소프트웨어 정의 경계

Software-defined perimeter

소프트웨어 정의 경계(SDP)는 '블랙 클라우드'라고도 불리며,[1] 2007년경 글로벌 정보 그리드(GIG) 블랙 코어 네트워크 이니셔티브에 따라 국방 정보 시스템국(DISA)에서 수행된 작업에서 발전한 컴퓨터 보안 접근법입니다.소프트웨어 정의 경계(SDP) 프레임워크는 Cloud Security Alliance(CSA)에 의해 개발되어 ID를 기반으로 리소스에 대한 액세스를 제어합니다.소프트웨어 정의 경계에서의 접속은 Need to Know 모델을 기반으로 합니다.Need to Know 모델은 애플리케이션인프라스트럭처에 대한 접근이 [2]허가되기 전에 디바이스의 포스처와 ID를 검증합니다.애플리케이션 인프라스트럭처는, 가시적인 DNS 정보나 IP [dubious discuss]주소 없이, 사실상 「블랙」(인프라스트럭처를 검출할 수 없는 것을 의미하는 DoD 용어)입니다.이러한 시스템의 개발자는 소프트웨어 정의 경계는 서버 검사, 서비스 거부, SQL 주입, 운영 체제 및 응용 프로그램의 취약성 악용, man-in-the-middle,[3] pass-the-hash, pass-ticket가장 일반적인 네트워크 기반 공격을 완화한다고 주장합니다.

배경

기존 엔터프라이즈 네트워크 아키텍처의 전제는 외부 사용자의 출입을 차단하지만 내부 사용자는 [4]외출할 수 있는 일련의 방화벽 기능으로 구성된 고정된 경계에 의해 외부와 분리된 내부 네트워크를 구축하는 것입니다.기존의 고정 주변은 외부로부터 내부 애플리케이션 및 인프라스트럭처까지 가시성과 접근성을 차단하는 간단한 기술을 통해 외부 위협으로부터 내부 서비스를 보호합니다.그러나 이 기존 고정 경계 모델의 약점은 사용자 관리 장치의 보급과 피싱 공격으로 경계 내부에 신뢰할 수 없는 액세스를 제공하고 SaaSIaaS가 경계를 인터넷으로 [5]확장하기 때문에 점점 더 문제가 되고 있습니다.소프트웨어 정의 주변은 애플리케이션 소유자가 외부인이 볼 수 없는 기존 모델의 가치를 유지하면서도 인터넷, 클라우드, 호스팅 센터, 프라이빗 기업 네트워크 또는 일부 또는 모든 장소에 배치할 수 있도록 함으로써 이러한 문제에 대처합니다.설치장소[2]

인가 기술

Software-Defined Beter(SDP; 소프트웨어 정의 경계)를 실현하는 방법에는 몇 가지가 있습니다.여기에는 다음이 포함됩니다.

  • 단일 패킷 인가 - 단일 패킷이 클라이언트에 의해 SPA 패킷을 리슨하는SDP 게이트웨이로 송신됩니다.패킷의 내용은 상세 검사를 위해 복호화 됩니다.확인되면 게이트웨이는 방화벽에 규칙을 추가하여 원하는 서비스에 대한 상호 TLS 연결을 확립할 수 있습니다.이 접속이 확립되면 방화벽 규칙이 삭제되어 서비스가 외부에서는 표시되지 않게 됩니다.
  • 첫 번째 패킷 인증:인증을 위해 TCP/IP 세션의 양쪽에 암호로 생성된 일회용 ID 토큰이 삽입됩니다.허용된 경우 게이트웨이는 ID를 기반으로 연결 요청에 보안 정책(전송, 리다이렉트 또는 폐기)을 적용합니다.
  • 연결 전 인증: 엔드포인트는 암호화 방식으로 생성된 고유 ID로 부트스트랩됩니다(일반적으로 x509 및 JWT 사용).인증 및 인가된 엔드포인트만 '리스닝'하는 메시 오버레이로 아웃바운드 연결을 확립합니다.이 접근 방식을 통해 소스 및 수신처에 인바운드 연결이 필요하지 않을 뿐만 아니라 까다로운 NAT 시나리오에서도 작업이 가능합니다.

