軟件定義邊界(SDP)規范SDPSDPSDPSDP發起主機（和SDP客戶端SDP接受主機（和服務SDPSDPSDP單包授權SDP與SDN和NFVSDPAHAH一、b.c.d.e.fAHg.IHIH一、b.TCPc.d.?版權所有2021，第5頁，共33e.保持活動消 IH服務信 IH認證消 保留供私人使 IH-AH協 IH到AH序列 一、 b.打開TCP連 打開連接請求消 開放連接類 打開連接響應消 數據信 連接關閉消 用戶定義消 日志記 日志消息的字 操作日 安全/連接日 概 第6頁，共33(SDP)和服務。SDP旨在提供按需、動態配置、受信任的隔離覆蓋網絡，以緩解基于網絡的攻擊。SDP實施可向未經SDP，組織可以本文檔更新了云安全聯盟(CSA)軟件定義邊界(SDP)1.0版本由軟件定義邊界工作組編寫，并于2014年4SDPSDP構中所倡導的原則，這些原則也包含在零信任的大趨勢中。SDP增強了零信任的實施。此修訂版的SDP規范經1SDPSDP(SDP)在企業中部署零信任和SDP在其產品或解決方案中使用SDP第7頁，共33第第10頁，共33SDP（“軟件定義”）邊界，以黑化網絡并防止未經授權訪問網絡上運行的服務。SDP將物理設備替換為在組織控制下運行的邏輯組件，從而將邏輯邊界縮小到最小值。SDP執行最小特SDPIPv4IPv6SDPSDPIP施上的連接，無論是基于傳統硬件、較新的軟件定義網絡(SDN)還是基于云。SDP的核心功能是它主要作為任何類型IP網絡的加密覆蓋層運行。它使異構環境中的安全層標準化，從而簡化安全性和操作。對于云基礎設施，SDP網絡層，虛擬化提供計算、存儲和監控傳輸層，云APISDNNFV，SDPSDNIP，SDP何類型的IP網絡的加密覆蓋。從這個意義上講，它充當了同質化安全層，簡化了安全性和操作。SDPSDP統，而SDP則側重于保護連接并阻止DDoS、憑證盜竊等攻擊。SDPSDP1請參閱有關SDP和網絡功能虛擬化(NFV)\h2/artifacts/sdp-architecture-guide-SDP（通常是物理設備）替換為在應用程序所有者控制下運行的邏輯組件。SDPSDP背后的原則并非全新。國防部(DoD)和情報界(IC)內的多個組織已經實施了類似的網絡架構，該架構基于網關設備后面，用戶必須先對其進行身份驗證，然后才能查看授權服務并提供訪問權限。SDP用的邏輯模型，并將該模型納入標準工作流程（第2.4節）。此外，業內安全領導者一直在支持其中的許多概念，最著名的是從2004年的JerichoForum開始。最近，美國國家標準與技術研究所(NIST)定義的零信任也SDP保留了上述“需要知道”模型的優點，但消除了需要遠程訪問網關設備的缺點。SDP要求端點先進行身簡而言之，SDP（用戶、設備、服務）以加密方式簽名到邊界內，在該邊界內，服務對于所有未經授權的訪SDPSDP：SDPSDPSDP作通過控制平面上的安全通道與SDP控制器交互進行管理。數據通過數據平面中單獨的安全通道進行傳輸。因SDP以實現擴展或正常運行時間。SDP主機（發起主機或接受主機）連接到SDP控制器，該控制器是一種設備或進33請參閱NIST零信任架構文檔-SP800-207/publications/detail/sp/800- 圖1：SDP架構（之前由CSA在“軟件定義邊界和零信任”中發布SDPSDP(PDP)。SDP（身份提供商、多因素身份驗證等），SDP(IH)SDPSDPSDP接受主機（SDP服務通常駐留在其上）被SDP訪問和保護。在客戶端到網關SDP模型中。例如 接受主機采用SDP所有組件均可位于不同位置（互聯網、云、本地），SDP3息，并在SDP架構指南中進行了詳細說明。它顯示了每個部署模型中SDP網關的多種配置。