基于SDP与DNS融合的零信任安全增强策略模型

©2022国际云安全联盟大中华区版权所有2软件定义边界工作组官网网址：https://cloudsecurityalliance.org/research/working-groups/software-defined-perimeter@2022国际云安全联盟大中华区-保留所有权利。本文档发布在国际云安全联盟大中华区官网(http://www.c-csa.cn)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明；（e）引用本报告内容时，请注明来源于国际云安全联盟。 ©2022国际云安全联盟大中华区版权所有3序言DNS作为互联网重要的基础服务之一，承担着将域名指向可由计算机识别的IP地址的重要作用，堪称互联网的“导航系统”，同时在企业的内网环境也承担着同等重要的职责。DNS的安全是保障网络畅通的核心和基础，也是数据安全的底层基石。思科相关安全研究数据显示，近91.3%的已知恶意软件被发现使用DNS作为主要手段，但68%的企业却忽略了这个问题，并没有对DNS解析进行监管，这种现象称之为“DNS盲点”。正因为DNS如此重要的作用，其一旦出现漏洞或遭受攻击，必然会对网络的正常访问和使用造成严重影响，给政府和企业带来巨大的损失。很多企业投入大量财力、物力、人力构建完善的安全防护体系，虽然网络安全架构已经十分完善，但DNS系统安全依旧成为百密一疏的防护漏洞，并且传统的安全防御体系在日益频繁DNS攻击的抵御防护中尤为吃力。2022年5月CSA正式发布了《SDP标准规范2.0》。SDP为网络运营者提供动态灵活的边界功能部署能力，聚焦于保护关键的组织资产，实现精准授权，降低网络攻击的可能性。帮助零信任安全实现最小授权原则并隐蔽网络和资源。本文通过2个实际用例解释了如何将DNS、企业管理DDI系统与SDP结合，使用DNS及企业管理DDI系统为SDP提供设备及网络行为的上下文信息，作为SDP系统输入，增强访问控制策略的决策能力，从而提供改进的安全可见性、恢复能力及响应能力，帮助组织机构通过零信任架构获取的安全保障更上一层楼。最后感谢参与本次翻译和支持的工作者们的无私奉献。李雨航YaleLiCSA大中华区主席兼研究院院长 ©2022国际云安全联盟大中华区版权所有4致谢《基于SDP和DNS融合的零信任安全增强策略模型（IntegratingSDPandDNSEnhancedZeroTrustPolicyEnforcement）》由CSA软件定义边界工作组专家编写，CSA大中华区秘书处组织翻译并审校。中文版翻译专家组（排名不分先后）：组长：陈本峰翻译组：单美晨江坤石瑞生汪海谢琴杨正权于继万于新宇余晓光审校组：谢琴姚凯研究协调员：潘国强李杰李金瑞陈龙感谢以下单位的支持与贡献：北京奇虎科技有限公司北京启明星辰信息安全技术有限公司北京天融信网络安全技术有限公司华为技术有限公司江苏易安联网络技术有限公司上海安几科技有限公司云深互联(北京)科技有限公司中国电信股份有限公司研究院湖州市大数据发展促进会湖州市吴兴区大数据发展管理局西塞数字安全研究院英文版本编写专家主要作者：JasonGarbisJuanitaKoilpillaiSrikrupaSrivationPGMenon贡献者：MichaelRoza审核者：NaderZaveriAndreaKnoblauchCSA全球员工:ShamunMahmud ©2022国际云安全联盟大中华区版权所有5献辞本文是为了纪念JuanitaKoilpillai，一位安全领袖、影响者、导师和朋友。软件定义边界(SDP)和零信任工作组是云安全联盟(CSA)的一个研究工作组，旨在促进采用零信任安全原则，为组织机构能够并应该如何在云和非云环境中采用这些原则提供实用和技术上可靠的指导。该小组将以美国国家标准与技术研究所(NIST)的零信任研究和方法为基础并发挥作用。该工作组还将推广SDP作为实现零信任价值和原则的推荐架构。此外，它将修订和扩展SDP规范以获取和编纂从过去的经验中获得的知识。最后，在推广和推荐SDP的同时，该工作组将采取包容性的方法替代安全架构，并客观地支持它们（前提是符合零信任哲学）。在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱：research@c-csa.cn；国际云安全联盟CSA公众号。 ©2022国际云安全联盟大中华区版权所有6目录序言................................................................................3致谢................................................................................41.引言..............................................................................71.1目的........................................................................71.2范围........................................................................71.3受众........................................................................71.4域名系统（DNS）.............................................................81.4.1动态主机配置协议（DHCP）.............................