安全邊界曾經(jīng)是在分界線內(nèi)部的區(qū)域，該區(qū)域?qū)⒄J(rèn)為不安全或不受信任的外部與認(rèn)為安全或受信任的內(nèi)部分隔開。在物理世界中，外圍的外邊緣受by溝，柵欄或墻壁保護(hù)，在入口點(diǎn)檢查收入者。在虛擬網(wǎng)絡(luò)中，防火墻傳統(tǒng)上會(huì)保護(hù)邊界，并且靜態(tài)策略會(huì)驗(yàn)證用戶并授予他們?cè)L問權(quán)限。其他策略可保護(hù)敏感資源免受惡意入侵者的攻擊，這些入侵者基于策略逃避了檢測(cè)。

在靜態(tài)環(huán)境中，該策略相當(dāng)有效，在靜態(tài)環(huán)境中，數(shù)據(jù)和關(guān)鍵資源通常位于本地。在希望從任何地方，任何時(shí)間，從任何設(shè)備進(jìn)行連接的移動(dòng)工作人員訪問的基于多云的環(huán)境中，該模型是不可持續(xù)的。新現(xiàn)實(shí)導(dǎo)致零信任安全的出現(xiàn)，該零信任安全是為當(dāng)今基于云的網(wǎng)絡(luò)設(shè)計(jì)的。

當(dāng)今最先進(jìn)的零信任體系結(jié)構(gòu)是軟件定義的邊界（SDP）的體系結(jié)構(gòu)。在SDP中，與以前的資源和以數(shù)據(jù)為中心的外圍區(qū)域不同，安全措施集中于單個(gè)用戶及其設(shè)備。

用戶和設(shè)備都受到監(jiān)視，甚至在每次連接時(shí)都需要驗(yàn)證受信任設(shè)備上的受信任用戶，然后才可以訪問單個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)的微分段部分。

驗(yàn)證過程包括人和機(jī)器元素，因此用戶和設(shè)備均得到驗(yàn)證。人工驗(yàn)證步驟要求用戶通過身份驗(yàn)證確認(rèn)其身份，并通過授權(quán)確認(rèn)其特權(quán)訪問級(jí)別。

但是，僅僅驗(yàn)證人類用戶還不夠。由于設(shè)備可以訪問軟件定義網(wǎng)絡(luò)（SDN），因此它已與SDP集成在一起，因此也需要進(jìn)行驗(yàn)證。這是通過機(jī)器驗(yàn)證完成的。試圖從不受信任的設(shè)備連接的受信任用戶被拒絕訪問所請(qǐng)求的資源。

驗(yàn)證用戶和設(shè)備后，SDP定義的策略將根據(jù)特權(quán)訪問級(jí)別來校準(zhǔn)用戶連接，將特權(quán)級(jí)別限制為該用戶/設(shè)備對(duì)可用的最低級(jí)別，并且限制對(duì)單一資源的訪問，防止橫向移動(dòng)。

SDP包含三個(gè)主要組件：

· SDP客戶端

· SDP控制器

· SDP網(wǎng)關(guān)

　　SDP客戶端

SDP客戶端是安裝在外圍設(shè)備中每個(gè)端點(diǎn)上的軟件。SDP客戶端功能包括設(shè)備驗(yàn)證和隧道設(shè)置。

設(shè)備驗(yàn)證功能本身在SDP供應(yīng)商之間有所不同。

· 用戶和實(shí)體行為分析：監(jiān)視端點(diǎn)或設(shè)備是否存在可疑行為，這些行為可能表明該行為已受到威脅，并且需要其他身份驗(yàn)證/驗(yàn)證或斷開設(shè)備連接。

· 端點(diǎn)檢測(cè)和響應(yīng)：監(jiān)視端點(diǎn)或設(shè)備是否存在威脅跡象，并消除威脅或斷開設(shè)備連接。

· 遠(yuǎn)程瀏覽器隔離：通過在外部接口上定位所有基于瀏覽器的活動(dòng)來防止對(duì)設(shè)備的攻擊。隨著設(shè)備與瀏覽器分離，基于瀏覽器的威脅將被消除。

· 沙箱測(cè)試：一種隔離的測(cè)試環(huán)境，用于測(cè)試可能包含病毒或其他惡意軟件的可疑程序，而不允許該軟件損害主機(jī)設(shè)備

· 數(shù)據(jù)清理AKA內(nèi)容撤防和重建：將所有下載的文件沙箱化，解析所有可執(zhí)行代碼并重建文件，而無需任何未經(jīng)批準(zhǔn)的可執(zhí)行代碼。這樣可以消除惡意的可執(zhí)行文件下載。

