如今使用的主要安全體系結(jié)構(gòu)是什么？在“ 零信任架構(gòu)的興起 ” 的文章中，介紹于在網(wǎng)絡(luò)安全領(lǐng)域廣泛而迅速地采用這種相對較新的概念的文章。但是，今天仍在使用其他幾種安全體系結(jié)構(gòu)：傳統(tǒng)網(wǎng)絡(luò)外圍安全、遠程訪問VPN、網(wǎng)絡(luò)細分、基于角色的訪問控制、軟件定義的邊界（SDP）等。

　　傳統(tǒng)網(wǎng)絡(luò)外圍安全

傳統(tǒng)的網(wǎng)絡(luò)外圍安全性由許多不同的部分組成，所有這些部分協(xié)同工作以為網(wǎng)絡(luò)提供安全解決方案。

傳統(tǒng)上，網(wǎng)絡(luò)安全通常從用戶身份驗證開始，通常使用用戶名和密碼。此方法也稱為單因素身份驗證，通過兩因素身份驗證，將需要驗證另一項內(nèi)容，例如手機，USB驅(qū)動器甚至某種令牌。在頻譜的最高級端，還有三項身份驗證，這將涉及用戶的生物學(xué)，例如視網(wǎng)膜或指紋掃描。

驗證用戶身份后，防火墻將確保遵循訪問協(xié)議，并對用戶在網(wǎng)絡(luò)中的訪問權(quán)限施加限制。這是防止未經(jīng)授權(quán)的人訪問網(wǎng)絡(luò)的非常有效的方法。另外，可以對網(wǎng)絡(luò)上兩個主機之間的通信進行加密，以為網(wǎng)絡(luò)提供額外的安全層。

一些企業(yè)可能還會部署蜜罐。蜜罐本質(zhì)上是一種網(wǎng)絡(luò)資源，它充當網(wǎng)絡(luò)本身內(nèi)的誘餌。它們可以用作監(jiān)視工具或預(yù)警系統(tǒng)，因為蜜罐不用于任何合法的商業(yè)目的。這意味著，如果訪問了蜜罐，通常會出問題。安全團隊可以分析對蜜罐的攻擊，以及時了解新的攻擊。然后，可以通過突出顯示以前未知的漏洞，將這些發(fā)現(xiàn)應(yīng)用于進一步提高真實網(wǎng)絡(luò)中的安全級別。

與蜜罐類似，蜜網(wǎng)是誘騙的網(wǎng)絡(luò)，設(shè)置了故意的安全漏洞。這些工具旨在吸引攻擊者，以便可以分析他們的方法以提高真實網(wǎng)絡(luò)的安全性。當前，越來越多的企業(yè)正在利用網(wǎng)絡(luò)分段并將其添加到系統(tǒng)中以增強安全性。

盡管具有傳統(tǒng)的外圍安全保護的優(yōu)點，但此過程在阻止特洛伊木馬和計算機蠕蟲通過網(wǎng)絡(luò)傳播方面并不完全可靠。傳統(tǒng)上，為了解決此問題，將使用防病毒軟件或入侵防御系統(tǒng)。他們可以檢測并阻止這些攻擊的傳播。

此外，盡管該系統(tǒng)在防止外部威脅方面表現(xiàn)出色，但在防止內(nèi)部威脅方面卻無效。隨著使用自己的設(shè)備進行遠程工作的人數(shù)增加，受污染的設(shè)備可能連接到公司網(wǎng)絡(luò)的風(fēng)險也增加了，這有可能使網(wǎng)絡(luò)面臨風(fēng)險。這導(dǎo)致零信任體系結(jié)構(gòu)的日益普及。

　　遠程訪問VPN

VPN(虛擬專用網(wǎng)絡(luò))可在最初是公共的網(wǎng)絡(luò)上創(chuàng)建專用網(wǎng)絡(luò)。這樣，VPN的用戶就可以像實際連接到主專用網(wǎng)絡(luò)本身一樣，通過它們發(fā)送和接收數(shù)據(jù)。這意味著通過VPN運行的任何應(yīng)用程序都將能夠使用VPN連接的專用網(wǎng)絡(luò)的功能，安全性和管理功能。

VPN技術(shù)的最初開發(fā)是為了允許遠程用戶和不同的辦公室分支機構(gòu)訪問將在主辦公室分支機構(gòu)的網(wǎng)絡(luò)中托管的應(yīng)用程序和其他項目。要訪問VPN，用戶必須使用密碼或安全證書對自己進行身份驗證。

當企業(yè)使用VPN技術(shù)時，它可以幫助確保遠程工作人員和其他辦公室可以建立與總部網(wǎng)絡(luò)的安全連接，而沒有攻擊者通過遠程用戶滲透到網(wǎng)絡(luò)的風(fēng)險。

　　網(wǎng)絡(luò)細分

在計算機網(wǎng)絡(luò)的上下文中，網(wǎng)絡(luò)分段的做法是將計算機網(wǎng)絡(luò)分成一組子網(wǎng)。這些子網(wǎng)中的每一個都稱為一個網(wǎng)段。

