多年以来,美国的国防部门、情报机构和其他政府机构部署了外人无法访问的高度安全的网络。陌生人无法访问这些网络,在访问前必须经过身份验证。
然而,这些高度安全的网络通常建立在专有架构上,不与其他网络进行通信,这让它们的部署费用非常高昂。
云安全联盟(CSA)在2013年12月推出一项举措,旨在让这些“隐形网络”可供更广泛的政府机构和企业访问。软件定义边界(Software Defined Perimeter ,SDP)举措将帮助开发一个架构来保护这些物联网,主要通过利用云计算在任何IP可寻址实体之间创建高度安全的终端到终端网络。
该框架的目标是缓解可访问互联网的应用程序的风险,主要通过在连接网络前对设备和用户进行身份验证。该计划包括来自美国国家标准技术研究所和国防部的安全概念和标准。
另外,CSA还公布了软件定义边界报告( Software Defined Perimeter Report),其中介绍了这个SDP安全框架以及如何部署它来保护应用程序基础设施。CSA旨在创建一个公共标准,让无许可证费用或限制的用户可以使用。
SDP采用的是机密网络模型来保护应用程序,因为传统边界已经迅速成为设备在网络内部移动以及应用程序从网络边界迁移到云计算的障碍。通常在机密或高度安全网络,每台服务器被隐藏在远程接入网关后面,用户在查看和访问授权服务之前必须进行身份验证。
“SDP保留了‘需要知道’模型的优势,同时消除了对远程访问网关设备的缺点,”根据该CSA报告显示,“SDP要求端点在获取对受保护的服务器的网络访问之前,必须进行身份验证以及获得授权,然后,在请求系统和应用程序基础设施之间会实时创建加密连接。”请求系统可以是移动设备,例如智能手机、计算机或者甚至是传感器。
根据云计算安全公司Vidder Technologies创始人兼首席技术官Junaid Islam表示,SDP是基于专有安全供应商构建的经验证的架构。它采用了标准安全工具,例如公钥基础设施、可信分层安全、IPsec和安全断言标记语言(SAML)以及联合和地理位置等概念,来实现任何设备到任何基础设施的连接。SDP外围可以部署在任何位置,例如互联网、云计算中、托管中心、私有企业网络或者跨其中一些或全部这些地点。
云安全联盟工作组正在编写SDP标准的第一稿,这比上个月发布的白皮书将更详细。这将允许开发人员基于该标准编写代码。在该草案发布后,云安全联盟将向公众发布开源代码以帮助促进创新以及云计算供应商之间的合作。
这个SDP概念将会在下个月的RSA安全大会上进行公开测试,Islam表示:“我们将采用这个安全模型,进行测试来看看是否有人能够攻破它。”结果将会公开。
“‘需要知道’网络在政府领域并不是新鲜事,”Islam表示,“我们采用了很多相当旧的概念,例如验证用户,然后让用户进入他允许的网络。这种概念已经存在20年,但从来没有标准化”
这种标准化将会为政府降低成本,通过吸引更多供应商进入这个生态系统,各种安全技术将会结合在一起来保护应用程序抵御网络攻击。
在该项目12月推出以来,六十多家公司已经加入了CSA软件定义边界工作组。该举措由前CIA首席技术官、现任Applicology公司首席执行官Bob Flores领导。Flores将其30多年在机密网络工作的经验带到这个SDP举措中。可口可乐公司企业架构和新兴技术负责人Alan Boehme,Verizon首席创新架构师Jeff Schweitzer也对该报告作出了贡献。