現(xiàn)代網(wǎng)絡(luò)邊界管理:從VPN過渡到SDP的四個(gè)原因

責(zé)任編輯:cres

2020-06-16 13:35:01

摘自:sdnlab

軟件定義的邊界(SDP)是由云安全聯(lián)盟開發(fā)的一種安全框架,它根據(jù)身份控制對(duì)資源的訪問。

成功地保護(hù)網(wǎng)絡(luò)邊界一直是企業(yè)的一項(xiàng)重要任務(wù),但近年來,這也成為了一個(gè)極具挑戰(zhàn)性的問題。企業(yè)必須確保越來越多的合作伙伴、第三方供應(yīng)商以及員工對(duì)這些關(guān)鍵資產(chǎn)的安全訪問,從本地硬件到私有云和公共云,應(yīng)用程序和數(shù)據(jù)被托管在多個(gè)位置。

目前由于許多國家/地區(qū)處于封鎖狀態(tài),在家工作的員工比以往任何時(shí)候都要多,他們從不同的設(shè)備、連接和位置登錄。而這種遠(yuǎn)程辦公的工作方式使問題變得更加復(fù)雜,加劇了保護(hù)網(wǎng)絡(luò)邊界的挑戰(zhàn)。

這種工作模式的變化帶來了一定的風(fēng)險(xiǎn),因?yàn)榕f的虛擬專用網(wǎng)(VPN)不再足以保護(hù)企業(yè)的數(shù)據(jù)和關(guān)鍵資產(chǎn)。在這個(gè)遠(yuǎn)程工作、復(fù)雜的生態(tài)系統(tǒng)和云托管時(shí)代,如果企業(yè)真正希望保護(hù)自己的網(wǎng)絡(luò)邊界,他們需要一個(gè)合適的現(xiàn)代化解決方案。

軟件定義的邊界(SDP)可能是解決問題的答案。

SDP到底是什么?

軟件定義的邊界(SDP)是由云安全聯(lián)盟(CSA)開發(fā)的一種安全框架,它根據(jù)身份控制對(duì)資源的訪問。該框架基于美國國防部的“need to know”模型——每個(gè)終端在連接服務(wù)器前必須進(jìn)行驗(yàn)證,確保每臺(tái)設(shè)備都是被允許接入的。其核心思想是通過SDP架構(gòu)隱藏核心網(wǎng)絡(luò)資產(chǎn)與設(shè)施,使之不直接暴露在互聯(lián)網(wǎng)下,使得網(wǎng)絡(luò)資產(chǎn)與設(shè)施免受外來安全威脅。

SDP的架構(gòu)

SDP的架構(gòu)

SDP有時(shí)被說成是“黑云”,因?yàn)閼?yīng)用架構(gòu)是“黑”的——根據(jù)美國國防部的定義,這個(gè)“黑”代表了架構(gòu)無法被檢測到。如果攻擊者無法知道目標(biāo)在何方,那么攻擊將無法進(jìn)行。因此,在SDP架構(gòu)中,服務(wù)器沒有對(duì)外暴露的DNS或者IP地址,只有通過授權(quán)的SDP客戶端才能使用專有的協(xié)議進(jìn)行連接。

從VPN過渡到SDP的四個(gè)原因

1.安全性

遠(yuǎn)程工作時(shí)員工需要隨時(shí)隨地訪問其網(wǎng)絡(luò),這意味著必須在企業(yè)范圍之外提供數(shù)據(jù)和應(yīng)用程序,從而增加了風(fēng)險(xiǎn)并擴(kuò)大了攻擊面。然而,VPN不足以保護(hù)數(shù)據(jù)、操作和客戶。

VPN可能會(huì)使企業(yè)面臨被攻擊的風(fēng)險(xiǎn),原因如下:

一旦通過VPN網(wǎng)關(guān),攻擊者就可以在專用網(wǎng)絡(luò)內(nèi)操作 暴露在Internet上的VPN網(wǎng)關(guān)是經(jīng)常受到攻擊的對(duì)象 從VPN網(wǎng)關(guān)到內(nèi)部資產(chǎn)的數(shù)據(jù)通常是未加密的,這使得網(wǎng)絡(luò)上的數(shù)據(jù)容易受到中間人攻擊

盡管VPN確實(shí)創(chuàng)建了一個(gè)更安全的網(wǎng)絡(luò)連接,但它們不是完全安全的。經(jīng)驗(yàn)豐富的黑客可以很容易地入侵VPN,一旦獲得訪問權(quán)限,攻擊就可以在數(shù)據(jù)中心內(nèi)的服務(wù)器之間迅速傳播。通常,VPN代表單點(diǎn)故障:一旦它被攻擊,就沒有進(jìn)一步的安全控制措施來阻止傳播。