아키텍처

가장 단순한 형태로 SDP의 아키텍처는 SDP 호스트와 SDP 컨트롤러의 2개의 컴포넌트로 구성됩니다.[6] SDP 호스트는 연결을 시작하거나 연결을 수락할 수 있습니다.이러한 액션은 제어채널을 경유한SDP 컨트롤러와의 상호작용에 의해 관리됩니다(그림 1 참조).따라서 소프트웨어 정의 경계에서는 더 큰 확장성을 실현하기 위해 제어 플레인이 데이터 플레인과 분리되어 있습니다.또한 고가용성을 위해 모든 컴포넌트를 용장화할 수 있습니다.

그림 1: 소프트웨어 정의 경계 아키텍처는 SDP 호스트와 SDP 컨트롤러의 두 가지 컴포넌트로 구성됩니다.

SDP 프레임워크에는 다음과 같은 워크플로우가 있습니다(그림2 참조).

  1. 1개 이상의 SDP 컨트롤러가 온라인 상태가 되어 적절한 옵션 인증 및 인가 서비스(PKI, 디바이스 핑거프린트, 지오로케이션, SAML, OpenID, OAuth, LDAP, Kerberos, 멀티팩터 인증 등)에 접속됩니다.
  2. 1개 또는 복수의 SDP 호스트가 온라인이 됩니다.이러한 호스트는 컨트롤러에 접속하여 컨트롤러에 인증합니다.단, 다른 호스트로부터의 통신은 승인되지 않으며 프로비저닝되지 않은 요구에는 응답하지 않습니다.
  3. 온라인이 되는 각 개시 SDP 호스트는 SDP 컨트롤러에 접속되어 인증됩니다.
  4. SDP 컨트롤러는 시작 SDP 호스트를 인증한 후 시작 호스트가 통신하도록 허가된 Accepting Hosts 목록을 결정합니다.
  5. SDP 컨트롤러는 암호화 통신에 필요한 임의의 정책뿐만 아니라 시작 호스트로부터의 통신을 받아들이도록 Accepting SDP Hosts에 지시합니다.
  6. SDP 컨트롤러는 암호화 통신에 필요한 임의의 정책뿐만 아니라 Accepting Hosts 목록도 개시 SDP 호스트에 제공합니다.
  7. SDP 호스트의 시작은 인가된 모든 Accepting Hosts에 대한 상호 VPN 접속을 시작합니다.
그림 2: 소프트웨어 정의 경계 아키텍처 워크플로우
SDP 배치 모델

일반적인 워크플로우는 모든 구현에서 동일하게 유지되지만 SDP의 적용은 다른 구현보다 특정 구현에 유리할 수 있습니다.

클라이언트-게이트웨이

클라이언트 투 게이트웨이 실장에서는 1대 이상의 서버가 Accepting SDP Host의 배후에 보호되어 Accepting SDP Host가 클라이언트와 보호된 서버 간의 게이트웨이로 기능합니다.이 실장은 기업 네트워크 내에서 서버 스캔, OS 및 응용 프로그램의 취약성 악용, 패스워드 크래킹, 중간자, Pass-the-Hash(PtH)[6][7][8] 등의 일반적인 횡방향 이동 공격을 완화하기 위해 사용할 수 있습니다.또는 인터넷에 구현하여 보호된 서버를 부정한 사용자로부터 격리하고 서비스 거부, OS 및 응용 프로그램의 취약성 악용, 비밀번호 크래킹, 중간 관리자 등의 공격을 [9][10]완화할 수 있습니다.

