Definition Software-Defined Perimeter (SDP) Was ist Software-Defined Perimeter (SDP)?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Software-Defined Perimeter ist ein Sicherheitskonzept und technischer Ansatz. Mit dem Internet verbundene Geräte, Server, Anwender oder Infrastrukturkomponenten sind netztechnisch verborgen und für Angreifer von außen unsichtbar. Autorisierte Benutzer erhalten nur Zugriff auf definierte Ressourcen und nicht wie bei einem VPN auf Netzwerke. SDP-Realisierungen werden auch als Black Cloud bezeichnet und sorgen für eine umfassende Sicherheit.

Software-Defined Perimeter (SDP) ist ein Sicherheitsansatz, bei dem IT-Infrastruktur durch einen Softwareansatz verborgen wird.
Software-Defined Perimeter (SDP) ist ein Sicherheitsansatz, bei dem IT-Infrastruktur durch einen Softwareansatz verborgen wird.
(Bild: gemeinfrei / Pixabay )

SDP ist die Abkürzung für Software-Defined Perimeter. Es handelt sich um ein von der Cloud Security Alliance (CSA) entwickeltes Sicherheitskonzept. Eine oft verwendete alternative Bezeichnung für eine mit SDP geschützte Umgebung ist Black Cloud. Software-Defined Perimeter stellt eine umfassende Sicherheit für Cloud-Umgebungen, Rechenzentren, Server und IT-Systeme her, indem die IT-Infrastruktur und die netztechnische Anbindung der Systeme verborgen werden. Die Systeme sind nicht per Hardware und Netzwerktechnik abgegrenzt, sondern durch einen Softwareansatz gesichert. Nur zuvor authentifizierte und autorisierte Nutzer oder Geräte erhalten Zugriff auf die gewünschten Services.

Im Gegensatz zu einem Virtual Private Network werden aber nicht Netzwerkverbindungen freigeschaltet. Der Anwender oder das Gerät kann explizit nur die für ihn freigegebenen Services nutzen. Für Angreifer sind die verfügbaren Services unsichtbar und dadurch nicht angreifbar. Software-Defined Perimeter ist eine praktische Umsetzung des Zero-Trust-Modells, das ohne Authentifizierung grundsätzlich keinem Gerät, Anwender oder Service vertraut. Zahlreiche Unternehmen wie Citrix oder Pulse Secure bieten SDP-Lösungen und -Produkte an.

Funktionsweise von SDP

Bevor irgendeine Art von Verbindung zu einem Service hergestellt werden kann, ist eine Authentifizierung und Autorisierung notwendig. Sie basiert auf mehreren Faktoren und prüft die Identität der User und/oder Geräte. Der SDP-Controller steuert, welche authentifizierten Anwender, Geräte und Server kommunizieren dürfen. Die Informationen teilt der Controller dem SDP-Gateway mit, das den eigentlichen Zugriff realisiert. Das Gateway terminiert die Verbindungen der Anwender und Services. Es schaltet die sichere Verbindung eines Anwenders für den Zugriff auf eine sichere Verbindung eines Services frei. Die hergestellte Verbindung ist exklusiv und erlaubt keine Nutzung weiterer Services. Sämtlicher Netzwerkverkehr ist verschlüsselt.

Die verschiedenen SDP-Deployment-Modelle

Software-Defined Perimeter kennt abhängig von den Kommunikationsbeziehungen zwischen den Anwendern, Servern und Gateways verschiedene Deployment-Modelle. Typische Deployment-Modelle sind:

  • das Client-to-Gateway-Modell - Server sind für den Zugriff der Clients hinter einem Gateway platziert
  • das Client-to-Server-Modell - eine SDP-Komponente direkt auf dem Server steuert den Zugriff der Clients
  • das Server-to-Server-Modell - per SDP geschützte Server kommunizieren über ein Application Programming Interface (API)
  • das Client-to-Server-to-Client-Modell - zwischen Clients wird eine SDP geschützte Peer-to-Peer-Kommunikation (P2P) ermöglicht

Abgrenzung von Software-Defined Perimeter und Virtual Private Network

In einem Virtual Private Network (VPN) sind die Kommunikationsteilnehmer wie Server und Clients in einem geschützten, verschlüsselten Netzwerk miteinander verbunden. Die Teilnehmer eines VPNs erhalten untereinander netzwerktechnischen Zugriff. Es findet seitens des VPNs keine weitere Kontrolle auf Applikationsebene statt. Die im VPN freigeschalteten Netzwerkressourcen sind für alle Teilnehmer sichtbar und angreifbar. Einem Angreifer mit Zugang zum VPN bietet sich eine große Angriffsfläche. Ein SDP hingegen verbirgt die netztechnische Anbindung und macht sie für Angreifer unsichtbar. Authentifizierte und autorisierte Nutzer erhalten nur Zugriff auf einzelne Services, ohne dass die dahinter verborgene Netzinfrastruktur preisgegeben wird.

Vorteile von Software-Defined Perimeter

Vorteile von SDP sind:

  • Reduzierung der Angriffsfläche durch Verbergen der Netzinfrastruktur
  • Zugriff nur auf einzelne Services und nicht auf komplette Netzwerke
  • Umsetzung des Zero-Trust-Modells
  • sichere Authentifizierung und Autorisierung von Anwendern, Geräten und Services
  • geeignet für On-Premises-Systeme, Cloud-Umgebungen und IoT-Geräte
  • größere Widerstandsfähigkeit gegenüber Angriffsszenarien wie Distributed Denial of Service (DDoS), Ransomware, Rechteausweitung, Cross-Site-Scripting (XSS) etc.

(ID:47018966)

Über den Autor