................91.4.2互联网协议地址管理（IPAM）...........................................101.4.3实现云端管理.........................................................101.5基于DNS的安全.............................................................111.5.1恶意软件控制点.......................................................111.5.2阻止数据泄露.........................................................121.5.3域名生成算法(DGAs)控制点...........................................131.5.4基于类别的过滤.......................................................151.6零信任策略执行.............................................................151.6.1SDP和零信任策略执行.................................................161.6.2DNS和零信任策略执行.................................................172SDP/零信任和DNS用例.............................................................182.1用例#1:DNS向SDP提供上下文和元数据.......................................182.1.1用例1中的策略执行..................................................212.1.2响应恶意行为.........................................................222.1.3基于位置的访问控制...................................................232.1.4基于设备的访问控制...................................................232.1.5基于用户的访问控制...................................................242.2用例#2-SDP控制器将策略结果发布到DNS......................................242.2.1在DNS中的策略执行-一个额外的安全层..................................253.结论.............................................................................264.参考文献.........................................................................275.缩略词..........................................................................29 ©2022国际云安全联盟大中华区版权所有71.引言在网络复杂度飙升和安全威胁加剧的背景下，组织机构需要能够简化、优化并保护网络通讯的解决方案。域名系统（DNS）将人类可读的域名（例如，cloudsecurityalliance.org）映射到互联网协议（IP）地址，对于可靠的互联网运营和连接至关重要。无论网络连接是从用户的Web浏览器、在线设备还是业务服务器发起，几乎每个都是以DNS查询开始。不幸的是，DNS的无处不在以及该协议的开放性、无连接性和未加密性，使得DNS成为恶意软件渗透到网络中并窃取数据（通常不易被发现）的常用目标。但是，组织机构可以集成软件定义边界（SDP）架构与DNS，获得安全能力的提升。DNS可作为一个零信任网络策略执行点，与SDP策略执行点协同工作，通过挖掘出有价值的DNS数据，加快SDP的威胁响应速度。网络连接规模化所需的另外两个核心服务是动态主机配置协议（DHCP）和互联网协议地址管理（IPAM）。这三个核心网络服务统称为DDI（DNS、DHCP、IPAM）。集成这三个组件有助于为当今高度分布式的现代化网络提供控制力、自动化和安全性。DDI组合具有独特的优势，可以记录网络上的人员、人员的去向以及（更重要的是）去过的地方。当DDI系统与威胁情报源结合使用时，将具备足够信息，在控制平面和DNS层配置并实施策略。在DNS层配置和实施策略的好处是，它不是计算密集型的，并且可以扩展到数百万级别。但是，我们必须注意到DNS层的策略是粗粒度的（例如域名）。因此，需要其他机制提供细粒度的策略框架和实施方案，以利用好DDI数据库。DDI服务可以为企业提供可见性和控制力，并且，当它与软件定义边界SDP结合使用时，可以在很大程度上提高安全性并帮助组织机构在零信任安全之旅中更上一层楼。1.1目的本研究文档的目的是解释DNS和企业管理的DDI系统可以如何与软件定义边界SDP结合，以提供改进的安全可见性、恢复能力和响应能力。1.2范围本白皮书探讨了企业管理的DDI与SDP集成以提高安全性、上下文感知能力和响应能力的两个用例。这种类型的集成（将传统意义上不同的系统结合在一起以得到更全面的实施方案）是零信任安全方案的标志。本