SSB( Software security boundary )軟件安全邊界,由CSA國際云安全聯(lián)盟定義,核心思想是通過(guò)SSB架構可以隱藏核心網(wǎng)絡(luò )資產(chǎn)與設施使之不暴露在internet,極大減少各種攻擊行為與安全威脅。
TCP/IP協(xié)議是安全基礎的弱環(huán),需要先建立連接后驗證;SSB通過(guò)先身份鑒別再建立連接的方式,讓服務(wù)器之間建立動(dòng)態(tài)安全連接。
基于SDN的新一代“按需、動(dòng)態(tài)、隱身”的安全網(wǎng)絡(luò )架構體系, “on-demand, dynamically-provisioned, air gapped networks.”
SSB采用先認證、再準入原則,動(dòng)態(tài)、按需、最小化實(shí)現網(wǎng)絡(luò )應用安全連接與訪(fǎng)問(wèn)。
SSB主要包含兩部分:SSB主機和SSB控制器。SSB主機又分為可以創(chuàng )建連接的SSB客戶(hù)端和可接受連接、控制連接的安全網(wǎng)關(guān)(Gateway)。SSB主機可以創(chuàng )建連接或者接受連接。SSB控制器(Controller)主要進(jìn)行主機認證和策略下發(fā)。SSB主機和SSB控制器之間通過(guò)一個(gè)安全的控制信道進(jìn)行交互。
SSB工作流程如下:
(1)【client】SSB客戶(hù)端上線(xiàn),向SSB安全集中控制器發(fā)起連接請求;
(2)【controller認證及策略確認】SSB安全集中控制器在收到用戶(hù)的連接請求后,對用戶(hù)請求進(jìn)行單包認證,實(shí)現用戶(hù)身份進(jìn)行認證,同時(shí)確定該用戶(hù)可被授予連接的后端資源列表以及連接策略。在未通過(guò)單包認證前,控制器不響應任何請求。
(3)【controller通知gateway】SSB控制器通過(guò)加密信道通知SSB Gateway主機關(guān)于發(fā)起連接客戶(hù)端的信息,以及一些此客戶(hù)端被授權通信的策略列表;
(4【controller通知client】SSB控制器將可接受連接的安全網(wǎng)關(guān)的列表和可選的策略發(fā)送給發(fā)起連接的客戶(hù)端;
(5)【client】客戶(hù)端在收到控制器響應后,向安全網(wǎng)關(guān)發(fā)起連接請求。
(6)【client與Gateway】安全網(wǎng)關(guān)收到客戶(hù)端連接請求時(shí),核對客戶(hù)端身份以及控制器下發(fā)的關(guān)于客戶(hù)端的信息。核對通過(guò)后,客戶(hù)端與安全網(wǎng)關(guān)建立安全隧道連接。
(7)安全網(wǎng)關(guān)依據控制策略信息,控制客戶(hù)端與后端資源的連接。