對網(wǎng)絡(luò)進行分段的安全性優(yōu)勢之一是，來自分段的任何廣播都將保留在內(nèi)部網(wǎng)絡(luò)本身內(nèi)。結(jié)果，網(wǎng)絡(luò)的結(jié)構(gòu)將僅在內(nèi)部可見。

對網(wǎng)絡(luò)進行分段的另一個優(yōu)點是，如果網(wǎng)絡(luò)的某個部分確實遭到入侵，則攻擊者可以通過的表面積會減少。此外，某些類型的網(wǎng)絡(luò)攻擊僅在本地網(wǎng)絡(luò)上起作用，這意味著，如果您對系統(tǒng)的不同區(qū)域進行分段，則根據(jù)其使用情況做出這些決定。例如，如果要為數(shù)據(jù)庫，Web服務(wù)器和用戶設(shè)備創(chuàng)建單獨的網(wǎng)絡(luò)，這將有助于使網(wǎng)絡(luò)更加安全。

網(wǎng)絡(luò)分段還可以用于確保人們只能訪問他們所需的資源。這可以通過在戰(zhàn)術(shù)上將您的資源分配到各個網(wǎng)絡(luò)并將特定的人員分配給每個網(wǎng)絡(luò)段來實現(xiàn)。

正確使用網(wǎng)絡(luò)分段來提高安全級別將涉及將網(wǎng)絡(luò)分段劃分為那些不同的子網(wǎng)，并為每個子網(wǎng)分配一定級別的訪問權(quán)限。然后，您應(yīng)采取步驟確保已制定協(xié)議以限制每個子網(wǎng)之間可以移動的協(xié)議。

　　基于角色的訪問控制

基于角色的訪問控制 （RBAC）可根據(jù)用戶擁有的授權(quán)級別來幫助限制對某些系統(tǒng)的訪問。擁有500多名員工的絕大多數(shù)公司都使用基于角色的訪問控制，而中小型企業(yè)越來越多地開始使用此技術(shù)。為了最有效地使用RBAC，公司將按特定類別劃分其用戶資料。通常，它們將基于工作角色，資歷級別以及每個人基于前兩個因素所需的資源。

例如，如果組織要使用RBAC，而財務(wù)團隊的初級成員要登錄其網(wǎng)絡(luò)，則該員工將有權(quán)訪問較低級別的財務(wù)數(shù)據(jù)，這些數(shù)據(jù)將要求他們在其職務(wù)中查看。但是，他們的訪問僅限于此。例如，他們將無法查看與法律團隊有關(guān)的任何文件或數(shù)據(jù)，或者僅由高級財務(wù)團隊成員查看的文件。

當企業(yè)使用RBAC時，這是一種非常有效的方法，可以確保只有擁有查看權(quán)限的個人才能查看任何敏感數(shù)據(jù)。它還可以幫助防止故意的內(nèi)部信息泄漏。

　　軟件定義的邊界（SDP）

　　什么是軟件定義的邊界?

在組織內(nèi)創(chuàng)建零信任架構(gòu)的一種方法是創(chuàng)建或使用SDP。我們將研究什么是SDP，因此您可以做到這一點。

由于云存儲在現(xiàn)代已變得越來越普遍，由于這些云服務(wù)器無法通過傳統(tǒng)的外圍安全措施保護，因此在這些云系統(tǒng)上遭受網(wǎng)絡(luò)攻擊的風(fēng)險增加了。這導(dǎo)致在2013年創(chuàng)建了軟件定義的邊界。軟件定義的邊界是一個研究工作組。他們的重點是創(chuàng)建一個安全系統(tǒng)，以幫助防止對云系統(tǒng)的攻擊。

他們的研究結(jié)果將免費提供給公眾使用，并且不會受到任何使用費或任何其他限制。

從工作組成立之初，他們就決定嘗試并著重于構(gòu)建一種既經(jīng)濟高效又靈活又有效的安全解決方案。在工作中，團隊確定了三個基本設(shè)計要求。

首先，他們認為他們的安全體系結(jié)構(gòu)需要確認用戶的ID，他們正在使用的設(shè)備以及訪問某些目錄的權(quán)限。接下來，他們認為使用加密技術(shù)的驗證將是確保應(yīng)用其安全協(xié)議的最佳選擇。最終，確定滿足前兩個要求所需的工具是具有可靠記錄并且在公共領(lǐng)域中的安全工具。

SDP決定他們的安全體系結(jié)構(gòu)應(yīng)基于控制通道。該控制通道將使用團隊認為最適合該任務(wù)的標準組件。這些組件是SAML，PKI和相互TLS。

