SDP представляет собой периметр с фокусом на программное, а не аппаратное обеспечение, а также на сетевые активы.
Некоммерческая организация Альянс облачной безопасности (Cloud Security Alliance, CSA) опубликовала новую спецификацию программно-определяемого периметра Software-Defined Perimeter (SDP) 2.0, разработанную рабочими группами по SDP и политике нулевого доверия (zero-trust).
SDP представляет собой периметр с фокусом на программное, а не аппаратное обеспечение, а также на сетевые активы. Учитывая повсеместное распространение облачных вычислений и переход на ПО и код, фокус на программном обеспечении является вполне логичным. SDP также продвигает основные принципы политики нулевого доверия, такие как наименее разрешительный контроль доступа и методологии, основанные на принципах «доверяй, но проверяй».
SDP сдвигает фокус защиты с сетевого периметра на активы организаций, что необходимо для полной реализации политики нулевого доверия.
SDP 2.0 включает такие ключевые архитектурные компоненты, как хосты и котроллеры, а также плоскость управления и плоскость данных, которые широко распространены как в облачных средах, так и в средах, реализующих архитектуру сервисной сетки.
Контроллер SDP играет роль точки принятия решений (policy decision point, PDP) в контексте нулевого доверия, где политики контроля доступа устанавливает пользователь. Хост SDP функционирует аналогично точке применения политик (policy enforcement point, PEP) в контексте нулевого доверия и помогает применять политики доступа с контроллера SDP.
SDP 2.0 поддерживает шесть моделей развертывания.
Ключевым аспектом реализации SDP являются связанные рабочие потоки. Сюда входит рабочий процесс начальных и последующих контроллеров SDP, а также тех, которые используются для подключения AH и IH для реализации более широкой архитектуры SDP.
Еще одним фундаментальным аспектом SDP 2.0 является стремление свести к минимуму поверхность атаки на организации за счет уменьшения видимости ресурсов для неавторизованных лиц. SDP использует одиночную пакетную авторизацию (SPA), которая делает ресурсы невидимыми для неавторизованных лиц за счет использования криптографии.
Ключевым аспектом SDP 2.0 также является реализация взаимной аутентификации между компонентами SDP.
Спецификация SDP 2.0 закладывает основу для защиты данных и ресурсов организации гораздо более зрелым способом, чем это обычно делается на большинстве предприятий. Как и любая технологическая система, она не безошибочна. Организациям следует потратить время на то, чтобы понять концепции архитектуры, реализации и модели угроз, связанные с архитектурами SDP. Это позволит им безопасно и отказоустойчиво внедрять SDP.
Одно найти легче, чем другое. Спойлер: это не темная материя