Software Defined Perimeter: Hvad det er, og hvordan det beskytter vores netværk

Alt synes at pege på de beskyttelsesforanstaltninger, som vi har implementeret i vores routere, switches og netværk generelt, er ikke nok. Angreb bliver stadig mere komplekse, effektive og vanskelige at bekæmpe. Der er en løsning, der består i implementeringen af ​​en perimeter defineret af software (Software Defined Perimeter) . Dette er endnu et tilfælde, der demonstrerer den måde, hvorpå nye softwarebaserede teknologier har en positiv indvirkning på netværkets og de brugere, der opretter forbindelse til det.

SDP or Software defineret omkreds er en arkitektur, der sigter mod at ændre den måde, den fungerer inden for netværkssikkerhed. Forkortelsen for SDP oversættes til softwaredefinerede perimetre. Det bruger en kombination af godkendelse, autorisation og netværkssegmentering styrket nok til at give adgang til netværket fra ethvert punkt. Disse perimetre søger at fungere som et skjold til beskyttelse mod det store antal cyberangreb. Det betragtes som sikrere end en firewall og meget mere granulær, det vil sige grundig i forhold til NAC (Netværk Adgangskontrol) .

SDP-sikkerhed

Denne arkitektur bruger teknikker til at sikre sikker adgang til netværket. Det gør det som følger:

  • Denne arkitektur bruger teknikker til at sikre sikker adgang til netværket.
  • Udfør en granuleret autentificering for at begrænse enhver service, der ikke er nødvendig for brugerens rolle og tilladelser.

Når adgang er lettet, skal du anvende et slags lag på netværkets ressourcer (Ressourcecaking) for at undgå usynlig information relateret til f.eks DNS servere og de synlige IP-porte på ressourcerne. Det vil sige, risikoen for, at netværksressourcer udsættes for, er minimal.

Beskyttelse mod farlige angreb og detaljerede netværksscanninger

DDoS-angreb er et af de farligste, også de mest tilbagevendende, når det drejer sig om at udføre cyberattacker af høj rækkevidde. I løbet af 2019 er hyppigheden af ​​disse angreb steget med 967%. Det, der er meget bekymrende, er, at DDoS allerede tilbydes som en yderligere service, kaldet leje DDoS (DDoS som en tjeneste) . Dette indebærer, at enhver kan leje denne type tjenester for at udføre benægtelse af serviceangreb ved at betale et abonnement, såvel som enhver anden service, og selv kan udføre angrebet på egen hånd.

SDP-arkitekturen beskytter netværket ved at undgå interneteksponering af ressourcer og applikationer, der kører på dets forskellige servere. Lad os ikke holde op med at overveje, at den enkelte eksponering af havne allerede giver en masse vigtig information til angribere. Derfor anbefales det ikke at udsætte porte af stor betydning for Internettet.

En af de største trusler mod webapplikationer er Cross-Site Scripting , SQL-indsprøjtning angreb. Disse fungerer takket være sårbarheden i enhver webapplikation, der kræver datainput. For eksempel, hvis du udfylder en kontaktformular, vil et af felterne normalt være e-mail. En angriber udnytter hvert felt, der beder om et input, og sender gennem det ondsindet kode med evnen til at interagere med den server, der gemmer de data, der modtages fra den form. På den anden side, Offentlige ansigtsudnyttelser drage fordel af alle porte, der er åbne og udsatte for internettet. Husk, at angriberen kan have oplysninger om åbne porte ved at udføre en detaljeret scanning og i henhold til hvert nummer udføre andre typer angreb.

Hvilken rolle spiller SDP for at afbøde dette? Det er ansvarligt for at ”skjule” enhver port, der er eksponeret, og også alle data, der letter adgang til selve netværkets infrastruktur. Dette beskyttelseslag forhindrer, at porte kan spores, når der udføres havnescanninger og andre informationsindsamlingsteknikker.

At porte eller andre relaterede data ikke er synlige, giver ikke angriberen nogen chance for at handle. Det vil kun udføre sine ondsindede handlinger baseret på de synlige oplysninger, den måtte indsamle, uanset om vi er opmærksomme på det.

SDP som et alternativ til at undgå DNS-kapring

Når en bruger indtaster en URL i deres browser, er en af ​​de processer, der opstår, en anmodning til DNS-serveren for at se, om dette domæne er inkluderet i deres poster. Hvis det er effektivt mellem disse poster, kan brugeren få adgang til den ønskede side. Hvis en angriberen dog formår at tage kontrol over routeren, vil han finde en måde at ændre den normale drift af nævnte DNS-server, denne teknik er kendt som DNS-kapring .

Dette vil ske gennem handlinger, der fører til ondsindede DNS-opløsninger. Det kan ske, at den berørte bruger får adgang til et ondsindet websted, der ligner meget det, de besøger regelmæssigt. Selvom det i virkeligheden er et sted, der er oprettet af angriberen, der stjæler dine adgangsoplysninger og andre data, når du først har indtastet dem på dette websted.

En god løsning, som SDP tilbyder for at afbøde denne type angreb, er DNS-opløsning indbygget i sin arkitektur . Selv hvis angriberen overtager kontrollen over routeren, med dens ondsindede indstillinger, vil den ikke være i stand til at passere DNS-opløsningen for den softwaredefinerede omkreds.

Dette er de vigtigste angreb, der kan undgås med denne interessante arkitektur. Der er dog andre kendt som Man-in-the-middle angreb og dem, der er orienteret mod traditionelle systemer (ikke skyorienteret). Det er vigtigt at tage sig tid til at lære mere om fordelene ved SDP, især på lang sigt. Netværk kræver mere og mere beskyttelse, fordi personlige og virksomhedsdata ikke holder op med at blive manipuleret, og heller ikke holder op med at blive genereret hvert sekund.

Data er det vigtigste aktiv i vores liv såvel som alle organisationers integritet. At ikke være opmærksom på risiciene eller konsekvenserne af ikke at arbejde for dem kan resultere i tab af den højeste økonomiske værdi.