之前，SDP 要求發(fā)起方進(jìn)行身份驗證并首先獲得授權(quán)。然后，在請求系統(tǒng)和應(yīng)用程序基礎(chǔ)架構(gòu)之間實時創(chuàng)建加密連接。

03.SDP架構(gòu)

SDP控制器確定哪些SDP主機(jī)可以相互通信。SDP控制器可以將信息中繼到外部認(rèn)證服務(wù)。

SDP連接發(fā)起主機(jī)（IH）與SDP控制器通信以請求它們可以連接的SDP連接接受方（AH）列表。在提供任何信息之前，控制器可以從SDP連接發(fā)起主機(jī)請求諸如硬件或軟件清單之類的信息。

默認(rèn)情況下，SDP連接接受主機(jī)（AH）拒絕來自SDP控制器以外的所有主機(jī)的所有通信。只有在控制器指示后，SDP連接接受主機(jī)才接受來自SDP連接發(fā)起主機(jī)的連接。

04.SDP訪問過程

一個或多個SDP控制器服務(wù)上線并連接至適當(dāng)?shù)目蛇x認(rèn)證和授權(quán)服務(wù)（例如，PKI 頒發(fā)證書認(rèn)證服務(wù)、設(shè)備驗證、地理定位、SAML、OpenID、Oauth、LDAP、Kerberos、多因子身份驗證等服務(wù)）。

一個或多個SDP連接接受主機(jī)（AH）上線。這些主機(jī)連接到控制器并由其進(jìn)行身份驗證。但是，他們不會應(yīng)答來自任何其他主機(jī)的通信，也不會響應(yīng)非預(yù)分配的請求。

每個上線的SDP連接發(fā)起主機(jī)（IH）都與SDP控制器連接并進(jìn)行身份驗證。

在驗證SDP連接發(fā)起主機(jī)（IH）之后，SDP控制器確定可授權(quán)給SDP連接發(fā)起主機(jī)（IH）與之通信的SDP連接接受主機(jī)（AH）列表。

SDP控制器通知SDP連接接受主機(jī)（AH）接受來自SDP連接發(fā)起主機(jī)（IH）的通信以及加密通信所需的所有可選安全策略。

SDP控制器向SDP連接發(fā)起主機(jī)（IH）發(fā)送可接受連接的SDP連接接主機(jī)（AH）列表以及可選安全策略。

SDP連接發(fā)起主機(jī)（IH）向每個可接受連接的SDP連接接受主機(jī)（AH）發(fā)起單包授權(quán)，并創(chuàng)建與這些SDP連接接受主機(jī)（AH）的雙向TLS連接。

05.SDP部署方式

5.1 客戶端-網(wǎng)關(guān)模型在客戶端—網(wǎng)關(guān)的實施模型中，一個或多個服務(wù)器在 SDP 連接接受主機(jī)（AH）后面受到保護(hù)。這樣，SDP 連接接受主機(jī)（AH）就充當(dāng)客戶端和受保護(hù)服務(wù)器之間的網(wǎng)關(guān)。此實施模型可以在企業(yè)網(wǎng)絡(luò)內(nèi)執(zhí)行，以減輕常見的橫向移動攻擊，如服務(wù)器掃描、操作系統(tǒng)和應(yīng)用程序漏洞攻擊、中間人攻擊、傳遞散列和許多其他攻擊?；蛘?，它可以在Internet上實施，將受保護(hù)的服務(wù)器與未經(jīng)授權(quán)的用戶隔離開來，并減輕諸如拒絕服務(wù)（DoS）、SQL 注入、操作系統(tǒng)和應(yīng)用程序漏洞攻擊、中間人攻擊、跨站點腳本（XSS）、跨站點請求偽造（CSRF）等攻擊。
5.2 客戶端-服務(wù)器模型客戶機(jī)到服務(wù)器的實施在功能和優(yōu)勢上與上面討論的客戶機(jī)到網(wǎng)關(guān)的實施相似。然而，在這種情況下，受保護(hù)的服務(wù)器將運行可接受連接主機(jī)（AH）的軟件。客戶機(jī)到網(wǎng)關(guān)實施和客戶機(jī)到服務(wù)器實施之間的選擇通?；谑鼙Ｗo(hù)的服務(wù)器數(shù)量、負(fù)載平衡方法、服務(wù)器的彈性以及其他類似的拓?fù)湟蛩亍?br /> 5.3 服務(wù)器-服務(wù)器模型在服務(wù)器到服務(wù)器的實施模型中，可以保護(hù)提供代表性狀態(tài)傳輸（REST）服務(wù)、簡單對象訪問協(xié)議（SOAP）服務(wù)、遠(yuǎn)程過程調(diào)用（RPC）或 Internet 上任何類型的應(yīng)用程序編程接口（API）的服務(wù)器，使其免受網(wǎng)絡(luò)上所有未經(jīng)授權(quán)的主機(jī)的攻擊。例如，對于 REST 服務(wù)，啟動 REST 調(diào)用的服務(wù)器將是 SDP 連接發(fā)起主機(jī)（IH），提供 REST 服務(wù)的服務(wù)器將是可以接受連接的主機(jī)（AH）。為這個用例實施一個軟件定義邊界可以顯著地減少這些服務(wù)的負(fù)載，并減輕許多類似于上面提到的攻擊。這個概念可以用于任何服務(wù)器到服務(wù)器的通信。
5.4 客戶端-服務(wù)器-客戶端模型客戶端到服務(wù)器到客戶端的實施在兩個客戶端之間產(chǎn)生對等關(guān)系，可以用于 IP 電話、聊天和視頻會議等應(yīng)用程序。在這些情況下，軟件定義邊界會混淆連接客戶端的 IP 地址。作為一個微小的變化，如果用戶也希望隱藏應(yīng)用服務(wù)器，那么用戶可以有一個客戶端到客戶端的配置。

