СДП | это… Что такое СДП?

ТолкованиеПеревод

СДП

СДП

снегоочиститель двухпутный плуговый

Словарь: С. Фадеев. Словарь сокращений современного русского языка. — С.-Пб.: Политехника, 1997. — 527 с.

СДП

стержень дополнительного поглощения

СДП

санитарно-дегазационный пункт

мед.

Словарь: Словарь сокращений и аббревиатур армии и спецслужб. Сост. А. А. Щелоков. — М.: ООО «Издательство АСТ», ЗАО «Издательский дом Гелеос», 2003.

— 318 с.

СДП

система динамического позиционирования

СДП

Сенегальская демократическая партия

полит., Сенегал

Словарь: С. Фадеев. Словарь сокращений современного русского языка. — С.-Пб.: Политехника, 1997. — 527 с.

СДП

Суринамская демократическая партия

полит., Суринам

СДП

диспетчерский пункт Старт

авиа

СДП

Советское Дунайское пароходство

СССР

1. СДП
2. эсде

Социал-демократическая партия

в ряде стран

полит.

1. СДП

Словарь: С. Фадеев. Словарь сокращений современного русского языка. — С.-Пб.: Политехника, 1997. — 527 с.

1. СвДП
2. СДП

Свободная демократическая партия

Германия, полит., Турция

2. СДП

Словарь: С. Фадеев. Словарь сокращений современного русского языка. — С.-Пб.: Политехника, 1997. — 527 с.

СДП

Социалистическая дустуровская партия

полит., Тунис

СДП

сборное дорожное покрытие

СДП

Сербская демократическая партия

полит. , Сербия

Словарь: С. Фадеев. Словарь сокращений современного русского языка. — С.-Пб.: Политехника, 1997. — 527 с.

СДП

стационар дневного пребывания

мед.

СДП

система динамического подмагничивания

СДП

Союздорпроект

Институт по проектированию и изысканиям автомобильных дорог «Союздорпроект»

http://sdp-mos.ru/​

Москва, организация

СДП

специализированное дочернее предприятие

организация

СДП

Словенская демократическая партия

полит. , Словения

Источник: http://www.ria.ru/world/20111204/506020730.html

СДП

стойка дистанционного питания

связь

СДП

стерилизационно-дистилляционный прицеп

в маркировке, мед.

СДП

сигнальный датчик повреждений

техн.

СДП

служебный дизельпоезд

ж.-д.

Источник: http://www.parovoz.com/1520mm/FAQ.php

СДП

система денежных переводов

фин.

Источник: http://www. bizbank.ru/modules.php?name=Content&pa=showpage&pid=756

СДП

стартовый диспетчерский пункт

авиа

Источник: http://www.radioscanner.ru/avia/freq1.php

1. СДиП
2. СДП

секция дисциплины и порядка

образование и наука

1. СДиП

Источник: http://www.polit.ru/news/2006/02/28/golomord.popup.html

СДП

сертифицированный директор программ (проектов)

англ.: CPD, certificated project director

уровень А международной сертификации

англ.

Источник: http://www.sovnet. ru/pages/sertif/level_a.htm

СДП

свободный денежный поток

фин.

Источник: http://www.micex.ru/off-line/indicatordocs/article_328.pdf

Словарь сокращений и аббревиатур. Академик. 2015.

Игры ⚽ Нужна курсовая?

• БР и РЭБ
• УПД

Полезное

Что такое программно определяемый периметр (SDP)?

Zpedia / Что такое программно определяемый периметр?

Часы

Как возникла SDP?

Впервые концептуализированные Агентством оборонных информационных систем (DISA) в 2007 году, SDP построены на модели «необходимо знать» с доверием, которое постоянно отслеживается и адаптируется на основе ряда критериев. Они делают инфраструктуру приложений невидимой для Интернета, уменьшая поверхность атаки от сетевых атак (DDoS, программы-вымогатели, вредоносное ПО, сканирование серверов и т.  д.).

Альянс безопасности облачных вычислений (CSA) заинтересовался этой концепцией и начал разработку платформы SDP на ранних стадиях. В 2011 году, когда SDP все еще была новой концепцией, Google стала одной из первых компаний, разработавших собственное решение SDP, Google BeyondCorp. Сегодня организации, внедряющие SDP, модернизируют безопасность своих конечных точек, облачных сред и приложений, особенно в условиях перехода к работе из любого места.

