Software Defined Perimeter
Ein Software Defined Perimeter[1] (SDP), auch als Black Cloud bezeichnet, ist ein von der Defense Information Systems Agency (DISA), im Rahmen der Black Core Network-Initiative (BCN) des Global Information Grid (GIG), entwickelter Sicherheitsansatz in Cloud-Computing-Umgebungen. SDP wird von der Cloud Security Alliance (CSA) weiterentwickelt.
Verfahren
Die Geräteidentität und Geräteintegrität wird von einem Attestation Service verifiziert. Anschließend wird der Benutzer über ein Authentifizierungsgateway authentifiziert. Nach erfolgter Authentifizierung erhält der Client von einer Attribute Authority ein Token (z. B. ein SAML-Token oder JSON Web Token (JWT)), in dem definiert ist auf welche Ressourcen der Benutzer zugreifen darf.
Mit dem Token meldet sich der Client bei einem SDP-Controller an. Dieser stellt VPN-Verbindungen mit einem oder mehreren SDP-Gateways her. Der SDP-Gateway verifiziert das Token des Nutzers erneut. Erst wenn der Gateway das Token erfolgreich verifiziert hat, wird der Zugriff auf die vom Gateway geschützte Sicherheitsgruppe gewährt.[1]
Bevor der Benutzer authentifiziert und autorisiert wurde, werden alle Internetprotokoll-Datenpakete abgelehnt, welche nicht für die Authentifizierung erforderlich sind.[2]
Automatically Defined Perimeter
Ein Automatically Defined Perimeter[3] (ADP) ist eine Erweiterung des SDP. Hierbei werden die Verbindungen des Nutzers zu geschützten Netzwerkressourcen, abhängig vom Bedarf, dynamisch auf- und wieder abgebaut. Zu jedem Zeitpunkt steht also nur eine Verbindung auf jene Ressourcen zur Verfügung, die der Client gerade benötigt.[4]
Vorteile
Da die von SDP geschützten Netzwerkessourcen nicht im öffentlichen Domain Name System (DNS) eingetragen sind und sämtliche Zugriffe ohne Autorisierung abgelehnt werden, verringert sich die Angriffsfläche auf das Netzwerk deutlich. Das geschützte Netzwerk ist von außen also nicht sichtbar (Black Network).
Die folgenden Angriffszenarien werden mit SDP abgewehrt oder zumindest deutlich erschwert:[3]
- Distributed Denial of Service (DDoS)
- Code injection
- Exploits in Anwendungssoftware und Betriebssystemen
- Man-in-the-Middle-Angriff (MITM-Angriff)
- Cross-Site-Scripting (XSS)
- Cross-Site-Request-Forgery (CSRF, XSRF)
- Pass-the-Hash (PTH)
- Rechteausweitung eines Angreifers von einer On-Premises-Infrastruktur auf die Cloud-Computing-Infrastruktur und umgekehrt
Zudem ist es möglich ein Auditing aller Zugriffe auf das Netzwerk durchzuführen, etwa um die IT-Forensik zu unterstützen.
Abgrenzung zu Network Access Control
Bei Network Access Control (NAC) wird zuerst die Netzwerkverbindung zu einer Ressource hergestellt und erst anschließend der Benutzer authentifiziert und autorisiert. Bei SDP wird hingegen zuerst die Authentifizierung und Autorisierung definiert und erst anschließend die Netzwerkverbindung in Form eines VPN hergestellt.[5]
Weblinks
- SDP Specification 1.0. (PDF) Software Defined Perimeter Working Group, Cloud Security Alliance (CSA), April 2014, abgerufen am 16. Mai 2017 (englisch).
- Software Defined Perimeter for Infrastructure as a Service. (PDF) SDP Working Group, Cloud Security Alliance (CSA), 2017, abgerufen am 16. Mai 2017 (englisch).
Quellen
- What is the Software-Defined Perimeter? Abgerufen am 9. Mai 2017 (englisch).
- Lawrence Pingree: Software Defined Perimeter Technology is More than a Fancy VPN. 23. September 2015, abgerufen am 9. Mai 2017 (englisch).
- Automatically Defined Perimeter. Abgerufen am 9. Mai 2017 (englisch).
- Automatically Defined Perimeter Controller. Abgerufen am 9. Mai 2017 (englisch).
- Network Access Control Security Must Change. Cryptzone, 2017, abgerufen am 9. Mai 2017 (englisch).