SDPSDP（零信任策略決策點），用于維護哪些用戶/組/哪些設備可以4/artifacts/software-defined-perimeter-and-zero-trust/65非人實體(NPE)6有關各種SDP模型的參考，請參閱SDP權限授予哪個組織的應用程序（本地或云中）SDP一旦用戶（IH）連接到控制器，控制器就會對用戶進行身份驗證，并根據用戶的上下文（包括身份和設備屬性）僅授予用戶對允許的服務（通過AH）的訪問權限。為了驗證用戶身份，控制器可以使用內部用戶表執行身份驗證，或連接到第三方身份和訪問管理(IAM)服(MFA)（本地或云端）。身份驗證通常基于用戶類型和身份進行；例為了授權用戶訪問服務，控制器可以使用內部用戶到服務映射或連接到第三方服務，例如LDAP、ActiveDirectory或授權解決方案（本地或云端）。授權通常由用戶角色對用戶可以訪問的服務進行，但可以更細粒度地基于用戶或設備屬性，甚至基于用戶有權訪問的實際數據元素或數據流（例如OAuth或WebAuthN）。實際上，SDP（例如企業服務目錄和身份存儲）告知。通過這種方式，控制器正在執行NIST確定為零信任原則的動態零信任策略類型。此外，控制器還可以從外部服務（如地理位置或主機檢查服務）獲取信息，以進一步驗證用戶（IH）。在用戶會話的后期，SDP控制器可以利用身份驗證和授權機制強制用戶進行逐步身份驗證，并根據會話超時、地理位置更改或安全態勢更改等參數斷開用戶連接。SDP(PDP)SDP控制器可能駐留在云端或本地，具體取決于SDPSDP(SPA)見且無法訪問。此機制可以由控制器前面的SDP網關提供，也可以由控制器本身提供。SDP發起主機（和SDP客戶端SDP發起主機(IH)與SDPIH單、設備健康狀況。SDP控制器還必須為IH提供某種機制（例如憑證），以建立安全第11頁，共33與AHIHWeb(IH)SDP，SDP(SPA)議發起與SDP的連接（本文檔后面將深入討論）。IH（例如，員工或承包商）、應用程序（例如，胖客戶端）IOT（例如，遠程水表）。SDP接受主機（和服務AH（作為網關或服務）WebTCPUDPSSH、RDP、默認情況下，AHAH，例如，在SDP控制器和網關之間（取決于部署架構）。SDPSDPAH（軟件設備或代理），SDP身份驗證和授權規則。（請注意，根據下面討論的SDP部署模型，AH可能是單獨的組件，也可能是所訪問服SDP網關從SDP控制器接收控制信息，并且僅在SDP控制器發出指令后才接受來自IHSDP，SDPIH（用戶和設備）AH（受保護的進程和服務）的訪問權SDPIH后，后端服務的響應被發送回IH。SDPAHIH、SDP第12頁，共33第第13頁，共33在某些部署模型中，SDPAH（或服務）集成，以實現僅對特定服務的授權用戶進行隔離和訪問除了隔離機制之外，SDP網關還可以執行策略并與零信任策略執行點(PEP)SDPSDP將客戶端（人類或非人類實體）連接到資源（下圖中表示為服務器）。這些資源可以是任何類型，只要它們可以通IaaSPaaSSDP問受保護的資源。有關這些部署模型的介紹，請參閱SDP架構指南。mTLS圖2-SDP圖2-SDP端/IH和AH（網關）之間的連接都是安全的。在此模型中，網關是隱藏的，并且位于安全范圍內。此模型不需要對受保護的服務器進行任何更改。當組織需要保護端到端的連接時，此模型將服務器和AH（網關）中。在此模型中，服務器是隱藏的，并且位于安全范圍內。在此模型中，服務器平臺必須能夠部署網關軟件。(IoT)(VM)接都經過加密，無論底層網絡或IP基礎設施如何。在此模型中，所有服務器IP要求客戶端直接相互連接，同時執行SDP訪問策略。在此模型中，網關是SDP1.0物聯網(IoT)環境。在此模型中，網關是隱藏的，并且位于邊界內。7CSA軟件定義周界建筑指南，2019年514至18SDPSDP（4），IHAH圖3-SDP入 SDP（例如，PKI AHSDP IH上一個或多個客戶端已加入，并且每個用戶（或NPE）都由SDP控制器進行身份驗證。 