Какова цель SDP?

В современном гибридном мире традиционный аппаратно-определяемый сетевой периметр, предназначенный для корпоративного офиса, больше не является жизнеспособным. SDP не только снижает риск для конечных точек, которые подключаются откуда угодно, но и — с помощью контроллера SDP — более равномерно распределяет сетевые ресурсы. Поскольку эти ресурсы определяются на индивидуальной основе, управление доступом централизовано и упрощено, что обеспечивает безопасный доступ во всей организации.

Интернет стал корпоративной сетью, и локальные решения не могут устанавливать безопасные сетевые подключения, особенно с появлением BYOD, оставляя дверь открытой для хакеров и неавторизованных пользователей. Правильно реализованная модель SDP предоставляет пользователям доступ на основе принципа наименьших привилегий, аналогичного микросегментации. Из-за этого злоумышленникам, получившим доступ к сети, становится сложнее перемещаться в горизонтальном направлении.

Как работает SDP?

SDP использует другой подход по сравнению с традиционной сетевой безопасностью. Вместо того, чтобы сосредотачиваться на защите сети, SDP сосредотачивается на защите пользователя, приложения и связи между ними. Четыре основных принципа отличают технологии SDP:

1. Доверие никогда не бывает неявным: Традиционная сетевая безопасность предлагает пользователям чрезмерное доверие. С SDP доверие нужно заслужить. А именно, SDP предоставляют доступ к приложению только тем пользователям, которые прошли проверку подлинности и специально уполномочены использовать это приложение. Кроме того, авторизованным пользователям предоставляется доступ только к приложению, а не к сети.
2. Нет входящих подключений: В отличие от виртуальной частной сети (VPN), которая прослушивает входящие подключения, SDP не получают входящие подключения. Отвечая только исходящими соединениями, SDP делают сеть и инфраструктуру приложений невидимыми или скрытыми для Интернета и, следовательно, не могут быть атакованы.
3. Сегментация приложений, а не сегментация сети: В прошлом организациям приходилось выполнять сложную сегментацию сети, чтобы предотвратить перемещение пользователя (или заражения) по сети. Это работало достаточно хорошо, но никогда не было гранулированным и требовало постоянного обслуживания. SDP обеспечивает встроенную сегментацию приложений, которая может управлять доступом на индивидуальной основе, что приводит к гораздо более детализированной сегментации, которой намного проще управлять вашей ИТ-команде.
4. Использование безопасного Интернета: С учетом того, что пользователи повсюду, а приложения перемещаются за пределы вашего центра обработки данных, вашей организации необходимо отказаться от сетецентрического подхода. Вам необходимо переместить безопасность туда, где находятся ваши пользователи, а это означает использование Интернета в качестве вашей новой корпоративной сети. SDP ориентирован на защиту подключений пользователя к приложению через Интернет, а не на защиту доступа пользователей к вашей сети.

С архитектурной точки зрения SDP принципиально отличается от сетецентрических решений. SDP устраняют накладные расходы предприятия на развертывание устройств и управление ими. Внедрение архитектуры SDP также упрощает стек входящей почты, снижая зависимость от VPN, защиты от DDoS-атак, глобальной балансировки нагрузки и брандмауэров.

Варианты использования SDP

Несмотря на то, что SDP имеет множество вариантов использования, многие организации предпочитают начинать с одной из следующих четырех областей:

Поиск альтернативы VPN

Организации стремятся сократить или исключить использование VPN, поскольку они мешают работе пользователей, создают угрозу безопасности и ими трудно управлять. SDP напрямую решают эти печально известные проблемы VPN, улучшая возможности удаленного доступа. Фактически, Cybersecurity Insiders сообщает, что 41% организаций хотят переоценить свою инфраструктуру безопасного доступа и рассмотреть SDP, при этом большинству из них требуется гибридное развертывание ИТ, а четверть внедряет SaaS.

