SSB( Software security boundary )軟件安全邊界,由CSA國際云安全聯(lián)盟定義,核心思想是通過SSB架構(gòu)可以隱藏核心網(wǎng)絡(luò)資產(chǎn)與設(shè)施使之不暴露在internet,極大減少各種攻擊行為與安全威脅。
TCP/IP協(xié)議是安全基礎(chǔ)的弱環(huán),需要先建立連接后驗(yàn)證;SSB通過先身份鑒別再建立連接的方式,讓服務(wù)器之間建立動態(tài)安全連接。
基于SDN的新一代“按需、動態(tài)、隱身”的安全網(wǎng)絡(luò)架構(gòu)體系, “on-demand, dynamically-provisioned, air gapped networks.”
SSB采用先認(rèn)證、再準(zhǔn)入原則,動態(tài)、按需、最小化實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用安全連接與訪問。
SSB主要包含兩部分:SSB主機(jī)和SSB控制器。SSB主機(jī)又分為可以創(chuàng)建連接的SSB客戶端和可接受連接、控制連接的安全網(wǎng)關(guān)(Gateway)。SSB主機(jī)可以創(chuàng)建連接或者接受連接。SSB控制器(Controller)主要進(jìn)行主機(jī)認(rèn)證和策略下發(fā)。SSB主機(jī)和SSB控制器之間通過一個安全的控制信道進(jìn)行交互。
SSB工作流程如下:
(1)【client】SSB客戶端上線,向SSB安全集中控制器發(fā)起連接請求;
(2)【controller認(rèn)證及策略確認(rèn)】SSB安全集中控制器在收到用戶的連接請求后,對用戶請求進(jìn)行單包認(rèn)證,實(shí)現(xiàn)用戶身份進(jìn)行認(rèn)證,同時確定該用戶可被授予連接的后端資源列表以及連接策略。在未通過單包認(rèn)證前,控制器不響應(yīng)任何請求。
(3)【controller通知gateway】SSB控制器通過加密信道通知SSB Gateway主機(jī)關(guān)于發(fā)起連接客戶端的信息,以及一些此客戶端被授權(quán)通信的策略列表;
(4【controller通知client】SSB控制器將可接受連接的安全網(wǎng)關(guān)的列表和可選的策略發(fā)送給發(fā)起連接的客戶端;
(5)【client】客戶端在收到控制器響應(yīng)后,向安全網(wǎng)關(guān)發(fā)起連接請求。
(6)【client與Gateway】安全網(wǎng)關(guān)收到客戶端連接請求時,核對客戶端身份以及控制器下發(fā)的關(guān)于客戶端的信息。核對通過后,客戶端與安全網(wǎng)關(guān)建立安全隧道連接。
(7)安全網(wǎng)關(guān)依據(jù)控制策略信息,控制客戶端與后端資源的連接。