SDP: co to jest i jak działa

Dzięki ścisłemu uwierzytelnianiu wymuszonemu przez mikrosegmentację, SDP może wspierać Zero Trust Network Access.

Putilich / Getty Images

Coraz więcej organizacji rysuje niewidzialną linię wokół swoich zasobów podłączonych do Internetu, starając się utrzymać napastników na dystans. Nazywane SDP (software-defined perimeter, co można przetłumaczyć jako granicę wyznaczoną przez oprogramowanie) opiera się na stosunkowo prostym pomyśle umieszczenia wirtualnej bariery wokół serwerów, routerów, drukarek i innych komponentów sieci przedsiębiorstwa.

Celem SDP jest ochrona sieci za elastyczną, opartą na oprogramowaniu granicą. „Zalety obejmują silniejsze bezpieczeństwo oraz większą elastyczność i spójność” - mówi Ron Howell, główny architekt SD-WAN i SASE w firmie Capgemini Americas zajmującej się doradztwem informatycznym i biznesowym.

Zobacz również:

  • 5 produktów VMware wymaga załatania poważnych luk w zabezpieczeniach
  • Te dwie luki zero-day znajdują się w większości używanych obecnie komputerów Windows

Może ona sprostać wyzwaniom w zakresie bezpieczeństwa, które stały się bardziej złożone wraz z pojawieniem się aplikacji zbudowanych z mikroserwisów, które mogą znajdować się na więcej niż jednym serwerze, zamiast tradycyjnych, monolitycznych aplikacji, które zazwyczaj rezydowały na dedykowanym serwerze. „Ostatnio aplikacje uległy dalszej modularyzacji - obecnie składają się z wielu typów obciążeń i mikroserwisów w centrum danych organizacji lub w chmurze publicznej” - mówi Chad Skipper, globalny technolog ds. bezpieczeństwa w VMware.

Czym jest SDP?

Ramy SDP zasłaniają serwery lub węzły, zwykle w sieci wewnętrznej, mówi Chalan Aras, dyrektor zarządzający, cyber i ryzyko strategiczne, w firmie doradztwa biznesowego Deloitte. „SDP wykorzystuje tożsamość i inne metody uzasadnienia, aby umożliwić widoczność i łączność z węzłami sieci lub serwerami na zasadzie least-privilege lub need-to-access”.

SDP jest specjalnie zaprojektowany, aby zapobiec zewnętrznemu podglądowi elementów infrastruktury. Sprzęt, taki jak routery, serwery, drukarki i praktycznie wszystko inne podłączone do sieci przedsiębiorstwa, które są również połączone z internetem, są ukryte przed wszystkimi nieuwierzytelnionymi i nieautoryzowanymi użytkownikami, niezależnie od tego, czy infrastruktura znajduje się w chmurze, czy w siedzibie firmy. „To powstrzymuje nieuprawnionych użytkowników przed dostępem do samej sieci poprzez uwierzytelnianie w pierwszej kolejności i zezwalanie na dostęp w drugiej” - mówi John Henley, główny konsultant, cyberbezpieczeństwo, z firmy doradczej ISG zajmującej się badaniami technologicznymi. "SDP uwierzytelnia nie tylko użytkownika, ale także używane urządzenie.

Korzyści z SDP

W porównaniu z tradycyjnymi podejściami opartymi na stałych granicach, takimi jak zapory ogniowe, SDP zapewnia znacznie większe bezpieczeństwo. Ponieważ SDP automatycznie ograniczają dostęp uwierzytelnionych użytkowników do wąsko zdefiniowanych segmentów sieci, reszta sieci jest chroniona w przypadku, gdy uprawniona tożsamość zostanie naruszona przez napastnika. „Zapewnia to również ochronę przed atakami bocznymi, ponieważ nawet jeśli napastnik uzyskałby dostęp, nie mógłby skanować w celu zlokalizowania innych usług” - mówi Skipper.

Centralna korzyść SDP jest prosta: stworzenie wyższego poziomu ochrony sieci. „SDP odegrało zasadniczą rolę w ochronie przedsiębiorstw przed wieloma różnymi wektorami ataków, w tym denial-of-service, brute force, kradzieżą danych uwierzytelniających, man-in-the-middle, wykorzystaniem serwera i porwaniem sesji” - mówi Henley. Inne korzyści płynące z SDP to wzmocnienie i uproszczenie kontroli dostępu, zmniejszenie powierzchni ataku, uproszczenie zarządzania polityką i ogólnie lepsze doświadczenia użytkowników końcowych.

Ponieważ SDP może być dynamicznie konfigurowane, dobrze nadaje się do ochrony szybko zmieniających się środowisk, takich jak użytkownicy korporacyjni uzyskujący dostęp do aplikacji lub środowiska aplikacji z wieloma mikrousługami, które są tworzone, skalowane lub kończone w czasie rzeczywistym, mówi Aras.