Защита многооблачного доступа

Многие организации используют многооблачную модель, например, объединяя Workday и Microsoft 365, а также инфраструктурные сервисы от AWS и Azure. Они также могут использовать облачную платформу для разработки, облачного хранилища и многого другого. Необходимость защиты этих сред приводит организации к SDP из-за их способности защищать соединения на основе политик, независимо от того, откуда подключаются пользователи или где размещены приложения.

Снижение риска третьих лиц

Большинство сторонних пользователей получают привилегированный доступ, что создает брешь в безопасности предприятия. SDP значительно снижают риски для третьих лиц, гарантируя, что внешние пользователи никогда не получат доступ к сети, а авторизованные пользователи имеют доступ только к тем приложениям, которые им разрешено использовать.

Ускорение интеграции слияний и поглощений

При традиционных слияниях и поглощениях ИТ-интеграция может длиться годами, поскольку организации объединяют сети и имеют дело с перекрывающимися IP-адресами — невероятно сложные процессы. SDP упрощает процесс, сокращая время, необходимое для успешного заключения сделки по слиянию и поглощению, и обеспечивает немедленную выгоду для бизнеса.

SDP и сетевой доступ с нулевым доверием (ZTNA)

Модель ZTNA стала хорошо известной структурой безопасности, но многие люди не понимают, что она основана на тех же принципах, что и SDP. Фактически ZTNA использует принципы и функциональные возможности SDP. В обоих методах внутренняя сеть отсутствует, и пользователям разрешен доступ к ресурсам только в том случае, если контекст запроса (пользователь, устройство, личность и т. д.) правильный.

Чтобы помочь организациям достичь такого высокого уровня безопасности, поставщики обещают платформу ZTNA, которая может обеспечить безопасность ресурсов вашей организации. Но многие из этих фреймворков представляют собой просто облачную платформу безопасности, принудительно устанавливаемую поверх устаревших устройств, или, что еще хуже, они разработаны поставщиками сетевых услуг, которые приклеивают модуль безопасности, пытаясь проникнуть в пространство безопасности.

Эти платформы не обеспечивают масштабируемость, гибкость и, прежде всего, безопасность, которые может предложить платформа, созданная в облаке для облака.

Zscaler, SDP и ZTNA

Zscaler Zero Trust Exchange™ включает в себя Zscaler Private Access™ (ZPA), единственную в отрасли платформу нового поколения SDP/ZTNA. ZPA переопределяет возможность подключения и безопасность частных приложений для современной гибридной рабочей силы, применяя принципы наименьших привилегий, которые обеспечивают пользователям безопасное прямое подключение к частным приложениям, работающим локально или в общедоступном облаке, при этом исключая несанкционированный доступ и горизонтальное перемещение.

Частный доступ Zscaler дает вашей организации следующие возможности:

• Повышение производительности гибридной рабочей силы благодаря быстрому беспрепятственному доступу к частным приложениям, независимо от того, находятся ли ваши пользователи дома, в офисе или в любом другом месте
• Снизьте риск утечки данных , сделав приложения невидимыми для злоумышленников, при этом обеспечивая доступ с минимальным уровнем привилегий, эффективно минимизируя поверхность атаки и устраняя боковое перемещение
• Остановите самых продвинутых злоумышленников с помощью первой в своем роде защиты частных приложений, которая сводит к минимуму риск скомпрометированных пользователей и активных злоумышленников
• Расширьте безопасность с нулевым доверием для приложений, рабочих нагрузок и IoT с помощью самой полной в мире платформы ZTNA, которая обеспечивает доступ с минимальными привилегиями к частным приложениям, рабочим нагрузкам и устройствам OT/IIoT
• Снижение операционной сложности с помощью собственной облачной платформы, которая устраняет устаревшие виртуальные частные сети, которые трудно масштабировать, управлять и настраивать в облачном мире

Чтобы узнать больше о технологии SDP/ZTNA, ознакомьтесь с ZPA вблизи. Вы даже можете взять ZPA на бесплатный тест-драйв на 7 дней!

Предлагаемые ресурсы

• Внедрение SDP, чтобы сделать приложения недоступными для Интернета

  Смотреть видео

• Использование SDP для защиты доступа к частным приложениям в мультиоблачных средах

  Читать технический документ

• SDP против VPN: 6 вопросов, которые часто задают администраторы

  Читать блог

• Что такое Security Service Edge (SSE)?

