Definitionen durchsuchen :
Definition

Software-defined Perimeter (SDP)

Software-definierter Perimeter (SDP) ist ein von der Cloud Security Alliance (CSA) entwickelter Sicherheitsrahmen, der den Zugriff auf Ressourcen auf der Grundlage der Identität kontrolliert. Das Rahmenwerk basiert auf dem „need to know“-Modell des US-Verteidigungsministeriums - alle Endpunkte, die versuchen, auf eine bestimmte Infrastruktur zuzugreifen, müssen vor dem Zugang authentifiziert und autorisiert werden.

Fortsetzung des Inhalts unten

SDPs sind so konzipiert, dass Unternehmen sicheren Zugang zu netzwerkbasierten Diensten, Anwendungen und Systemen bieten können. Der SDP-Ansatz wird manchmal als „Black Cloud“ bezeichnet, weil er Systeme innerhalb des Umkreises verdeckt, so dass Außenstehende sie nicht beobachten können.

SDP-Software wurde speziell dafür entwickelt, mittleren und großen Organisationen das Perimetersicherheitsmodell zu bieten, das für Zero-Trust-Anwendungen und arbeitslastzentrierte Netzwerkverbindungen zwischen lokalen und Cloud-Umgebungen erforderlich ist. Neben der Begrenzung der Angriffsfläche beseitigt eine SDP-Lösung auch das Chaos der Netzwerkanbieter, indem sie die Installation auf jedem beliebigen Host ohne Neukonfiguration des Netzwerks oder Sperrung der Appliance ermöglicht.

Funktionsweise eines SDP

Die SDP verwendet einen Ansatz für die Cybersicherheit, der netzwerkbasierte Angriffe mildert und alle Klassifizierungsebenen von IT-Altlasten und Cloud-Diensten schützt. Sie funktioniert, indem kritische IT-Ressourcen in einer undurchsichtigen schwarzen Wolke versteckt werden, auf die Außenstehende keinen Zugriff haben. Dabei spielt es keine Rolle, ob sich die Assets in der Cloud, auf dem Gelände, in einer DMZ (Demilitarized Zone - entmilitarisierte Zone, manchmal auch als Perimeternetzwerk bezeichnet), auf einem Server in einem Rechenzentrum oder sogar in einem Anwendungsserver befinden.

Im Wesentlichen fungiert ein SDP als Vermittler zwischen internen Anwendungen und Anwendern, der nur dann Zugriff auf Dienste gewähren kann, wenn die richtigen Kriterien erfüllt sind. Das SDP schafft einen unsichtbaren Bildschirm zum Schutz vor Malware, Cyberattacken und anderen Bedrohungen.

Verwendung eines SDP

SDPs werden eingesetzt, um die Chancen für erfolgreiche netzwerkbasierte Angriffe, einschließlich Denial-of-Service(DoS)-Angriffe, Man-in-the-Middle-Angriffe, Server-Schwachstellen und Angriffe auf seitliche (laterale) Bewegungen wie SQL Injection oder Cross-Site-Scripting (XSS), zu verringern. SDPs werden aus vielen verschiedenen Gründen implementiert. Dazu zählen unter anderem die folgenden:

  • SDPs unterstützen eine Vielzahl von Geräten. Der Perimeter kann Laptops und PCs, aber auch mobile Geräte und Internet of Things (IoT)-Geräte authentifizieren, und SDPs stellen sicher, dass Verbindungen nicht von nicht autorisierten oder ungültigen Geräten aus initiiert werden können.
  • SDPs schränken den breiten Netzwerkzugang ein. Einzelnen Einheiten wird kein breiter Zugang zu Netzwerksegmenten oder Subnetzen gewährt, so dass Geräte nur auf die spezifischen Dienste und Hosts zugreifen können, die laut Richtlinie erlaubt sind. Dadurch wird die Angriffsfläche für Netzwerkangriffe minimiert und das Scannen von Ports und Schwachstellen durch böswillige Benutzer oder böswillige Software unterbunden.
  • SDPs unterstützen eine breitere risikobasierte Richtlinie. Die SDP-Systeme treffen Zugriffsentscheidungen auf der Grundlage zahlreicher Risikokriterien, darunter Bedrohungsinformationen, Malware-Ausbrüche, neue Software und mehr.
  • SDPs können für alle Arten von Verbindungen verwendet werden. Die softwaredefinierte Perimetertechnologie ermöglicht die Verbindung nur mit den IT-Ressourcen, die von den Mitarbeitern benötigt werden, ohne lästige Verwaltungsanforderungen oder steigende Hardwarekosten.
  • SDPs ermöglichen die Kontrolle von Diensten, Anwendungen und Zugriffe. SDPs sind in der Lage zu steuern, welche Anwendungen und Geräte auf bestimmte Dienste zugreifen dürfen. Dadurch wird die Angriffsfläche begrenzt und verhindert, dass sich böswillige Benutzer oder Malware mit Ressourcen verbinden.

