软件定义边界 （ SDP ） 标准规范 2.0

软件定义周界工作组软件定义的周长(SDP) 规范 2.06 月待定 © 版权所有 2021 ， 云安全联盟。保留所有权利。页面页面2of 33软件定义周界工作组的永久和正式地点是https: / / cloudsecurityalliance. org / research / working - groups / software - defined - period© 2021 云安全联盟 - 保留所有权利。您可以在计算机上下载、存储、显示、查看、打印和链接到云安全联盟，网址为 https: / / clodsecrityalliace 。(a) 该草案只能用于您的个人、信息、非商业用途 ； (b) 该草案不得以任何方式修改或更改 ； (c) 该草案不得重新分发 ； (d) 商标、版权或其他通知不得删除。您可以在美国版权法的合理使用条款允许的情况下引用草案的部分内容，前提是您将这些部分归因于云安全联盟。 © 版权所有 2021 ， 云安全联盟。保留所有权利。页面页面3of 330.1 文件项目计划开始日期结束日期2019 年 2 月 15 日开始同意大纲 / 分配章节修订大纲 / 分配章节和写作Writing写作 / 审查 - 扩展写作 / 审查 - 扩展外部同行评审营销出版0.1.5待办事项 / 任务0.2 团队 / 贡献者组成贡献者贡献领域Juanita Koilpillai整个初始 v2 - 开始 v2 的整个 v1 文档的初始审查和重组SDP 组件说明 ， SDP 协议部分更新 ， 更新的图表 ， JSON 编辑 ， 入门示例。整个文档 - 在整个过程中进行并接受编辑和次要重写。Jason Garbis jason. garbis @ appgate. comSDP 部署模型和工作流表更改。SPA - 更广泛的使用部分返工 mTLS 和 IKE 部分Michael Roza Michael Michael. e. roza @ gmail. com整个初始 v2 - 开始 v2 的整个 v1 文档的初始审查和重组 ，SDP 协议部分 - 错误、不一致的识别以及改进和更改排序图像和消息文本的建议。摘要部分 - 大纲。SDP 部署模型和工作流表更改整个文档 - 在整个过程中进行并接受编辑和次要重写。Bob Flores bob. flores @ applicology. com开始 v2 的初步审查和重组Junaid Islam junaid @ xqmsg. com开始 v2 的初步审查和重组Daniel Bailey dbailey @ waverleylabs. comSDP 组件说明。 SDP 协议部分和工作流。 SPA 澄清。入门示例。Benfeng Chen bfchen @ clouddeep. aiSDP 协议和 SPA 部分更新。更新了用于网络不可见性的 SDP 协议工作流 ， 以及用于安全性的 SPA 消息中的加密算法。Eitan Bremler eitan. bremler @ safe - t. com审查 SDP 体系结构和组件、控制器、启动主机、接受主机、网关、部署模型艾哈迈德 · 雷法伊 · 侯赛因SDP - SDN - NFV 和云部署 © 版权所有 2021 ， 云安全联盟。保留所有权利。页面页面4of 33Acknowledgments2.0 版首席作者Juanita Koilpillai Jason Garbis贡献者Junaid Islam Bob Flores Daniel Bailey Benfeng Chen Eitan Bremler Michael RozaCSA 分析师沙蒙 · 马哈茂德1.0 版贡献者Brent Bilger, Alan Boehme, Bob Flores, Zvi Guterman, Mark Hoover, Michaela Iorga, Junaid Islam, Marc Kolenko, Juanita Koilpillai, Gabor Lengyel, Gram Ludlow, Ted Schroeder 和 Jeff SchweitzerCSA 分析师沙蒙 · 马哈茂德软件定义周边 (SDP) 和零信任工作组是一个云安全联盟 (CSA)一个研究工作组将倡导和促进采用零信任安全原则 ， 为组织如何能够和应该为他们的云和非云环境。该小组将建立并利用 NIST 零信任研究和方法。该小组还将推广 SDP 作为实现零信任利益和原则的推荐架构。它将修订和扩展 SDP 规范 ， 以捕获和编纂从经验中获得的知识。在推广和推荐 SDP 的同时 ， 该小组将采取包容性的方法来替代安全架构 ， 并客观地支持它们 ， 只要它们符合零信任理念。 © 版权所有 2021 ， 云安全联盟。保留所有权利。页面页面5of 33目录4777788910111212SDP 部署模型131415161718181920212121a.22b.22c.22d.23e.23f.23g.232324a.24b.25c.25d.25e.25h.25i.26 © 版权所有 2021 ， 云安全联盟。保留所有权利。页面页面6of 33j.262627a.27b.28k.28l.28m.28n.28o.28p.29292929313233 © 版权所有 2021 ， 云安全联盟。保留所有权利。页面页面7of 33Introduction软件定义周界 (SDP) 架构提供了在需要时动态部署网络安全周界功能的能力, 以便隔离在不安全的网络上部署和访问的应用和服务。SDP 旨在提供按需，动态配置，可信任的覆盖网络隔离，以减轻基于网络的攻击。SDP 实施方式对未经授权的实体隐藏资产, 在允许连接之前建立信任, 并且经由单独的控制和数据平面管理系统。通过 SDP，组织可以实现零信任的目标，通过摆脱传统的以外围为中心的失败安全模型来提高其安全有效性和弹性。