06.SDP應(yīng)用場景

6.1 企業(yè)應(yīng)用隔離對于涉及知識產(chǎn)權(quán)，財務(wù)信息，人力資源數(shù)據(jù)以及僅在企業(yè)網(wǎng)絡(luò)內(nèi)可用的其他數(shù)據(jù)集的數(shù)據(jù)泄露，攻擊者可能通過入侵網(wǎng)絡(luò)中的一臺計算機(jī)進(jìn)入內(nèi)部網(wǎng)絡(luò)，然后橫向移動獲得高價值信息資產(chǎn)的訪問權(quán)限。在這種情況下，企業(yè)可以在其數(shù)據(jù)中心內(nèi)部署 SDP，以便將高價值應(yīng)用程序與數(shù)據(jù)中心中的其他應(yīng)用程序隔離開來，并將它們與整個網(wǎng)絡(luò)中的未授權(quán)用戶隔離開來。未經(jīng)授權(quán)的用戶將無法檢測到受保護(hù)的應(yīng)用程序，這將減輕這些攻擊所依賴的橫向移動。
6.2 私有云和混合云除了有助于保護(hù)物理機(jī)器，SDP 的軟件覆蓋特性使其可以輕松集成到私有云中，以利用此類環(huán)境的靈活性和彈性。此外，企業(yè)可以使用 SDP 隔離隱藏和保護(hù)其公共云實例，或者作為包含私有云和公共云實例和/或跨云集群的統(tǒng)一系統(tǒng)。
6.3 軟件即服務(wù)軟件即服務(wù)（SaaS）供應(yīng)商可以使用 SDP 架構(gòu)來保護(hù)他們提供的服務(wù)。在這種應(yīng)用場景下，SaaS 服務(wù)是一個 SDP 連接接受主機(jī)（AH），而所有連接服務(wù)的終端用戶就是 SDP 連接發(fā)起主機(jī)（IH）。這樣使得 SaaS 產(chǎn)商可以通過互聯(lián)網(wǎng)將其服務(wù)提供給全球用戶的同時不再為安全問題擔(dān)憂。
6.4 基礎(chǔ)設(shè)施即服務(wù)基礎(chǔ)設(shè)施即服務(wù)（IaaS）供應(yīng)商可以為其客戶提供 SDP 即服務(wù)作為受保護(hù)的入口。這使他們的客戶可以充分利用 IaaS 的靈活性和性價比，同時減少各種潛在的攻擊。
6.5 平臺即服務(wù)平臺即服務(wù)（PaaS）供應(yīng)商可以通過將 SDP 架構(gòu)作為其服務(wù)的一部分來實現(xiàn)差異化。這為最終用戶提供了一種嵌入式安全服務(wù)，可以緩解基于網(wǎng)絡(luò)的攻擊。
6.6 基于云的虛擬桌面基礎(chǔ)架構(gòu)虛擬桌面基礎(chǔ)架構(gòu)（VDI）可以部署在彈性云中，這樣 VDI 的使用按小時支付。然而，如果VDI 用戶需要訪問公司網(wǎng)絡(luò)內(nèi)的服務(wù)器，VDI 可能難以使用，并且可能會產(chǎn)生安全漏洞。但是，VDI 與 SDP 相結(jié)合，可通過更簡單的用戶交互和細(xì)粒度訪問解決了這兩個問題。
6.7 物聯(lián)網(wǎng)大量的新設(shè)備正在連接到互聯(lián)網(wǎng)上。管理這些設(shè)備或從這些設(shè)備中提取信息抑或兩者兼有的后端應(yīng)用程序的任務(wù)很關(guān)鍵，因為要充當(dāng)私有或敏感數(shù)據(jù)的保管人。軟件定義邊界可用于隱藏這些服務(wù)器及其在 Internet 上的交互，以最大限度地提高安全性和正常運行時間。