軟件定義邊界(SDP) SDP設 SDP概 SDP的架構和組 SDP部署模 SDP工作流 IH加載流程示 SDP協 IH–AH協 附錄B：OSI/SDP組件映 用和服務進行隔離。SDP提供了隔離的、按需的和動態配置的可信邏輯層，緩解來自企業內外SDP，可以實現零信任安全的目標，并且建立有效性CSA(SDPWG)20144(SDP)V1.0》（以下簡稱“SDPv1”）Entities）等方面的問題1SDPv1發布以來，SDP架構得到業界廣泛認可，并包含在SDP（包SDPSDPv1及后期發布的其他文檔進行修訂，SDP的架構組件、交互流程和基礎安全通信協議，重點關注控制平面如SDPSDP將物理的安全設備替換為安全邏輯組件，無論組件部署在何處，都在企業的控制之下，從而最大程度地收縮邏輯邊界。SDP執行零信任原則，即強制執行最小特權訪問、假設被入侵、SDP的設計初衷是為IPv4和IPv6網絡提供有效且易于集成的安全架構，包括對控制平面SDP的設計理念上提供多個層次的無縫集成–包括用戶、用戶設備、網絡和設備的安全。SDPIP的基礎設施，無論是基于硬件的傳統網絡、軟件定義網絡(SDN)，還是基于云計算的基礎設施。SDPIP網未集成SDPOSI層是數據鏈路層和物理層，TCP/IP網絡模型將這兩層合并為網絡層。SDPB。SDN和網絡功能虛擬化(NFV)的補充，SDPSDNIP基于過往的反饋以及《SDP1.0》實施中的經驗教訓，本次更新的《SDP標準規范2.0》將進一步闡明上一版本標準規范中定義的以及《SDP架構指南》白皮書中闡述的各種部署SDP側重于以身份為中心保護SDPSDP（通常是物理的SDPP背后的原理并非全新的。美國國防部（oD）和美國情報機構（IC）內的多個組織，已經實施構建了相應的網絡架構，即訪問網絡之前先進行身份驗證和授權。通常在機密或“高端”（如國防部定義的網絡P借鑒了機密網絡中使用的邏輯模型，4年舉辦的rcho（NIT中定義的零信任架構中也包含了這些原則。SDP保留了上述“需知”（最小特權）模型的優點，同時克服了必須借助遠程訪問網關設備的SDP簡單來說，SDP由兩個邏輯組件構成：SDPSDP1:SDP架構（CSA在《軟件定義的邊界和零信任》中發布SDP云中）SDP主機可以相互通信。一旦用戶（IH上）連接到控制器，控制器將對該用戶進行身份驗證，并根據用戶的上下文（包括身份和設備屬性）判定是否允許其訪問被授權的服務（AHs）。識存儲）來輸入。通過這種方式，SDPNIST定義的零信任原則中的動態零信任策（IH上的）用戶。此外，控制器可以向其他網絡組件提供上下文信息，例如有關用戶身份驗SDPPDPSDP架構的配置需求，它可以部署在云SDP控制器由單包授權（SPA）協議的隔離機制保護，使其對未授權的用戶和設備不可見和SDP網關提供，也可以由控制器本身提供。SDPSDPIHsSDPAH接受主機來訪問受保護的公司資IH在認證階段提供用戶身份、硬件或軟件清單以及設備健康狀況等信息。IH提供某種機制（如憑證密鑰）IHAH建立安全通信。IHWeb瀏覽器。使用客戶端程序可以SDP份的訪問控制。AH可以位于本地、私有云、公共云等各種環境中。AH保護的服務不僅限于WebTCP-UDP如上所述，AHIHAH服務AH(SDP網關服務服務SDP3介紹了多種SDP組件的配置。SDPIaaS、PaaS平臺上運行的服務或容器化的服務。SDP部署模型。盡管不同模型使用了不同的網絡拓撲，但在邏輯上提供了同樣的價值，都是對受保護的資源進行嚴格的訪問限制。要請參閱《SDP架構指南》6了解這些SDP控制器。SDP網關。SDPSDP接受主機（AH）的軟件程序，為受SDP保護by 當一個或多個服務器需要被SDP（IH）和接客戶端-服務器模由SDP由SDP SDP（AH）的功能。服務器-服務器模由由SDP SDPSDPSDP

