Программно определяемый периметр
Программно -определяемый периметр ( SDP ), также называемый « черным облаком », представляет собой подход к компьютерной безопасности , который был разработан на основе работы, проделанной Агентством оборонных информационных систем (DISA) в рамках инициативы Global Information Grid (GIG) Black Core Network . около 2007 г. [1] Платформа программно-определяемого периметра (SDP) была разработана Cloud Security Alliance (CSA) для управления доступом к ресурсам на основе идентификации. Возможность подключения в программно-определяемом периметре основана на модели « необходимо знать », в которой состояние и идентификация устройства проверяются перед предоставлением доступа к инфраструктуре приложений.[2] Инфраструктура приложений фактически «черная» (термин Министерства обороны США означает, что инфраструктура не может быть обнаружена) без видимой информации DNS или IP-адресов . [ сомнительно ] Изобретатели этих систем утверждают, что программно-определяемый периметр смягчает наиболее распространенные сетевые атаки, в том числе: сканирование серверов , отказ в обслуживании , внедрение SQL , использование уязвимостей операционной системы и приложений, вторжение человека в сеть . middle , pass-the-hash , pass-the-ticket и другие атаки неавторизованных пользователей.[3]
Предпосылкой традиционной архитектуры корпоративной сети является создание внутренней сети, отделенной от внешнего мира фиксированным периметром, состоящим из ряда функций брандмауэра, которые блокируют вход внешних пользователей, но позволяют выходить внутренним пользователям. [4] Традиционные фиксированные периметры помогают защитить внутренние службы от внешних угроз с помощью простых методов блокировки видимости и доступа из-за пределов периметра к внутренним приложениям и инфраструктуре. Но недостатки этой традиционной модели фиксированного периметра становятся все более проблематичными из-за популярности устройств, управляемых пользователями, и фишинговых атак, обеспечивающих ненадежный доступ внутри периметра, а также SaaS иIaaS расширяет периметр до Интернета. [5] Программно определяемые периметры решают эти проблемы, предоставляя владельцам приложений возможность развертывать периметры, которые сохраняют ценность традиционной модели невидимости и недоступности для посторонних, но могут быть развернуты где угодно — в Интернете, в облаке, в хостинг-центре, в частной корпоративной сети или в некоторых или во всех этих местах. [2]
В своей простейшей форме архитектура SDP состоит из двух компонентов: узлов SDP и контроллеров SDP.[6] Хосты SDP могут либо инициировать соединения, либо принимать соединения. Эти действия управляются взаимодействием с контроллерами SDP через канал управления (см. рис. 1). Таким образом, в программно-определяемом периметре плоскость управления отделена от плоскости данных для обеспечения большей масштабируемости. Кроме того, все компоненты могут быть избыточными для повышения доступности.
Хотя общий рабочий процесс остается одинаковым для всех реализаций, применение SDP может отдавать предпочтение одним реализациям по сравнению с другими.
В реализации «клиент-шлюз» один или несколько серверов защищены принимающим узлом SDP, так что принимающий узел SDP действует как шлюз между клиентами и защищенными серверами. Эта реализация может использоваться внутри корпоративной сети для смягчения распространенных атак с боковым перемещением, таких как сканирование серверов, использование уязвимостей ОС и приложений, взлом паролей, «человек посередине», Pass-the-Hash (PtH) и другие. [6] [7] [8] Кроме того, он может быть реализован в Интернете для изоляции защищенных серверов от неавторизованных пользователей и смягчения атак, таких как отказ в обслуживании, использование уязвимостей ОС и приложений, взлом паролей, посредник , и другие. [9] [10]