SDP的架構(gòu)1

幸運(yùn)的是,這些關(guān)鍵的痛點(diǎn)可以通過一個(gè)統(tǒng)一的網(wǎng)絡(luò)訪問解決方案輕松解決——軟件定義的邊界(SDP),該解決方案提供對(duì)云環(huán)境、應(yīng)用程序和本地服務(wù)的安全、分段和審核訪問。使用SDP,可以通過用戶身份而不是IP地址來控制對(duì)資源的訪問。這提供了零信任安全,并確保僅授權(quán)用戶才能訪問適當(dāng)?shù)臄?shù)據(jù)和應(yīng)用程序。

SDP的架構(gòu)2

2.速度

部署VPN是一個(gè)耗時(shí)的過程,需要考慮大量場景、編寫規(guī)則以及評(píng)估用戶。

使用SDP所需要做的就是將數(shù)據(jù)包推送到用戶的設(shè)備上。因此,SDP可以在一夜之間向數(shù)千名用戶推出,從而快速提供所需的安全性并為IT團(tuán)隊(duì)節(jié)省寶貴的時(shí)間。

3.簡單性

眾所周知,VPN很復(fù)雜,其設(shè)計(jì)、管理和維護(hù)是出了名的困難,每次添加新用戶或VPN時(shí),都需要編寫新的防火墻規(guī)則集。對(duì)于IT團(tuán)隊(duì)而言,這相當(dāng)于創(chuàng)建了一個(gè)永無止境的待辦事項(xiàng)清單。

通過簡化跨網(wǎng)絡(luò)、用戶和設(shè)備的安全管理,SDP簡化了這項(xiàng)任務(wù)。由于SDP是基于身份的,因此它們可以快速擴(kuò)展并做出智能反應(yīng)。更改IP地址、環(huán)境和網(wǎng)絡(luò)拓?fù)洳粫?huì)產(chǎn)生任何影響,并且可以通過線性工作將無數(shù)的服務(wù)器和端點(diǎn)添加到現(xiàn)有環(huán)境中。

SDP的出現(xiàn)提供了一種整體解決方案,從而消除了整個(gè)安全棧對(duì)硬件的依賴,并且僅使用軟件即可部署、管理和可視化網(wǎng)絡(luò)連接。這樣就可以集成強(qiáng)大的API,以及分析和可視化網(wǎng)絡(luò)流量的能力。

4.成本

VPN通?;诎嘿F的硬件,其復(fù)雜性還意味著需要一個(gè)專門的團(tuán)隊(duì)來管理,每次添加元素都會(huì)產(chǎn)生額外的成本。盡管VPN可以連接多個(gè)地理位置分散的端點(diǎn)、數(shù)據(jù)中心和虛擬私有云,提供了一定的靈活性,但是建立和維護(hù)這些連接需要大量資源和不斷增加的費(fèi)用。

SDP顯著降低了成本,它們是基于軟件的,被設(shè)計(jì)為在現(xiàn)有基礎(chǔ)設(shè)施上工作,因此無需每次都購買昂貴的硬件。而且,由于它們更易于管理和擴(kuò)展,大大減輕了IT團(tuán)隊(duì)的負(fù)擔(dān),使他們可以騰出時(shí)間從事其他有價(jià)值的工作。

網(wǎng)絡(luò)管理未來的解決方案

當(dāng)然,SDP也存在著一些潛在的挑戰(zhàn),另外其尚未在歐洲、中東和非洲等地區(qū)得到廣泛的普及,而北美在這方面處于領(lǐng)先地位。但是,無論是為了應(yīng)對(duì)網(wǎng)絡(luò)擴(kuò)張、增加遠(yuǎn)程工作、還是兩者兼而有之,目前歐洲乃至歐洲以外的絕大多數(shù)企業(yè)都迫切需要確保對(duì)其網(wǎng)絡(luò)邊界進(jìn)行適當(dāng)?shù)谋Wo(hù)和管理。

從安全性到速度、從簡單性到節(jié)省成本,SDP在這些重要的方面上超過了VPN。部署SDP將使企業(yè)有信心應(yīng)對(duì)不斷增長的網(wǎng)絡(luò)邊界所帶來的威脅,使他們有一個(gè)強(qiáng)大的基礎(chǔ),以應(yīng)對(duì)新的工作模式帶來的挑戰(zhàn)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)