在一些點對點的通信場景中（VOIP、聊天和視頻會議服務等），點對點的流量都通過中SDPSDP保護SDP保護

SDPSDP

SDPSDP SDP1.0中未包含網關-網關模型。這個模型很適合用于某些物聯網場景。在這個模3SDPSDP組件均有獨立流程）和訪問流程（在多個組件之間協調）SDP組件都有一SDPSDP部署模SDP系統都需要一個或多個控制器。為了讓加載流程得以成功，至少必須保證有一個SDP實現方案中，需要一個始終在線的控制器使訪問流程SDP組件的運行位置進行網絡訪問。因此，它們通常是SDP4–4所示：一個初始的（主要的）SDP控制器被引入服務，并連接到適當OpenID、OAuth、LDAP、Kerberos、多因子身份驗證和其他此類服務）。SDP控制器應該時刻在SDP組件隨時可用。如有必要，也可以讓后續更多的控制器上線，并使用SDPSDP實現方SDPAHSDP部署模型進行AH可以是長期在線的，也可以是短暫的——兩者在SDP實施中都是可以接受的。獨立網關AH可能壽命較長，運行數月或數年。但也可能是短暫的，如在基于負載進行擴展或收縮的動態WebDevOps基礎設施的一部分服務。SDPAH5AHSDP系統中的一個或多個控SPAIH的訪問。任何DPAH都可以被配置為連接到控制器集群中。由于這種機制依賴于具體實現方案，因此具體內容不在本文的討論范圍內。同樣地，許多DP實現方案都支持AHSDP系統中的其他所有組件一樣，IH6所示。在這個流程中，它們首先需要被配置連接到控制器所需的初始參數信息：包括網絡信息（IP地址），以及任何必要的共享密鑰（例如，SPA密鑰、數字證書）。由于這種機制依賴于具體實現方案，因此具體內容不在本文的討論范圍內。通常，IH加載流程需要使用到企業身份管理服務供應商，并且在用IHSDPSPA6–發起主機(IH)IH重新上線時（例如，在設備重新啟動后，或當用戶啟動連接時）SDPIH重新上線時（例如，在設備重新啟動后，或當用戶啟動連接時）SDPIH3SDPAHIHAHSDPIHAHIHSPAAHSPAIHAHTLS（mTLS）IHSDP控制器、IH、AH2所示的部署模型以及具體實現方案的不同情況會有差異。SDP系統的創建和運行可以通過應用程序編程接口（API）或管理界面進行。SDPSDPAH上線。以下時序圖是使用了外部身份提供商（IdP）IH用戶加載流程7。8（IdP場景SDPSDPSAML令牌）SDPSDP組件建立網絡解決方案（VPN）形成了鮮明的對比，后者往往暴露在互聯網上的所有惡意攻擊者面前。8性密碼“HOTP”9SPA包中如何使用它。SPA替代方案章節部分。AH，都采用這樣的原則。連接的建立，即使DoS攻擊還在進行中。任何其他報文，則應將其視為攻擊。因此，SPASDP能夠根據單個惡意報文確定攻擊。SPASDP系統TCPSPATCPSPASDP組件將向所有遠程(和TCPSPA，TCPSPA包來鑒別攻擊，但這種識TCP連接之后才能做到，因此會消耗服務器資源。DNS服務進行連接可能會降低服務對攻擊者的可見性。也就是說，SDP服務攻擊面（SDPDDoS攻擊）。SPASPASDP標準規v1版做了改進和更新。SPA報文在短時間內的有效性(1530秒)，以防止處SPA報文。這也提供了一種機制減少接收方所需的重放SPA報文在短時間內的有效性(1530秒)，以防止處SPA報文。這也提供了一種機制減少接收方所需的重放IP發起主機的公開可見IPIP地址，IH必須能夠獲得IPAHIH這個一次性哈希密碼是基于RFC4226所描述的算法以及共享密鑰生成的。SPAOTPOTPSPAHMAC基于上述所有字段計算得出。算法可選擇SHA256(推薦)、SHA384、SHA512、SM3、Equihash或其他高效魯棒的算法。HMAC使用共享(密鑰)SPAHMAC值，AHSPA消息的完整性。HMAC驗證在計算上是DoS攻擊的彈性能力。