  Прочитать статью

Что такое программно-определяемый периметр (SDP)?

Программно-определяемые периметры (SDP) используются для борьбы с этими и другими видами атак. Они дают ИТ-администраторам возможность развертывать периметры вокруг самой сети. Их можно применять в различных средах, в том числе в Интернете, в центрах размещения, в облаке или в частной корпоративной сети.

Программно-определяемый периметр — это метод сокрытия инфраструктуры, подключенной к Интернету, такой как маршрутизаторы и серверы, чтобы внешние пользователи не могли ее увидеть. Неважно, размещена ли инфраструктура в облаке или локально — для ее защиты все равно можно развернуть SDP. SDP основывается на использовании программного обеспечения, а не аппаратного обеспечения, для защиты среды. Поскольку это программное обеспечение, его приложения более разнообразны, а процесс развертывания более гибкий, чем аппаратные решения.

Традиционно предприятие стремилось разработать архитектуру сетевой безопасности с основной целью изоляции внутренней сети от остального мира. Это часто достигалось с помощью брандмауэра, который предотвращал вход посторонних, но позволял выйти из сети тем, кто находится внутри сети.

Во многих случаях эта установка обеспечивала адекватную работу по предотвращению проникновения внешних угроз в систему и воздействия на внутренние службы. Брандмауэры могут предотвратить проникновение угроз внутрь сети и помешать хакерам подробно изучить меры безопасности внутренней сети организации. Ограничивая видимость хакеров и возможности, которые вредоносное ПО может использовать для проведения атак, традиционные меры безопасности смогли защитить многие системы с определенным уровнем эффективности.

Однако у этой модели есть недостатки. В первую очередь из-за того, что существует так много устройств, которыми пользователи управляют самостоятельно, каждое устройство становится уязвимостью. Если ИТ-администратор контролирует использование устройства и меры безопасности, применяемые для его защиты и сети, то и устройство, и сеть становятся более безопасными. Но если устройством управляет отдельный пользователь, он может или не может должным образом защитить его от атаки. Это может сделать всю сеть уязвимой.

Кроме того, хакеры использовали фишинговые атаки для получения доступа к сетевым ресурсам и информации. Поскольку пользователю нужно только ввести учетные данные — после того, как они уже находятся в сети — для доступа к конфиденциальным областям, хакеру достаточно использовать фишинговую атаку для сбора учетных данных пользователя. Затем они находятся внутри. При фишинговой атаке пользователя обманом заставляют ввести свои учетные данные на сайте, который хакер использует для сбора своей информации. Атака чаще всего начинается с электронного письма, и после того, как пользователь нажимает на ссылку, переходит на поддельный веб-сайт и вводит свои учетные данные для входа, хакер может получить их из базы данных сайта и использовать для проникновения в систему.

Один из основных принципов SDP заключается в том, что пользователи не могут получить доступ, пока не будут аутентифицированы. Это отличает его от настроек управления на основе доступа, которые могут позволить пользователю попасть внутрь сети, но ограничить его привилегии до тех пор, пока он не аутентифицирует свою личность и, следовательно, не получит права доступа к конфиденциальным областям.

Еще одним важным отличительным фактором является то, что система SDP аутентифицирует как пользователя, так и используемое им устройство. Это обеспечивает дополнительный уровень безопасности, потому что даже если хакер сможет украсть учетные данные законного пользователя, если он находится на своем собственном устройстве, он все равно не сможет обойти защиту SDP.

Однако существуют некоторые потенциальные проблемы безопасности с SDP. Если кто-то украдет и учетные данные пользователя, и устройство, он все равно сможет попасть в сеть. Затем, оказавшись внутри, они также могут получить доступ к прикладному уровню в дополнение к сетевому уровню. Это может сделать ваши приложения уязвимыми для атак, особенно если у вас нет другого уровня безопасности, защищающего их от злоумышленников.

Потребность в защите сетей с помощью SDP растет из-за того, как развиваются сети и использование устройств. Растущий масштаб сетей и устройств делает еще более острой проблему защиты вашей инфраструктуры с программно-определяемой архитектурой периметра. Каждое устройство, добавляемое в сеть, автоматически становится потенциальной поверхностью атаки, как и другие сети, связанные с первичной, вторичной или третичной сетью.

