安全邊界曾經是在分界線內部的區域，該區域將認為不安全或不受信任的外部與認為安全或受信任的內部分隔開。在物理世界中，外圍的外邊緣受by溝，柵欄或墻壁保護，在入口點檢查收入者。在虛擬網絡中，防火墻傳統上會保護邊界，并且靜態策略會驗證用戶并授予他們訪問權限。其他策略可保護敏感資源免受惡意入侵者的攻擊，這些入侵者基于策略逃避了檢測。

在靜態環境中，該策略相當有效，在靜態環境中，數據和關鍵資源通常位于本地。在希望從任何地方，任何時間，從任何設備進行連接的移動工作人員訪問的基于多云的環境中，該模型是不可持續的。新現實導致零信任安全的出現，該零信任安全是為當今基于云的網絡設計的。

當今最先進的零信任體系結構是軟件定義的邊界（SDP）的體系結構。在SDP中，與以前的資源和以數據為中心的外圍區域不同，安全措施集中于單個用戶及其設備。

用戶和設備都受到監視，甚至在每次連接時都需要驗證受信任設備上的受信任用戶，然后才可以訪問單個網絡的網絡的微分段部分。

驗證過程包括人和機器元素，因此用戶和設備均得到驗證。人工驗證步驟要求用戶通過身份驗證確認其身份，并通過授權確認其特權訪問級別。

但是，僅僅驗證人類用戶還不夠。由于設備可以訪問軟件定義網絡（SDN），因此它已與SDP集成在一起，因此也需要進行驗證。這是通過機器驗證完成的。試圖從不受信任的設備連接的受信任用戶被拒絕訪問所請求的資源。

驗證用戶和設備后，SDP定義的策略將根據特權訪問級別來校準用戶連接，將特權級別限制為該用戶/設備對可用的最低級別，并且限制對單一資源的訪問，防止橫向移動。

SDP包含三個主要組件：

· SDP客戶端

· SDP控制器

· SDP網關

　　SDP客戶端

SDP客戶端是安裝在外圍設備中每個端點上的軟件。SDP客戶端功能包括設備驗證和隧道設置。

設備驗證功能本身在SDP供應商之間有所不同。

· 用戶和實體行為分析：監視端點或設備是否存在可疑行為，這些行為可能表明該行為已受到威脅，并且需要其他身份驗證/驗證或斷開設備連接。

· 端點檢測和響應：監視端點或設備是否存在威脅跡象，并消除威脅或斷開設備連接。

· 遠程瀏覽器隔離：通過在外部接口上定位所有基于瀏覽器的活動來防止對設備的攻擊。隨著設備與瀏覽器分離，基于瀏覽器的威脅將被消除。

· 沙箱測試：一種隔離的測試環境，用于測試可能包含病毒或其他惡意軟件的可疑程序，而不允許該軟件損害主機設備

· 數據清理AKA內容撤防和重建：將所有下載的文件沙箱化，解析所有可執行代碼并重建文件，而無需任何未經批準的可執行代碼。這樣可以消除惡意的可執行文件下載。

　　SDP控制器

它在SDP客戶端和SDP網關之間配置傳輸層安全性連接。該加密隧道執行兩項功能

· 通過綁定到您的云解決方案進行身份驗證并檢查任何連接請求的授權，它可以充當客戶端和后端資源之間的受信任通道。

· 它帶有一個證書頒發機構，它在客戶端和遠程資源之間建立加密的隧道。

SDP網關

SDP網關是獲得對請求資源的訪問權之前的最后檢查。它盡可能靠近請求的資源，并通過SDP控制器確認客戶端已被授權，確認和驗證，并可以被授予對請求會話的資源訪問權限。

收到確認后，網關允許連接到應用程序。

與在第2層停止的MAC連接不同，SDP控制器和網關覆蓋了第7層之前的所有層。

　　這在現實生活中將如何運作？

SampleCompany已配備了SDP，并且所有員工的設備都已更新。

他們的銷售代理商Sidney需要從他的手機訪問SalesManagementApp。他點擊該應用程序進行連接，發送包含加密密鑰的單數據包授權。

通過其公鑰基礎結構，SDP控制器可以檢查密鑰。由于密鑰正確，因此可以識別并驗證Sidney。

如果控制器PKI確認了Sidney的身份及其手機的完整性，則SDP控制器將在Sidney的手機和SDP網關之間創建一個加密的隧道。然后，該網關允許Sidney的移動設備訪問SalesManagementApp。

但是，即使SalesAnalyticsApp與SalesManagementApp駐留在同一服務器上，并且Sidney擁有訪問它的必需特權，他也將必須經歷相同的過程才能訪問SalesAnalyticsApp。

在Sidney的移動設備始終連接到SalesManagementApp的整個過程中，SDP客戶端和SDP網關之間的通信將繼續。如果在連接期間任何時候Sidney的移動設備遭到破壞，則連接將被斷開，并且侵入Sidney的移動設備的惡意行為者將被鎖定在整個SDP中。

如果客戶端的密鑰被盜用或無效，則其連接將立即被阻塞，并且網絡上所有應用程序的可見性都將被切斷。如果機器顯示出受到威脅的跡象，則將不再將其視為受信任的機器，并會立即從網絡和對任何資源的訪問中斷開。

SDP的整個目標是防止對應用程序的網絡攻擊，但是在您的網絡中使用SDP還有其他一些優點，包括：

· 通過加密隧道保密

· 在SDP協議中使用TLS反DOS令牌的DOS保護

· 地理位置保護

· 分割消除橫向運動

· 信息混淆

· 事件響應

· 隔離

以上就是關于云中的零信任網絡：從傳統的安全范圍到軟件定義的范圍的全部內容，想了解更多關于網絡安全的信息，請繼續關注中培偉業。