SDP vs. VPN

Der häufigste Vorteil, den ein virtuelles privates Netzwerk (VPN) einer Organisation oder Einzelperson bietet, ist die Möglichkeit, Benutzern und Dritten Fernzugriff auf isolierte Netzwerke zu gewähren. Es gibt jedoch zwei massive Sicherheitsrisiken, die das VPN zu einer ungeeigneten Methode für die Bereitstellung von Fernzugriffen auf isolierte Netzwerke und Anwendungen machen - Diebstahl von Berechtigungsnachweisen und übermäßiger Zugriff.

Diebstahl von Berechtigungsnachweisen - wirkt sich doppelt auf VPNs aus, da Benutzer dazu neigen, auf zahlreichen Websites denselben Benutzernamen und dasselbe Kennwort zu verwenden. Da es sehr gut möglich ist, dass die Berechtigungsnachweise, die jemand für den Zugriff auf sein Social Media-Konto verwendet, die gleichen sind wie sein VPN-Konto für den Fernzugriff, ist der Diebstahl von Berechtigungsnachweisen der häufigste und effektivste Angriffsvektor für Netzwerke.

Übermäßiger Zugriff - Ein VPN bietet einem Benutzer einen „Ausschnitt des Netzwerks“ mit breitem, oft übermäßigem Zugriff auf Netzwerkressourcen, einschließlich DHCP, DNS, Switches und Router der Infrastruktur. Dies bietet nicht nur eine große Angriffsfläche für einen ungewollten Akteur, sondern ermöglicht legitimen Benutzern auch den Zugriff auf weit mehr als die ein oder zwei Anwendungen, die sie wirklich benötigen.

Es wird empfohlen, dass Administratoren softwaredefinierte Perimeter-Tools zu ihrer VPN-Infrastruktur hinzufügen. Das Ziel besteht darin, bei der Bewältigung von Sicherheitsherausforderungen zu helfen, auch bei Hybrid- und Multi-Cloud-Implementierungen, um potenzielle Angriffsflächen zum Schutz wichtiger Daten zu reduzieren. Mit SDP-Netzwerksicherheitssoftware sind Netzwerkadministratoren in der Lage, hochverfügbare Microperimeter für Hybrid- und Multi-Cloud-Umgebungen dynamisch bereitzustellen, um Dienste für einen granularen Benutzerzugriff zu isolieren.

Zusätzlich zu den zuvor aufgezählten VPN-Sicherheitsrisiken stellen kompromittierte Geräte die größte Herausforderung bei der Verwendung eines Mobiltelefons oder Tablets als VPN-Zugangsgerät dar. Jedes Gerät, das über VPN auf ein isoliertes Netzwerk zugreift, stellt ein reales Risiko dar, Malware in diese Netzwerkumgebung zu bringen. Es gibt nichts im VPN-Verbindungsprozess, das den Zustand eines Geräts bewertet. Wenn sich irgendeine Art von Malware auf einem Zugriffsgerät befindet, könnte sich die bösartige Software über das VPN in das weitere isolierte Netzwerk ausbreiten und unsägliche Verwüstungen anrichten (beispielsweise Verschlüsselung durch Ransomware und daraus resultierende Lösegeldforderungen).