Jak działa SDP

SDP waliduje użytkowników i aplikacje poprzez uwierzytelnianie ich przed podłączeniem do granularnie ograniczonych części sieci. Ta mikrosegmentacja, tworzona przez remapowanie przestrzeni adresów DNS i IP, zapewnia autoryzowanym użytkownikom dostęp do potrzebnych im zasobów, jednocześnie odmawiając im dostępu do zasobów, których nie potrzebują. W ten sposób powstają indywidualne sieci, każda z ograniczoną liczbą węzłów, więc jeśli złym aktorom uda się uzyskać dostęp, szkody, które spowodują, mogą być ograniczone.

Centralnym elementem architektury SDP jest kontroler, oprogramowanie ułatwiające łączenie użytkowników i urządzeń poszukujących dostępu (hostów inicjujących) z poszukiwanymi przez nich zasobami, takimi jak aplikacje i serwery (hosty akceptujące). Kontroler uwierzytelnia hosta inicjującego i określa listę hostów akceptujących, z którymi może się on połączyć. Kontroler instruuje wszystkie autoryzowane hosty akceptujące, aby zaakceptowały komunikację od hosta inicjującego i udostępnia listę hostowi inicjującemu. Hosty inicjujące mogą następnie tworzyć bezpośrednie połączenia VPN z hostami akceptującymi.

W niektórych przypadkach host akceptujący jest bramą, która działa jako pośrednik między hostem inicjującym a wieloma zasobami, z którymi chce się połączyć. W innych przypadkach SDP może być skonfigurowany między dwoma serwerami, które muszą się komunikować, jak w przypadku nowoczesnych aplikacji zbudowanych wokół mikroserwisów.

„Łączniki i proxy, terminy często używane zamiennie, mogą siedzieć przed serwerami, aby zablokować do nich dostęp. Łączą one ze sobą dwie domeny sieciowe i wykonują funkcje sieciowe, takie jak routing, translacja adresów sieciowych i równoważenie obciążenia, aby skierować ruch od jednego użytkownika lub aplikacji do innego” - mówi Arras.

W kontekstach mikroserwisowych proxy może być zintegrowane z mikroserwisem, tak jak w przypadku envoy proxy, open-source’owego edge proxy używanego w mikroserwisach. W siatce usług Istio, na przykład, envoy proxy może być używany do łączenia mikroserwisów, aby mini-aplikacje mogły bezpiecznie komunikować się ze sobą w siatce usług open-source, która nakłada się w sposób przejrzysty na istniejące aplikacje rozproszone, tłumaczy Aras.

Dostęp do sieci zero-trust

Ze względu na ścisłe uwierzytelnianie i ściśle ograniczony dostęp do sieci, SDP jest istotną częścią Zero Trust Network Access (ZTNA), która opiera się na założeniu, że żadne urządzenie nigdy nie jest naprawdę bezpieczne. „Nie ma już bezpiecznego obwodu ze względu na zmiany kadrowe, aplikacje oparte na mikroserwisach, które mogą rozrzucać komponenty praktycznie wszędzie, oraz coraz bardziej kolaboratywny charakter procesów biznesowych” - mówi Skipper – „Nie ma urządzenia, które byłoby bezpieczne: żaden smartfon, żaden laptop czy pecet”.

Rozwiązanie problemu ZTNA wymaga ściśle kontrolowanego dostępu do sieci i ograniczonej autoryzacji, a SDP jest dobrym miejscem do rozpoczęcia. „SDP pomaga użytkownikom odpowiednio uwierzytelnić się przed uzyskaniem dostępu i tylko do aplikacji, do których ci użytkownicy otrzymali dostęp” - mówi Henley.

Henley szacuje, że obecnie ponad 20 dostawców oferuje produkty SDP, w tym Akamai (Enterprise Application Access), Cisco (Duo Beyond), Ivanti (Ivanti Neurons for Secure Access), McAfee (MVISION Private Access), Netmotion (NetMotion SDP), Verizon (Verizon Software Defined Perimeter) i Versa (Versa Secure Access Client).

Wdrożenie SDP nie zwalnia również przedsiębiorstw z odpowiedzialności za utrzymanie istniejących praktyk bezpieczeństwa. „Bez względu na to, jakie technologie bezpieczeństwa wdraża Twoja organizacja, czy jak to się nazywa, wiedza o tym, jakie są Twoje ważne dane i gdzie się znajdują, jest kluczem do tego, aby wiedzieć, jak je chronić” - mówi Jaworski.

Należy również pamiętać, że wdrożenie SDP nie jest sprawą jednorazową. „Ważne jest, aby organizacje aktywnie monitorowały i aktualizowały oprogramowanie SDP w miarę potrzeb” - radzi Jaworski. „Ponadto należy przeprowadzać testy, aby upewnić się, że oprogramowanie nie wycieka i nie pozwala na dostęp do chronionych zasobów”.

Źródło: NetworkWorld

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200