后續連接流程步 IH（例如，設備重啟后，或者用戶發起連接時）SDPIH（在某些情況下通過其相應的身份提供者）之后，SDPIH通信的AH列表。SDPAHIH信息。SDP控制器向IH提供授權AH的列表以及雙向加密通信所需的任何可選信息。IH(SPA)AHSPA（用于執行）。然后，IH與這些AH創建相互TLS連接。SDPIH、AH3Chef、Puppet或Terraform，或它們的托管服務等效物（例如RightScale、AWSCloudFormation等）。如上面的工作流程（圖3）所述，SDP已部署并配置，并且SDPIH9身份提供者(IdP)。

圖5-入職（IdP場景MFA在此示例工作流中，IH（SDP）(IdP)SDP模型，SDP控制器將與IdP建立信任關系，例如，驗證客戶端轉發給它的SAML令牌。8IHAH12IHSPAAH。此模型可確保IH在控制器離線的情況下仍能連接。SDP\h/open-source-單包授權SDPSDP連接來強制執行。這提高了SDP的安全性和彈性——未經授權的實體無法與SDP組件建立網絡連接，因此無法嘗試利用漏洞、暴力破解登錄嘗試或利用被盜憑證。這與傳統的遠程訪問解決方案（如VPN）形成鮮明對比，后者暴露給SPASDPDDoS（SDP(CSA)中提到的，SDP作為DDoS防御機制白皮書中所述）。SDP為此使用的機制是單包授權(SPA)。SPA基于RFC4226HMAC的一次性密碼“HOTP”，它包含在SPA數據包 (SPA)：IH-Controller、AHControllerIH-AH。SPA使用UDP或TCP協議啟動，具體取決于所選的實現。UDPSPASPASDP的真實SPA。具體來說，主機不會響應TCPSYN，從而避免向潛在攻擊者泄露任何信息。緩解TLS上的拒絕服務攻擊：運行HTTPS協議的面向Internet的服務器極易受到拒絕服務(DoS)攻擊。SPATCPTLS的連接嘗試，從而允許在DoS攻擊期間和盡管存在DoS攻擊的情況下建立授權連接。AHSPAAH據包，則應將其視為攻擊。因此，SPA使SDP能夠根據單個惡意數據包確定攻擊。TCPSPAUDPSPATCPSPASDP向所有遠程（和潛在惡意）用戶公開開放端口，因此服務器不會被黑屏。服務器還將部分受到DDoS攻擊IPTCPTLSSPATCPTLS連接占用的資源少得多，但它確實會消耗服務器資源并使服務器面臨一定程度的DDoS風險。最后，使用SPAoverTCP將允許服務器檢測基于無效SPA數據包的攻擊，但只有在TCP10SPASDPv1雖然SPA消息格式在SDP實現之間可能有所不同，但所有SDP系統都必須支持SPA作為啟動組件之間連接的機制。SPASPASPA構建有效的SPA數據包。此信任根的建立（即如何將共享密鑰安全地傳達給SDP組件）取決于實現，超出了本規范的范圍。通常，此信息包含在IH和AH的入職流程中。草案5月9日進行驗證客戶編 32位數字標識符，按用戶-設備對分配。此字段是可選的，用于按客戶端進行區分的SPA方隨機 16位隨機數據字段通過避免SPA數據包重用來防止重放攻時間 通過確保較短的有效期（例如15到30秒）來防止提供過時的SPA數據包IP

IPIPIP在路由過程中很容易被修改。IH必須能夠獲取IP地址，以供AH用作數據包的來源。消息類 此字段是可選的-它可用于通知接收者在建立連接后期望從IH收到什么類型的消息信 此字段是可選的，并且取決于消息類型字段細 例如，此字段可用于指定IH在連接時將請求的服務（如果已知） 此散列一次性密碼由基于共享密鑰的算法（RFC4226）生成。SPAOTP其他OTP算法可以替代，但總體目標是確保SPA數據包的真實性。 計數器是一個64位無符號整數，用于在通信對之間進行同步。在RFC4226中，這是通過“前瞻窗口”實現的（因為RFC4226的典型用例是硬件OTP令牌）。