然而，這些高度安全的網(wǎng)絡通常建立在專有架構(gòu)上，不與其他網(wǎng)絡進行通信，這讓它們的部署費用非常高昂。

 

云安全聯(lián)盟(CSA)在2013年12月推出一項舉措，旨在讓這些“隱形網(wǎng)絡”可供更廣泛的政府機構(gòu)和企業(yè)訪問。軟件定義邊界(Software Defined Perimeter ，SDP)舉措將幫助開發(fā)一個架構(gòu)來保護這些物聯(lián)網(wǎng)，主要通過利用云計算在任何IP可尋址實體之間創(chuàng)建高度安全的終端到終端網(wǎng)絡。

 

該框架的目標是緩解可訪問互聯(lián)網(wǎng)的應用程序的風險，主要通過在連接網(wǎng)絡前對設(shè)備和用戶進行身份驗證。該計劃包括來自美國國家標準技術(shù)研究所和國防部的安全概念和標準。

 

另外，CSA還公布了軟件定義邊界報告( Software Defined Perimeter Report)，其中介紹了這個SDP安全框架以及如何部署它來保護應用程序基礎(chǔ)設(shè)施。CSA旨在創(chuàng)建一個公共標準，讓無許可證費用或限制的用戶可以使用。

 

SDP采用的是機密網(wǎng)絡模型來保護應用程序，因為傳統(tǒng)邊界已經(jīng)迅速成為設(shè)備在網(wǎng)絡內(nèi)部移動以及應用程序從網(wǎng)絡邊界遷移到云計算的障礙。通常在機密或高度安全網(wǎng)絡，每臺服務器被隱藏在遠程接入網(wǎng)關(guān)后面，用戶在查看和訪問授權(quán)服務之前必須進行身份驗證。

 

“SDP保留了‘需要知道’模型的優(yōu)勢，同時消除了對遠程訪問網(wǎng)關(guān)設(shè)備的缺點，”根據(jù)該CSA報告顯示，“SDP要求端點在獲取對受保護的服務器的網(wǎng)絡訪問之前，必須進行身份驗證以及獲得授權(quán)，然后，在請求系統(tǒng)和應用程序基礎(chǔ)設(shè)施之間會實時創(chuàng)建加密連接。”請求系統(tǒng)可以是移動設(shè)備，例如智能手機、計算機或者甚至是傳感器。

 

根據(jù)云計算安全公司Vidder Technologies創(chuàng)始人兼首席技術(shù)官Junaid Islam表示，SDP是基于專有安全供應商構(gòu)建的經(jīng)驗證的架構(gòu)。它采用了標準安全工具，例如公鑰基礎(chǔ)設(shè)施、可信分層安全、IPsec和安全斷言標記語言(SAML)以及聯(lián)合和地理位置等概念，來實現(xiàn)任何設(shè)備到任何基礎(chǔ)設(shè)施的連接。SDP外圍可以部署在任何位置，例如互聯(lián)網(wǎng)、云計算中、托管中心、私有企業(yè)網(wǎng)絡或者跨其中一些或全部這些地點。

 

云安全聯(lián)盟工作組正在編寫SDP標準的第一稿，這比上個月發(fā)布的白皮書將更詳細。這將允許開發(fā)人員基于該標準編寫代碼。在該草案發(fā)布后，云安全聯(lián)盟將向公眾發(fā)布開源代碼以幫助促進創(chuàng)新以及云計算供應商之間的合作。

 

這個SDP概念將會在下個月的RSA安全大會上進行公開測試，Islam表示：“我們將采用這個安全模型，進行測試來看看是否有人能夠攻破它。”結(jié)果將會公開。

 

“‘需要知道’網(wǎng)絡在政府領(lǐng)域并不是新鮮事，”Islam表示，“我們采用了很多相當舊的概念，例如驗證用戶，然后讓用戶進入他允許的網(wǎng)絡。這種概念已經(jīng)存在20年，但從來沒有標準化”

 

這種標準化將會為政府降低成本，通過吸引更多供應商進入這個生態(tài)系統(tǒng)，各種安全技術(shù)將會結(jié)合在一起來保護應用程序抵御網(wǎng)絡攻擊。

 

在該項目12月推出以來，六十多家公司已經(jīng)加入了CSA軟件定義邊界工作組。該舉措由前CIA首席技術(shù)官、現(xiàn)任Applicology公司首席執(zhí)行官Bob Flores領(lǐng)導。Flores將其30多年在機密網(wǎng)絡工作的經(jīng)驗帶到這個SDP舉措中。可口可樂公司企業(yè)架構(gòu)和新興技術(shù)負責人Alan Boehme，Verizon首席創(chuàng)新架構(gòu)師Jeff Schweitzer也對該報告作出了貢獻。