背景與概述

SSB（ Software security boundary ）軟件(jiàn)安全邊界，由CSA國(guó)際雲安全聯盟定義，核心思想是(shì)通(tπ♦↔∑ōng)過SSB架構可(kě)以隐藏核心網絡資産與設施使之不(bù)暴露在internet,極大(dà)減少(shǎo)各種攻擊行(xíng)為(wèi)與安&>>♦全威脅。

TCP/IP協議(yì)是(shì)安全基礎的(de)弱環，需要(yào)先建立連接後✔≤驗證；SSB通(tōng)過先身(shēn)份鑒别再建立連接的(de)方式，÷​讓服務器(qì)之間(jiān)建立動态安全連接。

基于SDN的(de)新一(yī)代“按需、動态、隐身(shēn)”的(de)安全網絡架構體(tǐ)系， “on-demand, dynamically-provisio‌≤ned, air gapped networks.”

SSB介紹

       SSB采用(yòng)先認證、再準入原則，動态、按需、最小(xiǎo)化(huà)實現(xiàn)​δ 網絡應用(yòng)安全連接與訪問(wèn)。

    &nσ ↓‌bsp; SSB主要(yào)包含兩部分(fēn)：SSB主機(jī)和(hé)SSB控制(zhì)器(qì)。SSB主機(jī)又(yòu)分(fēn)為(wèi)可(↑ ₩£kě)以創建連接的(de)SSB客戶端和(hé)可(kě)接受連接、控制(zhì)連接的(de)安全網關（Gateway）。SSB主機(jī)可(kě)以創建連接或者接受連接。SSB控制(zhì)器(qì)（Controller）主要(yào)進行(xíng)主機(jī)認證和(hé)策略下(>>±xià)發。SSB主機(jī)和(hé)SSB控制(zhì)器(qì)之間(jiān)通(tōng)過一(yī)個(gè)安全✔α£的(de)控制(zhì)信道(dào)進行(xíng)交互。

SSB工(gōng)作(zuò)流程如(rú)下(xià)：

（1）【client】SSB客戶端上(shàng)線，向SSB安全集中控制(zhì)器(qì)發起連接請(qǐng)求；

（2）【controller認證及策略确認】SSB安全集中控制(zhì)器(qì)在收到(dào)用(yòφ☆↔ng)戶的(de)連接請(qǐng)求後，對(duì)用(yòng)戶≥ δ§請(qǐng)求進行(xíng)單包認證，實現(xiàn)用(yòng)戶身(shēn)™>¶'份進行(xíng)認證，同時(shí)确定該用(yòng)戶可(kě)被授予連γ≈"接的(de)後端資源列表以及連接策略。在未通(tōng)過單包認  證前，控制(zhì)器(qì)不(bù)響應任何請(qǐng)求。

（3）【controller通(tōng)知(zhī)gateway】SSB控制(zhì)器(qì)通(tōng)過加密信道(dào)通π®α(tōng)知(zhī)SSB Gateway主機(jī)關于發起連接客戶端的(de)信息，以及一(yī)些(xiē)此客戶端被授權★∑通(tōng)信的(de)策略列表；

（4【controller通(tōng)知(zhī)client】SSB控制(zhì)器(qì)将可(kě)接受連接的(de)∏↕安全網關的(de)列表和(hé)可(kě)選的(de)策略發送給發起連接的≥‍↔(de)客戶端；

（5）【client】客戶端在收到(dào)控制(zhì)器(qì)響應後，向安全網關發起連接請(qǐng)求。‍±↕

（6）【client與Gateway】安全網關收到(dào)客戶端連接請(qǐng)求時(s★¶↑∏hí)，核對(duì)客戶端身(shēn)份以及控制(zhπγ☆♣ì)器(qì)下(xià)發的(de)關于客戶端的(de¶←÷)信息。核對(duì)通(tōng)過後，客戶端與安全↔↔網關建立安全隧道(dào)連接。

（7）安全網關依據控制(zhì)策略信息，控制(zhì)客戶端與後端資源的(♠'₩de)連接。