Purpose本文档更新了云安全联盟 (CSA) 软件定义周界 (SDP) 规范。 1.0 版由软件定义周界工作组编写 ， 于 2014 年 4 月发布。我们相信原始规范是合理的，并为确保连接提供了坚实的架构和概念基础。然而，它在几个领域基本上保持沉默，包括 SDP 访问授权政策、入职和保护非个人实体。此外，近年来，信息安全行业已经接受了 SDP 架构中所支持的原则，这些原则包括在零信任的广泛趋势中。SDP 增强了零信任实现。对 SDP 规范的此修订版进行了扩展和增强，以包括添加，说明和扩展。请注意 ， 此版本基于工作组自版本 1 以来发布的其他文档 ， 特别是 SDP 词汇表和 SDP 体系结构指南。指向这两个文档的链接包含在本文档的参考部分中。Scope本文档指定了软件定义周界 (SDP) 实现的体系结构组件、交互和基本安全通信协议。其关注于控制平面交互以实现到安全周界的安全连接以及描述发起主机 (服务器、用户设备、服务) 与接受主机 (服务器、设备、服务) 之间的安全连接的实施的数据平面。Audience本文档的目标受众是● 在企业中部署零信任和 SDP 产品的解决方案架构师和安全领导者● 在其产品或解决方案中使用 SDP 架构实施零信任的供应商或技术提供商 © 版权所有 2021 ， 云安全联盟。保留所有权利。页面页面8of 33设计目标SDP 旨在使网络提供商和应用程序所有者能够部署动态 （ “软件定义 ” ） 边界以使网络变黑并防止对其上运行的服务进行未经授权的访问。SDP 用在组织控制下运行的逻辑组件代替物理设备，将逻辑边界缩小到最低限度。SDP 实施最小特权的零信任原则，根据访问策略，仅在设备证明和身份验证之后才提供对资源的访问。SDP 的设计目标是为 IPv4 和 IPv6 提供一种有效且易于集成的安全体系结构，包括控制平面元素和受外围保护的资源的混淆和访问控制，以及数据平面中从启动源到控制平面和接受源的通信的机密性和完整性。该设计包括需要知道的访问模型，该模型要求经过验证的设备上的经过身份验证的身份 （ 用户 ） 以密码方式登录到外围。在使用互联网等公共基础设施时，它还会使资产变黑。SDP 的设计通过多个层提供无缝集成 - 为用户，他们的设备，网络和设备集成安全性。SDP 可用于保护任何 IP 基础设施上的连接，无论是基于传统硬件的，更新的软件定义网络 (SDN) 还是基于云的。SDP 的核心能力是，它主要作为任何类型的 IP 网络的加密覆盖。它跨异构环境标准化了安全层，简化了安全性和操作。对于云基础架构 ， SDP 在以下位置集成了安全性 ：● 虚拟化 1 提供计算、存储和监控的网络层● 传输层 ， 云 API 将虚拟化资产与资源池和用户绑定在一起● 管理底层虚拟化基础架构的会话层● 中间件管理应用层的网络接入层和应用● 为用户提供业务价值的应用层作为 SDN 和 NFV 的补充 ， SDP 可以通过 SDN 创建的 IP 基础设施保护连接。基于从 SDP 的实现中获得的反馈和经验教训 ， 此更新的规范有助于阐明原始规范 2 中定义的各种部署模型中的访问控制。SDP 提供了一种有效的替代方案 ， 可以阻止对需要隐形功能的应用程序和基础架构的所有基于网络和跨域攻击 ， 同时利用 Internet 和云等公共基础架构以及 “需要知道 ” 的访问模型进行安全通信。而现有的网络安全解决方案则专注于保护在网络和系统方面 ， SDP 专注于保护连接和阻止 DDoS 、凭证盗窃等攻击。SDP 概念SDP 为应用程序和企业资源所有者提供部署外围功能的能力 ， 其中1 请参阅有关 SDP 和网络功能虚拟化 (NFV) 的论文 - https: / / www. waverleylabs. com / resources / publications /2 https: / / cloudsecurityalliance. org / artifacts / sdp - architecture - guide - v2 / © 版权所有 2021 ， 云安全联盟。保留所有权利。页面页面9of 33需要 ：● 将服务安全地部署到假定已受到威胁的网络上。● 提供远程身份 ， 并在不受信任的网络中对这些服务进行精确控制的访问。SDP 使用在应用程序所有者的控制下运行的逻辑组件替换基于外围的 （ 通常是物理的 ） 设备。 SDP 仅在通过评估访问策略进行设备证明和身份验证之后 ， 才能提供对应用程序基础架构的访问。SDP 背后的原则并不是全新的。国防部 (DoD) 和情报社区 (IC) 内的多个组织已经基于在网络访问之前的认证和授权来实现类似的网络架构。通常用于分类或 “高端 ” 网络 （ 由 DoD 定义 ），每个服务器都隐藏在远程接入网关设备后面，用户必须在获得授权服务的可见性和提供访问之前对其进行身份验证。SDP 利用分类网络中使用的逻辑模型，并将该模型纳入标准工作流程 （ 第 2.4 节 ） 。此外，该行业的安全领导者一直在拥护其中的许多概念，尤其是从 2004 年的杰里科论坛开始的。最近，美国国家标准与技术研究所 （ NIST ） 定义的零信任也包含了这些原则。SDP 保留了上述需要知道模型的优点 ， 但消除了需要远程接入网关设备的缺点。 SDP 要求端点在获得对受保护服务器和服务的网络访问之前首先进行身份验证和授权。然后 ， 在请求系统和应用程序基础设施之间实时创建加密连接。简而言之 ， SDP 以加密方式将资源 （ 用户 ， 设备 ， 服务 ） 签名到外围 ， 在该外围中 ， 服务对所有未经授权的访问保持隐藏。SDP 体系结构和组件在其最简单的形式中, SDP 包括两个逻辑组件: SDP 主机和 SDP 控制器。SDP 主机可以启动连接或接受连接。通过在控制平面上经由安全信道与 SDP 控制器的交互来管理这些动作。数据在数据平面中的单独的安全信道上传送。因此, 在 SDP 中, 控制平面与数据平面分离以实现架构