該工作組最終根據(jù)此想法發(fā)表了一篇論文，以評估是否需要這種系統(tǒng)。他們在這里將其命名為“軟件定義的邊界”。

SDP正在進行的工作引起了極大的興趣，這導(dǎo)致其系統(tǒng)版本1在2014年4月發(fā)布。

他們的第一個設(shè)計是由啟動主機組成的，它將向控制器提供有關(guān)正在使用什么設(shè)備以及由誰生產(chǎn)的設(shè)備的信息。該信息將與相互TLS連接一起傳輸。完成此操作后，控制器將鏈接到發(fā)出證書的CA，以確認設(shè)備的身份，還將鏈接到ID提供程序，以便他們可以驗證用戶的身份。確認此信息后，控制器將提供一個或多個相互TLS連接，這些連接將鏈接前面提到的發(fā)起主機和任何必需的接受主機。該系統(tǒng)發(fā)揮了重要作用，能夠防止任何形式的網(wǎng)絡(luò)攻擊，包括 中間人， DDoS和 高級持續(xù)威脅。

　　SDP版本1的體系結(jié)構(gòu)

用于商業(yè)用途的原始SDP產(chǎn)品是通過用于商業(yè)應(yīng)用程序的覆蓋網(wǎng)絡(luò)實現(xiàn)的，這些示例包括對高價值數(shù)據(jù)的遠程訪問或保護云系統(tǒng)免受攻擊。SDP的發(fā)起主機采用客戶端的形式，接受主機成為網(wǎng)關(guān)。

　　SDP客戶端

SDP客戶端本身負責(zé)多種功能。其中兩個包括驗證正在使用的設(shè)備和正在使用的用戶ID，以及將白名單應(yīng)用程序路由到已授權(quán)的受保護應(yīng)用程序。

SDP客戶端具有實時配置，以確保相互TLS VPN連接僅鏈接到單個用戶有權(quán)使用的項目。這意味著SDP客戶端具有根據(jù)用戶權(quán)限級別限制對某些數(shù)據(jù)點的訪問的功能。這是在驗證用戶的ID和設(shè)備之后執(zhí)行的。

　　SDP網(wǎng)關(guān)

SDP網(wǎng)關(guān)用作終止與SDP客戶端的相互TLS連接的點。從拓撲的角度來看，網(wǎng)關(guān)將被實現(xiàn)為盡可能接近受保護的應(yīng)用程序。

一旦確認了請求訪問的設(shè)備的身份并且暴露了它們的許可級別，SDP網(wǎng)關(guān)將接收IP地址及其證書。

　　SDP控制器

SDP控制器在后端安全功能之間充當受信任中間人的功能。一旦SDP客戶端已完成驗證并且已經(jīng)檢查了用戶的權(quán)限級別，SDP控制器將隨后開始配置SDP客戶端和SDP網(wǎng)關(guān)，以便它們可以通過相互TLS建立實時連接。

SDP架構(gòu)的安全性

正確實現(xiàn)所有這三個功能后，SDP體系結(jié)構(gòu)可以為您的安全系統(tǒng)提供出色的獨特屬性。這些功能在下面列出。

　　1）隱藏信息

受保護的應(yīng)用程序基礎(chǔ)結(jié)構(gòu)中沒有DNS信息，也沒有任何可見端口。因此，受SDP保護的資產(chǎn)被稱為“深色”資產(chǎn)，因為即使您進行掃描也無法發(fā)現(xiàn)它們。

　　2）預(yù)認證

嘗試訪問的設(shè)備的身份將始終在被授予連接之前進行驗證。設(shè)備的身份將使用MFA令牌進行確認，該 MFA令牌 將嵌入在TCP或雙向TLS體系結(jié)構(gòu)中。

3）預(yù)授權(quán)

僅授予SDP系統(tǒng)中用戶由于其角色而需要訪問的服務(wù)器的權(quán)限。用于確認身份的系統(tǒng)會將用戶的授權(quán)傳達給SDP控制器。這是使用SAML斷言執(zhí)行的。

　　4）應(yīng)用程序?qū)釉L問

即使授予用戶訪問應(yīng)用程序的權(quán)限，也只能在應(yīng)用程序級別，而不能在網(wǎng)絡(luò)級別。SDP還將主機使用的設(shè)備上的某些應(yīng)用程序列入白名單，這有助于將系統(tǒng)通信保持在應(yīng)用程序到應(yīng)用程序級別。

　　5）可擴展性

SDP的體系結(jié)構(gòu)是在各種基于標準的不同部分的基礎(chǔ)上創(chuàng)建的。其中包括相互的TSL，SAML和安全證書。由于SDP體系結(jié)構(gòu)由基于標準的部分組成，因此可以輕松地與其他類型的安全系統(tǒng)鏈接和集成，包括數(shù)據(jù)加密系統(tǒng)和遠程證明系統(tǒng)。

通過將預(yù)身份驗證與預(yù)授權(quán)結(jié)合使用，企業(yè)可以創(chuàng)建對于身份不明的主機不可見的網(wǎng)絡(luò)，同時僅根據(jù)已知用戶的組織角色向其提供必要的權(quán)限。

關(guān)于SDP的關(guān)鍵部分之一是，在用戶與受保護的應(yīng)用程序之間建立TCP連接之前，需要進行預(yù)認證和預(yù)授權(quán)。除此之外，將僅向授權(quán)用戶授予某些應(yīng)用程序的權(quán)限，以確保受感染的設(shè)備無法在網(wǎng)絡(luò)上橫向移動。