Сюда входят устройства, которые пользователи приносят в рабочую среду, поскольку они используют преимущества политики использования собственных устройств (BYOD), а также расширения сети через облачные или гибридные среды. Чем больше пользователей и систем подключено, тем выше риск. Использование программно-определяемого периметра может полностью предотвратить доступ злоумышленников к сети, обеспечивая более надежную защиту.

Cloud Security Alliance, некоммерческая организация, занимающаяся исследованиями и образованием в области облачной безопасности, сформировала рабочую группу по программно-определяемому периметру для разработки и усовершенствования технологии. Принцип, мотивирующий группу, заключался в том, чтобы контролировать доступ к ресурсам в сети на основе личности пользователя. Таким образом, злоумышленники будут держаться подальше от важных областей сети и самой сети.

С момента своего создания программно-определяемые решения периметра были приняты и разработаны многими ведущими поставщиками сетевых решений в мире. Ожидается, что объем рынка вырастет до 13,8 млрд долларов в период до 2024 года. Также ожидается, что совокупный годовой темп роста (CAGR) составит 36,5%.

На поставщиков программно-определяемых периметров возложена задача не только предотвращения доступа незаконных пользователей к определенным частям сети, но и предотвращения проникновения внутрь самой сети. Для этого система использует безопасность с нулевым доверием, которую часто называют подходом «черного облака», а также принцип сначала аутентификации, а затем доступа.

Безопасность с нулевым доверием

Нулевое доверие предполагает, что каждый человек, машина и сеть являются злонамеренными. Прежде чем им будет разрешен доступ к сети, они должны подтвердить свою — доброжелательную — личность.

Для иллюстрации представьте консьержа, которого мы назовем Джорджем, в элитном многоквартирном доме, где вы живете. Когда вы впервые въезжаете, вы представляетесь Джорджу, и он дает вам карточку, которая служит ключом от вашей квартиры. Вы также можете провести картой, чтобы получить доступ к тренажерному залу, бизнес-зоне, конференц-залам и местам общего пользования. На следующий день вы решаете пойти в спортзал после того, как закончите работу. Вы входите в парадную дверь и видите Джорджа. Он кивает вам, узнавая ваше лицо. Вы киваете в ответ, произносите короткое приветствие и направляетесь в спортзал. Вы проводите своей картой, чтобы получить доступ к раздевалке, переодеваетесь, затем снова проводите ею, чтобы попасть в саму тренировочную зону.

Так работает традиционная система безопасности. Когда Джордж видит твое лицо, он верит, что ты тот, кем кажешься. Кроме того, поскольку у вас есть учетные данные для доступа — ваша ключ-карта — после того, как Джордж кивнет вам, вы можете перейти в различные области «инфраструктуры» здания. Однако, если у вас есть идентичный близнец, который крадет вашу ключ-карту, он, вероятно, может войти, получить кивок от Джорджа и получить доступ к тем же вещам, что и вы. В этом слабость системы, основанной на доверии. Если устройство используется и проверяется в один день, а то же самое устройство используется на следующий день, система на основе доверия разрешает доступ. Однако тот, кто украдет устройство, может злоупотребить этим доверием.

С другой стороны, система безопасности с нулевым доверием всегда подвергает сомнению любого или что-либо, пытающееся получить доступ. Чтобы отразить настоящую систему нулевого доверия, Джорджу придется заставлять вас подтверждать свою личность с помощью биометрических данных каждый раз, когда вы входите в здание. Кроме того, легитимность вашей карты-ключа также должна быть проверена, возможно, с использованием постоянно меняющегося токена, который может быть получен только с помощью законной карты-ключа. Таким образом, если пользователь или используемое им устройство являются мошенническими, пользователю будет отказано в доступе к сети.

Программно-определяемый периметр полностью соответствует принципам безопасности с нулевым доверием из-за требуемых проверок. Любой, кто пытается подключиться, должен сначала подтвердить свою личность. Кроме того, SDP оценивает состояние используемого устройства, чтобы убедиться, что оно не представляет угрозы. Только после того, как и устройство, и пользователь будут признаны безопасными, будет разрешено соединение.

