Программно-определяемый периметр
Программно-определяемый периметр (англ. Software Defined Perimeter, SDP, также «чёрное облако», англ. Black Cloud) — это концепция защиты ИТ-инфраструктуры в облачных средах, разработанная Агентством информационных систем обороны США в рамках инициативы Black Core Network Глобальной информационной сети. Концепция программно-определяемого периметра (SDP) получила дальнейшее развитие благодаря Cloud Security Alliance.[1]
Принцип работы
Идентичность и целостность устройства пользователя проверяются с помощью сервиса аттестации. Затем пользователь проходит аутентификацию через специальный шлюз аутентификации. После успешной аутентификации клиент получает токен (например, SAML-токен или JSON Web Token) от службы авторизации атрибутов. В токене определены ресурсы, к которым пользователь получает доступ.
Используя токен, клиент обращается к контроллеру SDP. Контроллер устанавливает соединения VPN с одним или несколькими шлюзами SDP. Каждый шлюз SDP дополнительно проверяет токен пользователя. Только после успешной верификации токена шлюзом пользователь получает доступ к защищённой группе безопасности.
До момента аутентификации и авторизации пользователя все IP-пакеты, которые не относятся к процессу аутентификации, отклоняются.
Автоматически определяемый периметр
Автоматически определяемый периметр (англ. Automatically Defined Perimeter, ADP) представляет собой расширение концепции SDP. С помощью ADP подключения пользователя к защищённым сетевым ресурсам динамически устанавливаются и разрываются в зависимости от текущей необходимости. Таким образом, в каждый момент времени клиент имеет соединение только с теми ресурсами, которые ему актуально необходимы.
Преимущества
Поскольку сетевые ресурсы, защищённые с помощью SDP, не регистрируются в публичной системе доменных имён, а также любой неавторизованный доступ автоматически блокируется, потенциальная площадь атаки на сеть существенно сокращается. Сеть, построенная по принципу SDP, становится невидимой для внешних пользователей.
С помощью программно-определяемого периметра предотвращаются или значительно затрудняются следующие типы атак:
- DDoS-атаки
- Внедрение кода
- Эксплойты в приложениях и операционных системах
- Атаки типа «человек посередине»
- Межсайтовый скриптинг
- Межсайтовая подделка запроса
- Pass-the-Hash
- Эскалация привилегий злоумышленником — например, с локальной инфраструктуры в облако и обратно
Кроме того, использование SDP позволяет осуществлять аудит всех сетевых обращений, что полезно, например, для ИТ-экспертизы и расследования инцидентов.
Сравнение с контролем сетевого доступа
В традиционных системах контроля сетевого доступа (Network Access Control, NAC) сеть сначала устанавливает соединение с ресурсом, после чего происходит аутентификация и авторизация пользователя. В модели SDP, напротив, сначала выполняется определение аутентификации и авторизации, а уже потом создаётся сетевое соединение в виде VPN.
Примечания
Литература
- Lawrence Pingree. Software Defined Perimeter Technology is More than a Fancy VPN (англ.). Gartner Blog Network (23 сентября 2015). Дата обращения: 9 мая 2017.
- What is the Software-Defined Perimeter? (англ.). Cryptzone (13 апреля 2017). Дата обращения: 9 мая 2017. Архивировано 13 апреля 2017 года.
- Network Access Control Security Must Change (англ.). Cryptzone (12 сентября 2017). Дата обращения: 9 мая 2017. Архивировано 12 сентября 2017 года.
- Automatically Defined Perimeter (англ.). Arcitura Patterns. Дата обращения: 9 мая 2017.
- Automatically Defined Perimeter Controller (англ.). Arcitura Patterns. Дата обращения: 9 мая 2017.
Ссылки
- SDP Specification 1.0 (PDF), Рабочая группа Software Defined Perimeter, Cloud Security Alliance (CSA), 2014
- Software Defined Perimeter for Infrastructure as a Service (PDF), SDP Working Group, Cloud Security Alliance (CSA), 2017