[11]

클라이언트 대 서버

클라이언트 대 서버 실장은 위에서 설명한 클라이언트 대 게이트웨이 실장과 기능과 이점이 비슷합니다.단, 이 경우 보호 대상 서버는 소프트웨어를 실행하는 서버 앞에 있는 게이트웨이가 아니라 Accepting SDP Host 소프트웨어를 실행합니다.클라이언트 대 게이트웨이 구현과 클라이언트 대 서버 구현 중 선택할 수 있는 것은 일반적으로 보호되는 서버의 수, 로드밸런싱 방법론, 서버의 탄력성 및 기타 유사한 토폴로지 요인에 따라 결정됩니다.[13]

서버 대 서버간

서버 간 구현에서는 인터넷을 통해 Representational State Transfer(REST; 대표 상태 전송) 서비스, Simple Object Access Protocol(SOAP) 서비스, Remote Procedure Call(RPC; 리모트프로시저 콜) 또는 모든 종류의 Application Programming Interface(AP; 응용 프로그램프로그래밍 인터페이스)를 제공하는 서버를 네트워크상의 부정 호스트로부터 보호할 수 있습니다.예를 들어, 이 경우, REST 콜을 개시하는 서버는 개시 SDP 호스트, REST 서비스를 제공하는 서버는 Accepting SDP Host가 됩니다.이 유스케이스에 SDP를 실장하면, 이러한 서비스의 부하를 경감해, 클라이언트로부터 게이트웨이로의 실장에 의해서 경감되는 공격과 같은 공격을 경감할 수 있습니다.

클라이언트 대 서버 대 클라이언트

클라이언트 투 서버 투 클라이언트의 실장에서는, 2개의 클라이언트간에 피어 투 피어 관계가 확립되어 IP Phone, 채팅, 화상 회의등의 애플리케이션에 사용할 수 있습니다.이러한 경우, SDP 는 접속하고 있는 클라이언트의 IP 주소를 난독화합니다.애플리케이션 서버도 숨길 필요가 있는 경우는, 사소한 변형으로서 클라이언트로부터 게이트웨이로부터 클라이언트로의 설정도 실시할 수 있습니다.

SDP 응용 프로그램

엔터프라이즈 애플리케이션 격리

기업 네트워크 내에서만 이용 가능한 지적 재산, 재무 정보, 인사 데이터 및 기타 일련의 데이터와 관련된 데이터 침해의 경우 공격자는 네트워크 내의 컴퓨터 중 하나를 침해하여 내부 네트워크에 진입한 후 가로 방향으로 이동하여 가치가 높은 정보 자산에 액세스할 수 있습니다.이 경우 기업은 데이터센터 내에 SDP를 도입하여 네트워크를 분할하고 고부가가치 애플리케이션을 분리할 수 있습니다.허가되지 않은 사용자는 보호된 애플리케이션에 대한 네트워크접근을 할 수 없기 때문에 이러한 [12]공격이 의존하는 횡방향 이동을 경감할 수 있습니다.

프라이빗 클라우드 및 하이브리드 클라우드

SDP의 소프트웨어 오버레이 특성은 물리적 머신을 보호하는 데 유용하지만 SDP를 프라이빗 클라우드에 통합하여 이러한 환경의 유연성과 유연성을 활용할 수도 있습니다.이 역할에서 SDP는 기업이 퍼블릭 클라우드 인스턴스를 격리하여 숨기고 보호하는 데 사용하거나 프라이빗 및 퍼블릭 클라우드 인스턴스 및/또는 크로스 클라우드 클러스터를 포함하는 통합 시스템으로 사용할 수 있습니다.

SaaS(Software-as-a-Service) 벤더는 SDP를 사용하여 서비스를 보호할 수 있습니다.이 실장에서는, 소프트웨어 서비스는 SDP 호스트의 수용이 됩니다.또, 서비스에의 접속을 필요로 하는 모든 유저는, 개시 호스트가 됩니다.이를 통해 SaaS는 인터넷의 글로벌 공격 영역을 활성화하지 않고도 인터넷의 글로벌 범위를 활용할 수 있습니다.