Что такое SDP в сети? В некотором смысле это еще один тип методологии нулевого доверия. Его динамика соединения соответствует нулевому доверию, потому что независимо от того, пытается ли пользователь, устройство или сеть подключиться, SDP предполагает, что это угроза, и может взаимодействовать с сетью только после того, как докажет, что это не так.

SDP и VPN похожи тем, что пользователи не могут подключиться к ним без предоставления учетных данных. Оба используют строгую схему авторизации, чтобы убедиться, что пользователи не представляют риска.

Однако на этом сходство заканчивается. SDP в некотором смысле значительно более безопасны, чем VPN. Например, VPN позволяет любому пользователю, подключившемуся к сети, получить доступ ко всей экосистеме. SDP, с другой стороны, не позволяют всем пользователям получать доступ ко всем областям сети. Вместо этого каждый пользователь получает свое собственное соединение.

Каждое соединение SDP можно настроить так, чтобы оно соответствовало потребностям отдельных пользователей. С VPN у вас есть единый безопасный портал, которым пользуются все. Таким образом, развертывание SDP очень похоже на предоставление каждому пользователю собственной индивидуальной VPN.

Еще одно ключевое отличие заключается в том, что SDP можно устанавливать где угодно и с самыми разнообразными инфраструктурами просто потому, что они основаны на программном обеспечении, а не на аппаратном. Это означает, что они могут одинаково хорошо защитить вашу локальную или облачную инфраструктуру.

Черное облако для сетевой безопасности

Внедряя инфраструктуру черного облака для сетевой безопасности, вы возводите стену между своей сетью и злоумышленниками. Они не видят сеть. Поэтому они не могут взломать его. Когда злоумышленник может заглянуть в сеть, он может искать уязвимости. Даже если ваши различные сетевые компоненты защищены, хакер все равно сможет найти лазейки.

Например, некоторые брандмауэры с трудом останавливают угрозы нулевого дня. Если злоумышленник может заглянуть внутрь сети, часть которой защищена межсетевым экраном такого типа, он может разработать атаку нулевого дня, которая сможет обойти ее.

С другой стороны, с программно-определяемой защитой периметра злоумышленник не может даже заглянуть внутрь сети. Это исключает возможность разработки методов атаки для различных компонентов сети или ее функций безопасности.

Черное облако названо так потому, что оно делает сеть за ним «черной» или невидимой. Он похож на банковское хранилище, полностью заключенное в огромный стальной куб. Прежде чем вор сможет даже попытаться вычислить комбинацию для хранилища, ему придется пройти сквозь стальные стены вокруг него.

Кроме того, поскольку вор не может видеть сквозь стальные стены, он не знает, защищено ли хранилище старомодным вращающимся кодовым замком, биометрическим считывателем или другими устройствами безопасности. Вор также не может знать, как работает механизм открытия хранилища. Это огромный засов, одна защелка или их комбинация? Потому что вор понятия не имеет, что там находится, он не знает, какие инструменты взять с собой или какие технологии ему нужны, чтобы проникнуть внутрь.

То же самое с сетевой безопасностью черного облака. Сеть может быть защищена брандмауэрами, брандмауэрами следующего поколения (NGFW), мерами безопасности веб-приложений, внутренней многофакторной аутентификацией (MFA), защитой от вредоносных программ, системами предотвращения потери данных, безопасностью электронной почты — этот список можно продолжить. Но вор понятия не имеет, с чем им предстоит столкнуться, если и когда они преодолеют «стальные стены» черного облака.

В некотором смысле компании, занимающиеся программно определяемым периметром, предлагают что-то похожее на виртуальную частную сеть (VPN). Пользователи остаются снаружи, если у них нет соответствующих учетных данных. Однако SDP отличаются, прежде всего, тем, что сетевые подключения не используются совместно между подключаемыми устройствами.

Кроме того, SDP предлагают больше возможностей, чем VPN. С VPN, как только вы вошли, вы уже внутри. С SDP администратор может выбирать, к каким ресурсам пользователь имеет доступ, как только им разрешается видимость сети и вход. Таким образом, хотя SDP может включать в себя VPN как элемент своей архитектуры, это совершенно другое решение для обеспечения безопасности.