SDP Framework

Die softwaredefinierte Perimetertechnologie ermöglicht einen sicheren Perimeter auf der Grundlage von Richtlinien, die zur Isolierung von Diensten von ungesicherten Netzwerken verwendet werden. Das Ziel des SDP-Frameworks der CSA ist es, ein dynamisch bereitgestelltes, Air-Gap-Netzwerk auf Abruf bereitzustellen - eine Segmentierung von Netzwerkressourcen, die einen physisch definierten Netzwerkperimeter widerspiegelt, aber in Software statt über eine Appliance arbeitet -, indem Benutzer und Geräte authentifiziert werden, bevor die Benutzer/Geräte-Kombination autorisiert wird, eine sichere Verbindung zu den isolierten Diensten herzustellen. Nicht autorisierte Benutzer und Geräte können keine Verbindung zu den geschützten Ressourcen herstellen.


Die Cloud Security Alliance erläutert software-defined
Perimeter.

Wenn die Authentifizierung abgeschlossen ist, erhalten die vertrauenswürdigen Geräte eine eindeutige und temporäre Verbindung zur Netzwerkinfrastruktur. Das SDP-Framework ermöglicht es Unternehmen, den Betrieb zu rationalisieren, wenn es um Benutzerauthentifizierung und Anwendungssicherheit geht.

SDP-Bereitstellungsmodelle

SDP-Bereitstellungsmodelle lassen sich durch die Art und Weise charakterisieren, wie sie die Interaktionen zwischen Clients, Servern und Gateways strukturieren. Zu den wichtigsten Ansätzen zur Implementierung softwaredefinierter Perimetertechnologie gehören:

  • Client-zu-Gateway-Bereitstellung positioniert die Server hinter einem Accepting Host, der als Gateway zwischen den geschützten Servern und den Clients fungiert - Initiating Hosts in SDP-Terminologie. Das Client-to-Gateway-SDP kann innerhalb eines Netzwerks eingesetzt werden, um Angriffe auf laterale Bewegungen wie Ausnutzung von Schwachstellen des Betriebssystems (OS) und von Anwendungen, Man-in-the-Middle-Angriffe und Server-Scans zu reduzieren. Es kann auch direkt im Internet eingesetzt werden, um geschützte Server von nicht autorisierten Benutzern zu trennen und Angriffe abzuschwächen.
  • Die Client-zu-Server-Bereitstellung ist ähnlich wie die Client-zu-Gateway-Bereitstellung, mit der Ausnahme, dass der durch das SDP geschützte Server das System ist, auf dem die Software des Akzeptierenden Hosts ausgeführt wird - anstelle des Gateways. Die Entscheidung zwischen der Client-zu-Gateway- und der Client-zu-Server-Bereitstellung basiert in der Regel auf einer Reihe von Faktoren, darunter die Analyse der Lastausgleichs-Anforderungen, die Elastizität der Server - wie anpassungsfähig der Cloud-Server an Änderungen der Arbeitslasten ist - und die Anzahl der Server, die ein Unternehmen hinter dem SDP schützen muss.
  • Bei Server-zu-Server-Installationen werden Server verwendet, die jede Art von API (Application Programming Interface) über das Internet anbieten und vor allen nicht autorisierten Hosts im Netzwerk geschützt werden können - einschließlich eines SOAP-Dienstes (Simple Object Access Protocol), eines RPC-Dienstes (Remote Procedure Call), eines REST-Dienstes (Representational State Transfer) oder ähnlichem - und zur Kommunikation zwischen dem akzeptierenden Host und dem initiierenden Host verwendet werden.
  • Client-zu-Server-zu-Client-Implementierungen hängen von einer Peer-to-Peer (P2P)-Beziehung zwischen den Clients ab, die für Anwendungen wie Chat, Videokonferenzen, IP-Telefonie und ähnliche Anwendungen genutzt werden kann. Bei diesem Einsatz verschleiert das SDP die IP-Adressen der verbindenden Clients, wobei der Server als Vermittler für beide Clients fungiert.
Diese Definition wurde zuletzt im Oktober 2020 aktualisiert

ComputerWeekly.de

Close