但是，對于SDP協議，計數器可以在SDP數據包中發送，從而無需前瞻窗口，也避免了通信對不同步的可能性。請注意，計數器不需要保密，但是AH應該有機制來避免惡意使用非常大的計數器，從而可能拒絕向發送較低計數器值的（合法）IH提供服務。OTP SHA256（推薦）、SHA384、SHA512SM3。HMAC（秘密）種子計算。HMACAHHMAC小，因此可用于提供抵御DoS攻擊的彈性。任何具有無效HMAC的SPA數據包將被立即丟棄。6：SPA請注意，其他SPA選項可能包括額外的加密，例如使用IH的私鑰（用于不可否認性）或AH的公鑰（用于保密性）。但是，非對稱加密的計算成本很高，并且應僅在輕量級驗證機制（HMAC）AHDoS攻擊。SDP，SPASPASPA數據包基于共享機密，因此接收者可以相信其中包含的數據是由有效的SDP客戶端發出的。SPA（SPAClientID），SPA端傳輸有意義的數據。這不需要任何進一步的處理或策略評估，也不需要建立TCP或TLS連接。IoTSPATCPTLS（接受主機）必須期待這些數據，并且由于這是一種單向傳輸，因此發送方無法通過“發射后不管”SPA數據包傳輸驗證數據是否確實已收到。盡管如此，只要數據不是很重要和/或關鍵，這可能是在某些環境中應用SPA的一種有用方法。SDP與SDN和NFV在云計算環境中，軟件定義網絡(SDN)和網絡功能虛擬化(NFV)技術可有效應對IH環境（前端）和AH環境（后端），同時提供按需擴展、按需付費和以服務形式提供資源的優勢。SDN和NFV為采用和協調異構網絡路由以更好地利用資源（無線和計算資源）鋪平了道路。IH通信方面有關，而AH環境挑戰與網絡功能有關，例如路由、交換、安全、會計和計費，以及網絡路由運行所NFV同時運行相同的資源密集型軟件時。這個問題可以通過使用SDP來解決，其中SDP控制器定義并實施標準操11JSingh、A.RefaeyJKoilpillai，“(SDP)434357-363頁，2020年秋季，doi：10.1109/CJECE.2020.3005316服務，并動態地實施補救措施。NVF在這種情況下，SDP在消除這種風險和根據用戶的角色和功能有選擇地使用管理控制方面發揮著至關重要的作云服務提供商廣泛采用軟件定義網絡(SDN)來簡化網絡管理。SDN的主要挑戰是如何為API驅動的網絡路由編排提供適當的身份驗證、訪問控制、數據隱私和數據完整性等。在此，軟件定義邊界(SDP)可以提供連接編排，以限制支持SDNSDPSDN簡而言之，如果將軟件定義網絡(SDN)和網絡功能虛擬(NFV)義邊界(SDP)則填補了這個三角形中缺失的一塊。盡管SDN和SDP都運行在網絡領域，并且名稱相似，但SDN可以被視為協調網絡運營的大腦，而SPD則引入了SDP在整個連接建立過程中需要多層驗證。第一步是SPA，如上所述。下一步是本節的主題，即在分布式SDP（其他步驟，包括設備和用戶驗證，將在下文討SPA，SDPTLSInternet(IKE)SDP(IH-AH)接以及發起主機到控制器(IH-Controller)之間的連接必須使用mTLS，而連接和控制器-網關連接應使用PKISDPCA。它不得依賴與消費者瀏覽器相關的預頒發或隱式信任的證書，這些證書容易受到冒充攻擊，攻擊者會偽造來自受感染證書頒發機構的證書。SDP以確保可以有效檢測已撤銷的證書，例如使用OCSP或其他機制。SDPMITMTLS（mTLS），以及與來自身份驗證系統（例如SAML或OpenIDConnect）的長壽命訪問令牌相關的潛在漏洞。相互傳輸層身份驗證可證明請求訪問SDP的設備擁有未過期且未被撤銷的私鑰，但無法證明該密鑰未被盜用。設備驗證的目的是證明正確的設備持有私鑰，并且設備上運行的軟件是可信的。