Подход «Сначала аутентификация, затем доступ»

Если сначала выполняется аутентификация, а затем доступ, пользователю не разрешается доступ к сети или любому из ее компонентов. Это отличается от архитектур, которые позволяют пользователям проникать внутрь сети, но требуют от них предоставления учетных данных для использования определенных ее аспектов. Например, любой пользователь может получить доступ к сети, но только те, у кого есть правильные учетные данные, могут пользоваться услугами, предоставляемыми почтовым сервером.

При подходе «сначала аутентификация, а затем доступ», никому не разрешено входить в любой аспект сети, если они не были предварительно аутентифицированы. Таким образом, злоумышленники лишаются возможности видеть сеть, ее компоненты, внутренние системы и приложения.

Когда пользователь находится внутри, можно создать дополнительные ограничения доступа, которые можно обойти только с помощью дополнительных средств аутентификации. В идеале оба уровня безопасности доступа должны включать многофакторную проверку подлинности, которая требует нескольких мер аутентификации, таких как что-то, что пользователь имеет на своем физическом лице, что-то, что пользователь знает, и биометрические данные пользователя.

Подход «сначала аутентификация, потом доступ» — это еще один аспект SDP, который делает его похожим на VPN. При использовании VPN пользователю необходимо подтвердить свои учетные данные, прежде чем получить доступ к сети. Если у них нет надлежащих учетных данных, они не допускаются в сеть. Таким образом, они не видят сеть и не могут пытаться скомпрометировать определенные ее аспекты.

Однако, как и в случае с VPN, если не применять дополнительные меры безопасности, SDP может оказаться уязвимым, если злоумышленник украдет чужие учетные данные. Другая опасность, связанная с чрезмерным использованием сначала аутентификации, а затем доступа, заключается в том, что, в отличие от VPN, обмен данными, происходящий в сети, не шифруется автоматически в рамках SDP. Поэтому, если злоумышленник получит доступ, он потенциально может шпионить за общением других людей в сети.

По этим причинам важно усилить решение SDP дополнительными уровнями безопасности. Некоторые примеры включают NGFW или брандмауэры веб-приложений (WAF).

Технология, лежащая в основе подхода SDP, способна создать периметр, защищая его с помощью политик, которые изолируют службы, отделяя их от незащищенных сетей. Это часто достигается с использованием принципа наименьших привилегий. Это означает, что доступ к ним разрешен только тем, кому абсолютно необходимо использовать определенные ресурсы для выполнения своей работы.

При реализации принципа наименьших привилегий вы защищены от множества векторов угроз. Двое из них — это злоумышленники, которые попытаются скомпрометировать сеть, используя чужие учетные данные, и те, кто может случайно оставить свои учетные данные или доступ для кого-то другого.

Например, если кому-то разрешен доступ как к почтовому серверу, так и к настройкам брандмауэра, но ему нужен только почтовый сервер для выполнения своей работы, это нарушит концепцию наименьших привилегий. Если они должны оставить свой компьютер включенным и покинуть свою рабочую станцию, кто-то может проникнуть и получить доступ к настройкам брандмауэра, изменив их, чтобы позволить будущей атаке проникнуть в сеть. При использовании принципа наименьших привилегий такого рода ошибка подвергает атаке только учетную запись электронной почты пользователя, а не ее и конфигурацию брандмауэра. Следовательно, наименьшие привилегии являются неотъемлемым аспектом SDP.

SDP может аутентифицировать пользователей, а также устройства, прежде чем позволить любому из них получить доступ к сети. Для этого архитектура SDP зависит от двух основных компонентов: контроллеров и хостов. Контроллеры SDP могут определять, как взаимодействуют хосты SDP. В архитектуре SDP хост SDP может либо инициировать связь, либо принять ее. Хост, который инициирует связь, сначала подключается к контроллеру SDP. Это соединение используется для определения того, к каким другим узлам SDP будет разрешено подключаться инициирующему узлу. Хост SDP, который получает это сообщение, может получить его, только если оно отправляется через контроллер SDP.

В архитектуре SDP устройства, которые люди пытаются использовать для доступа к сети или ее части, называются клиентами. Существуют различные способы, которыми клиент может попытаться подключиться к области сети. Вы можете настроить SDP в качестве шлюза, который выступает в качестве функции безопасности посредника между клиентом и серверами, которые защищает SDP. В архитектуре шлюза принимающий узел SDP получает запрос от клиента, например приложения на настольном компьютере. Таким образом, шлюз SDP «знакомит» клиента с сервером и его ресурсами — только после проверки легитимности клиента и его пользователя.