任何帶有無HMACSPA量級驗證機制(HMAC)AHDoS攻擊的彈性。SDP系統中，SPA的一個有趣的“副產品”用例是，SPA包不僅可以用作發起連接的手段，SDP客戶端發布的。SPA種子密鑰對于特定的客戶端是唯一的(SPAClientID標識)，那么消息內TCPTLS連接。這個方案對一組需要定期傳輸少量數據的分布式物聯網傳感器很有用。將數據嵌入到A/LSAH)A報文傳輸被收到，發送方也不會收到確認消息。盡管如此，在某些數據并非關鍵且事關重大的場景下，A數據傳輸可以是一種有用的方案。SDP部署模型。例如，SDP定義了六種部署模型，每種部署模型都可以用來解決不同的場景，以不同DDoS攻擊的彈性應對能力，并提高了檢測攻擊的能力。SPA還具有SDP成為一個閉環系統的優勢：一旦種子密鑰被分發后，IHAHSDPSPASDP系統可以式下，IHSDPAHIHAHTCPAH已經預期到這個連接。當然，TCP連接之后緊跟著會TLS連接（mTLS），以及下文將闡述的其他安全層。SPASDP系統的組成部分。SDP組件之間建立安全加密連接的關鍵步SDPSPA進行安全校驗和授權后，SDPTLS或其他替代方案（IKE），SDP的授權成員。具體而言，發起主機和接受主機（IH-AH）、發起主機到控制器（IH控制器）以及控制器到AH之間的連接必須使用雙向認證。請注意，TCPUDPTLS（UDP情況下，它被稱為PKISDPCA。它不能依賴預裝的或與用戶瀏覽器攻擊（mTLS可以避免這種攻擊）。SDP的訪問設備擁有一個未過期且未被吊銷SDP網關也在企業的控制下，13SDP控制器。此AHmTLS身份驗證的正確SDP的驗證和授權的，都會被丟棄，因此該過SDP系統必須具備與企業設備管理/端點管理系統進行集成的能力，并將其設備安全態勢檢SDP設計方案有關：是否使用設備信息作為訪問策略決策SDPNIST800-207文檔中的有兩個核心零信任原則：系統必須確保“所有數據源和計算服務”以及“所有通信”的安全訪問，14IoT的概念，不SDPIH主機沒有區別。我們在這里著重討論以下三類SDP系統中。SDPIH。SDP架構對來自這些設備和可能來自這些設備的其他通信模型保持開放兼容。例如一組低功耗、SDPSPA報文來TLS連接，也不需要認證，以一種非常輕量級的方式安全15傳輸零信任的核心理念是通過訪問策略對受保護資源進行訪問控制(回顧一下零信任的關鍵概 早期的零信任文檔往往對策略這個話題閉口不談。例如，SDP標準規范的第一版沒有 NIST800-207

MFA網絡位置(IP地址的訪問)、數據CISA零信任成熟度模型并不直接對策略下定義，而是通過給出不同成熟度級別下的系統能SDP客戶端軟件運行在用戶設備上的場景，零信任策略模型不在SDPv2的討論范圍內，但它是SDP和零信任工作組甚至整個SDPSDP協議包括四個部分:AH–控制器協議、IH–控制器協議-、IH–AH協議和日志，SDPSDPSPA進行通信，但它不是SDP部署模型將需要不同的交互和消息。這里的目標是展示一個可運行的IH登IH身份認證。TCPTLSUDP的無連接協議(DTLS)也是可以接受的，但為了簡化起見，下文就不進行贅述了。單包授權打開TCP雙向TLS單包授權打開TCP雙向TLS10AHAH指令數據指令數據(指令長度SPAAHAHSPATCPSPA報文合法有TCP連接。接下來是建立mTLSUDPDTLSUDP登錄請求消息由AHAH加入SDP。請注意，AHAH自身的標識和認證憑據，以便控制器識別認證。AH的連接。AHTCP狀態碼（16位AHID（256位）AHSPA{“session_id”:<256bits>,“credentials”:“spa_hmac_key”:<64bit>,“tls_key”:<filecontents>,“tls_cert”<filecontents>“spa_hmac_key”:“asldjf…”,“tls_key”:“tls_key”,“tls_cert”:控制器不響應該請求，TLSTCPAH或控制器終止。