IaaS(Infrastructure-as-a-Service) 벤더는 고객에게 SDP as-a-Service를 보호된 온램프 형태로 제공할 수 있습니다.이를 통해 고객은 IaaS의 민첩성과 비용 절감 효과를 활용하는 동시에 다양한 잠재적 공격을 완화할 수 있습니다.

Platform-as-a-Service(PaaS) 벤더는 SDP 아키텍처를 서비스의 일부로 포함시킴으로써 자사 제품을 차별화할 수 있습니다.이를 통해 최종 사용자는 네트워크 기반 공격을 완화하는 임베디드 보안 서비스를 이용할 수 있습니다.

수많은 새로운 기기들이 인터넷에 [13]접속되고 있다.이러한 디바이스를 관리하거나 이러한 디바이스에서 정보를 추출하는 백엔드 애플리케이션은 미션 크리티컬할 수 있으며 개인 데이터 또는 기밀 데이터의 관리자 역할을 할 수 있습니다.SDP를 사용하여 이러한 서버 및 서버와의 상호작용을 인터넷을 통해 숨길 수 있으므로 보안 및 업타임이 향상됩니다.[14]

「 」를 참조해 주세요.

레퍼런스

  1. ^ Department of Defense Global Information Grid Architectural Vision. 2007. pp. 28–30.
  2. ^ a b "Software Defined Perimeter". Cloud Security Alliance. Retrieved 29 January 2014.
  3. ^ Gartner, Market Guide for Zero Trust Access. "Gartner SDP Guide". gartner.com.
  4. ^ Barrie, Sosinsky (May 2004). "Perimeter networks". Search Networking. Retrieved 30 January 2014.
  5. ^ Wagner, Ray; Ray Wagner; Kelly M. Kavanagh; Mark Nicolett; Anton Chuvakin; Andrew Walls; Joseph Feiman; Lawrence Orans; Ian Keene (2013-11-25). "Predicts 2014: Infrastructure Protection". Gartner. Retrieved 19 February 2014.[데드링크]
  6. ^ McClure, Stuart (July 11, 2012). Hacking Exposed 7 Network Security Secrets & Solutions. McGraw Hill. ISBN 978-0071780285.
  7. ^ Micro, Trend. "LATERAL MOVEMENT: How Do Threat Actors Move Deeper Into Your Network?". Trend Micro. Retrieved 19 February 2014.
  8. ^ "Data Breach Investigation Report". Verizon. Retrieved 19 February 2014.
  9. ^ "IBM X-Force 2012 Mid-Year Trend and Risk Report". IBM X-Force Research and Development. Retrieved 19 February 2014.
  10. ^ "Global Threat Intelligence Report". Solutionary. Retrieved 19 February 2014.
  11. ^ "SDP vs VPN: Which One is Better?". John Brown. Retrieved 19 February 2022.
  12. ^ Moubayed, Abdallah; Refaey, Ahmed; Shami, Abdallah (October 2019). "Software-Defined Perimeter (SDP): State of the Art Secure Solution for Modern Network". IEEE Network. 33 (5): 226–233. doi:10.1109/MNET.2019.1800324. S2CID 189892671.
  13. ^ Middleton, Peter; Kjeldsen, Peter; Tully, Jim (November 18, 2013). "Forecast: The Internet of Things, Worldwide, 2013". Gartner (G00259115). Retrieved 29 January 2014.[데드링크]
  14. ^ Refaey, Ahmed; Sallam, Ahmed; Shami, Abdallah (October 2019). "On IoT applications: a proposed SDP framework for MQTT". Electronics Letters. 55 (22): 1201. Bibcode:2019ElL....55.1201R. doi:10.1049/el.2019.2334. S2CID 203048330.

외부 링크