Вот как все компоненты, участвующие в процессе SDP, работают вместе:

1. Клиент инициирует запрос, который идет прямо к контроллеру SDP. Затем контроллер отвечает на запрос клиента. В своем ответе контроллер SDP предоставляет список того, к чему разрешен доступ клиенту. Ресурсы, к которым разрешен доступ клиенту, регулируются предварительно разработанными политиками.
2. После того, как контроллер завершил определение того, использует ли клиент соответствующий шлюз, контроллер пересылает всю необходимую информацию о политике доступа на шлюз. Затем шлюз может связаться с клиентом, работающим на конечной точке, например на компьютере, планшете или другом устройстве.
3. Клиент получает эту информацию и обрабатывает ее, распознавая политики, которые он должен выполнять, а также шлюзы, к которым он должен подключаться. Как только клиент узнает, какие шлюзы ему нужны для получения нужных ему услуг, он может инициировать процесс аутентификации, уникальный для этого конкретного клиента. Эта аутентификация будет основываться на информации об устройстве, уникальной для него, такой как его конфигурация, адрес интернет-протокола (IP) и другая информация, часть которой может зависеть от контекста, в котором подключается клиент. Например, данные геолокации могут использоваться для проверки подлинности подключения. Если этот клиент всегда подключается из Лос-Анджелеса, но внезапно выходит из Северной Кореи, систему можно запрограммировать на отклонение попытки подключения.
4. Затем контроллер получает информацию и проверяет, удовлетворяет ли клиент требованиям аутентификации. Контроллер также проверяет состояние безопасности клиента. Состояние безопасности — это моментальный снимок уровня угрозы клиента, и если оно не соответствует предварительно определенному безопасному состоянию, клиенту может быть отказано в доступе.
5. После аутентификации клиенту разрешается безопасно подключаться к шлюзу. На этом этапе данные могут быть отправлены напрямую между клиентом и ресурсами, к которым он пытался получить доступ.

Чтобы настроить программно-определяемый периметр, необходимо сначала подтвердить личность пользователя. Это можно сделать с помощью MFA, единого входа (SSO) или других методов, таких как язык разметки утверждений безопасности (SAML).

Следующим шагом является проверка безопасности устройства. Это необходимо сделать как до того, как устройству будет разрешено подключиться, так и после завершения сеанса. Для этого можно использовать различные точки данных, относящиеся к устройству, включая его местоположение, статус вредоносных программ, информацию реестра, настройки антивируса, шифрование на жестком диске, состояние брандмауэра и многое другое. Предопределенные политики определяют параметры и состояния, которые будут приняты или отклонены. Если устройство соответствует политикам, ему разрешено подключение.

Последний шаг — обеспечить защиту данных. Именно здесь поставщик SDP играет решающую роль. Они должны сделать дополнительный шаг по настройке безопасных туннелей связи между устройством и приложениями, к которым оно обращается. Если данные зашифрованы для всего сеанса, пользователь может пользоваться приватным безопасным соединением без ущерба для конфиденциальной информации.

FortiToken Cloud предоставляет администраторам простую централизованную систему аутентификации. Он помогает вам предоставлять, отказывать, отзывать и управлять правами доступа. Это достигается за счет развертывания двухфакторных токенов с помощью FortiToken Mobile. Пользователям необходимо иметь выданные им токены для подключения к защищенной среде.

Система может взаимодействовать со средой FortiGate, делая безопасные соединения простыми и быстрыми. С помощью FortiToken Cloud вы также можете легко добавлять развертывания, если вам нужно быстро увеличить количество пользователей.

Что такое программно-определяемый периметр (SDP)?

Программно-определяемый периметр (SDP) — это метод сокрытия инфраструктуры, подключенной к Интернету, такой как маршрутизаторы и серверы, чтобы внешние пользователи не могли ее увидеть.

Как работает программно определяемый периметр?

Программно-определяемый периметр предотвращает доступ незаконных пользователей и/или устройств к определенным частям сети и проникновение внутрь самой сети.