背景與概述

SSB（ Software security boundary>÷λ ）軟件(jiàn)安全邊界，由CSA國(guó)際雲安全聯盟定義，核心思想是(shì)通(tōng)過SSB架構可(kě)以隐藏核心網絡資産與設施使之不(bù)暴露在internet,極大(dà)減少(shǎo)各種攻擊行(xíng)為(wèi)與安全威脅Ω 。

TCP/IP協議(yì)是(shì)安全基礎的(de)↕↓¶←弱環，需要(yào)先建立連接後驗證；SSB通(tōng)過先身(shēn)份鑒别再建立連接的(de)方式↑™"，讓服務器(qì)之間(jiān)建立動态安¶↕¶→全連接。

基于SDN的(de)新一(yī)代“按需、動态、隐身(shēn)”的(de)安全網絡架★>ε↕構體(tǐ)系， “on-demand, dynamically-provisio≤≈‍ned, air gapped networks.λ♣₽±”

SSB介紹

   &nbα♠φ€sp;   SSB采用(yòng)先認證、再準入原則，動态、按需、最小(xiǎo)化(φ€σhuà)實現(xiàn)網絡應用(yòng)安全連接與訪問(wèn)。

     &nb®σφσsp;SSB主要(yào)包含兩部分(fēn)：SSB主機(jī)和(hé)SSB控制(zhì)器(qì)。SSB主機(jī)又(yòu)分(fēn)為(wèi)可(kě)以創建連接•×¥♦的(de)SSB客戶端和(hé)可(kě)接受連接、控制(zh♠£ì)連接的(de)安全網關（Gateway）。SSB主機(jī)可(kě)以創建連接或者接受連接。SSB控制(zhì)器(qì)（Controller）主要(yào)進行(xíng)主機(jī$→)認證和(hé)策略下(xià)發。SSB主機(jī)和(hé)SSB控制(zhì)器(qì)之間(jiān)通(tōng)過一(yī)個(¶♦gè)安全的(de)控制(zhì)信道(dào)進行(xφ♣íng)交互。

SSB工(gōng)作(zuò)流程如(rú)下(xià)：

（1）【client】SSB客戶端上(shàng)線，向SSB安全集中控制(zhì)器(qì)發起連接請(qǐn¶♣g)求；

（2）【controller認證及策略确認】SSB安全集中控制(zhì)器(qì)在收到(dào)用(y¥★òng)戶的(de)連接請(qǐng)求後，對(du♠♣ì)用(yòng)戶請(qǐng)求進行(xíng)單包認證，實現(xiàn≥★)用(yòng)戶身(shēn)份進行(xíng)認證，同時(♣↑shí)确定該用(yòng)戶可(kě)被授予連接的(de)後端資源列表以↔‌γ及連接策略。在未通(tōng)過單包認證前，控制(zhì)器(q₹β←™ì)不(bù)響應任何請(qǐng)求。

（3）【controller通(tōng)知(zhī)gateway】SSB控制(zhì)器(qì)通(tōng)過加密信道(dào) ±通(tōng)知(zhī)SSB Gateway主機(jī)關于發起連接客戶端的(de)信息，以及一(yī)些β¥←(xiē)此客戶端被授權通(tōng)信的(de)策略列表；

（4【controller通(tōng)知(zhī)client】SSB控制(zhì)器(qì)将可(kě)接受連接的(de)安全網•δ♦←關的(de)列表和(hé)可(kě)選的(de)策略發" ₹送給發起連接的(de)客戶端；

（5）【client】客戶端在收到(dào)控制(zhì)器(qì)響 σ應後，向安全網關發起連接請(qǐng)求。↓₹

（6）【client與Gateway】安全網關收到(dào)客戶端連接請(qǐng)求時(s&‌​hí)，核對(duì)客戶端身(shēn)份以及控制(zhì≈×÷∑)器(qì)下(xià)發的(de)關于客戶≈♣✔端的(de)信息。核對(duì)通(tōng)過後，客戶←£≈→端與安全網關建立安全隧道(dào)連接。

（7）安全網關依據控制(zhì)策略信息，控制(zhìπδ)客戶端與後端資源的(de)連接。