AHIP地址（AHSDP網關的時候會出現這種情況）。服務也可能被指向主AHAH(1A)id或nameAHIP地址。JSONJSONJSON[“port”:<Serverport>,<ServerIP>,“name”:“address”:“type”:<protocoltypetag“name”:“MarketingWebIH-控制器協議利用網絡路由和報文傳遞，其實現細節依賴于傳輸協議類型（TCP有保障UDP的發后不管模式）。IH11：發起主機（IH）連接至SDP指令(8位IHSPA報文到控制器請求連接,遵循本文前面討論的格式IH發送SPA報文后,將嘗試打開與控制器的TCP連接.如果控制器確定SPA報文合法有效,它TCP連接建立,mTLS連接所需的雙向身份認證。UDPDTLS的情況,UDP是無連接協議,IH向控制器發送登錄請求消息,IHSDP。注意,IH向控制器發送的登錄請求可能包含IH自身的身份標識和認證憑證。如前文所述,該登錄請求出現在加載流程之后。該登錄請求每次會話均會出現一次,IH登錄請求，例如無效的認證憑據，或者控制器受到系統授權許(16位IHID(32位)IHSPATLS密鑰（{“session_id”:<256bits>,“credentials”:[“spa_encryption_key”:<64bit>,contents>,“tls_cert”<fileIH服務消息由控制器發送,IHAHIP地址或主機名.IH能夠連接到該服務。請注意，列出的主機名/IP地機/IP上。JSONIDIHJSONJSON{“services”:{“address”:<AH“id”:<256-bitServiceID>,<service“type”:<servicetype>,“port”:<Serverport>{“services”:{“address”:“id”:“name”:“FinanceApp”,“type”:“port”:“8443”IHIHAHIHAH應允許IHAHIH向控制器進行身份驗證而發IHIHJSONJSON{“IH“IH”:<IH/DevicePair>,<256-bitIHSessionID>,“hmac_seed”:<256-bitSPAHMACseedfortheIH>,“hotp_seed”:<256-bitSPAHOTPseedfortheIH>“id”:[<arrayof256-bitserviceIDs>]{“IH“IH”:“IH/DeviceID”,“hmac_seed”:“hotp_seed”:“id”:[“123445678”,AHIH專屬的設備IDID和單包授權密鑰。不同的實現方案可能息，TLSTCPIH或控制器終止。請注意，IH仍然是在加載狀態，并且可以在將來此指令（0xff）IH11中沒有顯示此IH–AHIHAH協議利用網絡路由和報文傳遞。實現細節取決于傳輸的類型（例如，TCP的有保障UDP的發后不管模式）。AH隱藏不可見。IH到AH12IHAH12：IHAH指令（8位TCPmTLS連接所需的雙向身份認證。UDPDTLS的情況,UDP是無連接協議,IHID是因為這些標識IHAHTCP256位256AHIHSDP的部署模型，這AH會發送一個“打開–IH來告知連接請求是否成功。打開連接請求和打開連0x0256256IHAH發送，它用于在連接建立后推送數據。該消息無需回復。這個消息和0x數據長度（16位256-256-256256IH256256源地址：IP地址（間的連接事件，包括發目的地址：IP地址（SDP的核心，在更廣泛的場景下對于檢測大規模的針對基礎設施的攻擊也很重AH源地址：AHIPAHSessionID：AHIDAH源地址：AHIPAHSessionID：AHIDIH源地址