Ein Software Defined Perimeter[1] (SDP), auch als Black Cloud bezeichnet, ist ein von der Defense Information Systems Agency (DISA), im Rahmen der Black Core Network-Initiative (BCN) des Global Information Grid (GIG), entwickelter Sicherheitsansatz in Cloud-Computing-Umgebungen. SDP wird von der Cloud Security Alliance (CSA) weiterentwickelt.

Verfahren

Bearbeiten

Die Geräteidentität und Geräteintegrität wird von einem Attestation Service verifiziert. Anschließend wird der Benutzer über ein Authentifizierungsgateway authentifiziert. Nach erfolgter Authentifizierung erhält der Client von einer Attribute Authority ein Token (z. B. ein SAML-Token oder JSON Web Token (JWT)), in dem definiert ist auf welche Ressourcen der Benutzer zugreifen darf.

Mit dem Token meldet sich der Client bei einem SDP-Controller an. Dieser stellt VPN-Verbindungen mit einem oder mehreren SDP-Gateways her. Der SDP-Gateway verifiziert das Token des Nutzers erneut. Erst wenn der Gateway das Token erfolgreich verifiziert hat, wird der Zugriff auf die vom Gateway geschützte Sicherheitsgruppe gewährt.[1]

Bevor der Benutzer authentifiziert und autorisiert wurde, werden alle Internetprotokoll-Datenpakete abgelehnt, welche nicht für die Authentifizierung erforderlich sind.[2]

Automatically Defined Perimeter

Bearbeiten

Ein Automatically Defined Perimeter[3] (ADP) ist eine Erweiterung des SDP. Hierbei werden die Verbindungen des Nutzers zu geschützten Netzwerkressourcen, abhängig vom Bedarf, dynamisch auf- und wieder abgebaut. Zu jedem Zeitpunkt steht also nur eine Verbindung auf jene Ressourcen zur Verfügung, die der Client gerade benötigt.[4]

Vorteile

Bearbeiten

Da die von SDP geschützten Netzwerkessourcen nicht im öffentlichen Domain Name System (DNS) eingetragen sind und sämtliche Zugriffe ohne Autorisierung abgelehnt werden, verringert sich die Angriffsfläche auf das Netzwerk deutlich. Das geschützte Netzwerk ist von außen also nicht sichtbar (Black Network).

Die folgenden Angriffszenarien werden mit SDP abgewehrt oder zumindest deutlich erschwert:[3]

Zudem ist es möglich ein Auditing aller Zugriffe auf das Netzwerk durchzuführen, etwa um die IT-Forensik zu unterstützen.

Abgrenzung zu Network Access Control

Bearbeiten

Bei Network Access Control (NAC) wird zuerst die Netzwerkverbindung zu einer Ressource hergestellt und erst anschließend der Benutzer authentifiziert und autorisiert. Bei SDP wird hingegen zuerst die Authentifizierung und Autorisierung definiert und erst anschließend die Netzwerkverbindung in Form eines VPN hergestellt.[5]

Bearbeiten
  1. a b What is the Software-Defined Perimeter? Archiviert vom Original (nicht mehr online verfügbar) am 13. April 2017; abgerufen am 9. Mai 2017 (englisch).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.cryptzone.com
  2. Lawrence Pingree: Software Defined Perimeter Technology is More than a Fancy VPN. 23. September 2015, abgerufen am 9. Mai 2017 (englisch).
  3. a b Automatically Defined Perimeter. Abgerufen am 9. Mai 2017 (englisch).
  4. Automatically Defined Perimeter Controller. Abgerufen am 9. Mai 2017 (englisch).
  5. Network Access Control Security Must Change. Cryptzone, 2017, archiviert vom Original (nicht mehr online verfügbar) am 12. September 2017; abgerufen am 9. Mai 2017 (englisch).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.cryptzone.com