　　SDP控制器

它在SDP客戶端和SDP網(wǎng)關(guān)之間配置傳輸層安全性連接。該加密隧道執(zhí)行兩項(xiàng)功能

· 通過綁定到您的云解決方案進(jìn)行身份驗(yàn)證并檢查任何連接請(qǐng)求的授權(quán)，它可以充當(dāng)客戶端和后端資源之間的受信任通道。

· 它帶有一個(gè)證書頒發(fā)機(jī)構(gòu)，它在客戶端和遠(yuǎn)程資源之間建立加密的隧道。

SDP網(wǎng)關(guān)

SDP網(wǎng)關(guān)是獲得對(duì)請(qǐng)求資源的訪問權(quán)之前的最后檢查。它盡可能靠近請(qǐng)求的資源，并通過SDP控制器確認(rèn)客戶端已被授權(quán)，確認(rèn)和驗(yàn)證，并可以被授予對(duì)請(qǐng)求會(huì)話的資源訪問權(quán)限。

收到確認(rèn)后，網(wǎng)關(guān)允許連接到應(yīng)用程序。

與在第2層停止的MAC連接不同，SDP控制器和網(wǎng)關(guān)覆蓋了第7層之前的所有層。

　　這在現(xiàn)實(shí)生活中將如何運(yùn)作？

SampleCompany已配備了SDP，并且所有員工的設(shè)備都已更新。

他們的銷售代理商Sidney需要從他的手機(jī)訪問SalesManagementApp。他點(diǎn)擊該應(yīng)用程序進(jìn)行連接，發(fā)送包含加密密鑰的單數(shù)據(jù)包授權(quán)。

通過其公鑰基礎(chǔ)結(jié)構(gòu)，SDP控制器可以檢查密鑰。由于密鑰正確，因此可以識(shí)別并驗(yàn)證Sidney。

如果控制器PKI確認(rèn)了Sidney的身份及其手機(jī)的完整性，則SDP控制器將在Sidney的手機(jī)和SDP網(wǎng)關(guān)之間創(chuàng)建一個(gè)加密的隧道。然后，該網(wǎng)關(guān)允許Sidney的移動(dòng)設(shè)備訪問SalesManagementApp。

但是，即使SalesAnalyticsApp與SalesManagementApp駐留在同一服務(wù)器上，并且Sidney擁有訪問它的必需特權(quán)，他也將必須經(jīng)歷相同的過程才能訪問SalesAnalyticsApp。

在Sidney的移動(dòng)設(shè)備始終連接到SalesManagementApp的整個(gè)過程中，SDP客戶端和SDP網(wǎng)關(guān)之間的通信將繼續(xù)。如果在連接期間任何時(shí)候Sidney的移動(dòng)設(shè)備遭到破壞，則連接將被斷開，并且侵入Sidney的移動(dòng)設(shè)備的惡意行為者將被鎖定在整個(gè)SDP中。

如果客戶端的密鑰被盜用或無效，則其連接將立即被阻塞，并且網(wǎng)絡(luò)上所有應(yīng)用程序的可見性都將被切斷。如果機(jī)器顯示出受到威脅的跡象，則將不再將其視為受信任的機(jī)器，并會(huì)立即從網(wǎng)絡(luò)和對(duì)任何資源的訪問中斷開。

SDP的整個(gè)目標(biāo)是防止對(duì)應(yīng)用程序的網(wǎng)絡(luò)攻擊，但是在您的網(wǎng)絡(luò)中使用SDP還有其他一些優(yōu)點(diǎn)，包括：

· 通過加密隧道保密

· 在SDP協(xié)議中使用TLS反DOS令牌的DOS保護(hù)

· 地理位置保護(hù)

· 分割消除橫向運(yùn)動(dòng)

· 信息混淆

· 事件響應(yīng)

· 隔離

以上就是關(guān)于云中的零信任網(wǎng)絡(luò)：從傳統(tǒng)的安全范圍到軟件定義的范圍的全部內(nèi)容，想了解更多關(guān)于網(wǎng)絡(luò)安全的信息，請(qǐng)繼續(xù)關(guān)注中培偉業(yè)。