在本文檔中描述的最簡單的SDP形式中，控制器被認為是可信設備（因為它存在于最受控制的環境中），IHAH接受主機的SDP網關也被認為是可信組件，因為它們受運營SDP的企業的控制。另一方面，用戶設備需要驗證。設備驗證可減輕憑證盜竊和由此產生的冒充攻擊。已使用SPA消息進行身份驗SDPSDPAH用戶擁有用于連接的正確私鑰也是如此。除非通過SDP進行身份驗證和授權，否則所有數據包都會從用戶設備出了SDP規范的范圍SDPSDP，SDP，SDPSDP12https://wott.io/blog/tutorials/2019/09/09/what-is- 13SDPSDP：AH-控制器協議、IH-控制器協議、IH-AH里顯示的SDP協議說明了SDP組件之間的通信類型，但它不是規范性的——不同的SDP部署模型將需要不同的交互AH無論AH發起請求消息-TCP、VPN約定的身份驗證格式——MFA請求被許可的特定資源列表-受保護的AH允許或拒絕滿足SDP零信任架構的響應-拒絕無效的TCP、VPNHMAC（散列消息認證碼）或類似構造（SPA）AHAHUDPSPASDP圖7：以下小節定義了AH一、請求消息由AH作為示例的JSON{“credentials”: <64位 “spa_hmac_key”：<64“tls_key”：<filecontents>“tls_cert”<file b.請求消息由AHc.登錄響應消息由控制器發送，以指示登錄請求是否成功，如果成功，則提供AH會話ID狀態代碼（16位AH會話ID（256位d.注銷請求消息由AHe.Keep-AliveAHfAH服務消息由控制器發送，向AH指示該AHJSON數據平面的JSON[“港口”：<Serverport>[“端口“id”：<32位服務“地址”：<ServerIP>“地址“姓名”：<service“名稱“會議”：<sessiontag“會話TCPUDP（ICMP）g.此命令(0xff)保留用于AHIH發起主機控制器協議在網絡路由和數據包傳送上運行，實現細節取決于傳輸類型（例如，TCPUDP即發即棄）IH發起請求消息-TCP、VPN特定授權資源清單-受保護AHTCP、VPNHMAC（散列消息認證碼）或類似構造（SPA）IH圖8：發起主機連接到SDP圖8：發起主機連接到SDP以下小節定義了IH命令（8位一、請求消息由AHb.TCP相互TLSc.IHController，SDPd.登錄響應消息由控制器發送，以指示登錄請求是否成功，如果成功，則提供IH會話ID狀態代碼（16位IH會話ID（256位e.Keep-AliveIHh.IH服務消息由控制器發送，向IH指示可用服務的列表以及保護這些服務的AH的IPJSONJSON格 例{“地址”：<AHIP>，"id":<32位服務ID>，“姓名”：<servicename>“類型”：<servicetype>

“00”,IHIHAH，以向AH指示新的IH已驗證，并且AH應允許訪問此IH以獲取指定服務。 JSON格式的IH信息數 JSON格 例{“IH認證器”：“我暈”：<IH/DevicePair>“sid”：<32位IH會話ID>，“種子”：<32位SPA種子>，“計數器”：<32SPA[“id”：<32位服務

{“IH認證器”：“IH”：“IH/ID”， 此命令(0xff)保留用于IH IH-AH發起主機到接受主機協議在網絡路由和數據包傳送上運行。實現細節取決于傳輸類型（例如，TCP保證傳UDP）IHAH發起請求消息-TCP、VPNIH直到此時，該服務仍被AH隱藏。IH到AHIHAHIH發送的消息顯示在AH-控制器序列圖中。圖9：IH連接到AH，圖9：IH連接到AH，以下小節定義了IH和AH命令（8位一、請求消息由AH b.TCP相互TLSIH向AH 多路復用器ID（64位AH 多路復用器ID（64位打開響應消息由AH發送給IH， 狀態代碼（16位 多路復用器ID（64位數據消息