SDP做為零信任架構的最佳落地實(shí)踐，通過(guò)軟件的方式，在“移動(dòng)+云”的時(shí)代背景下，為企業(yè)構建起一個(gè)虛擬邊界，利用基于身份的訪(fǎng)問(wèn)控制機制，通過(guò)完備的權限認證機制，為企業(yè)應用和服務(wù)提供隱身保護，使網(wǎng)絡(luò )黑客因看不到目標而無(wú)法對企業(yè)的資源發(fā)動(dòng)攻擊，有效保護企業(yè)的數據安全。

為什么說(shuō)SDP好？

國際云安全聯(lián)盟于2013年成立SDP（Software Defined Perimeter，軟件定義邊界）工作組。

“這個(gè)創(chuàng )新架構的一部分是提出了一種易于調整的方式去調整邊界”。

“我們認為軟件定義邊界可能會(huì )成為規則改變者。需要做的正確事情就是把它交給開(kāi)源社區，讓[云計算](http://www.idcquan.com/Special/2018trucs/)不再是你必須考慮的一件事情”。

據相關(guān)資料顯示，在2014年，云安全聯(lián)盟（CSA）發(fā)起了一場(chǎng)黑客馬拉松挑戰賽，CSA向黑客們提供了服務(wù)器的IP地址、保護服務(wù)器的安全組件等詳細信息，而黑客們采用了拒絕式攻擊、針對TCP443的定向攻擊、端口掃描等方式，均無(wú)法侵入服務(wù)器。這里保護文件服務(wù)器的主機，就是受SDP保護的。SDP強大的安全能力由此可見(jiàn)。

而在接下來(lái)的三次黑客大會(huì )上，CSA認為SDP的安全性已經(jīng)得到很好的證明了。雖然SDP未必能阻擋國家級的黑客組織攻擊，但是足以抵抗平時(shí)生活中藏在暗處伺機而動(dòng)的大部分黑客。

SDP為何能抵御攻擊？

Gartner在零信任網(wǎng)絡(luò )訪(fǎng)問(wèn)市場(chǎng)指南報告里則稱(chēng)“SDP是圍繞某個(gè)應用或一組應用創(chuàng )建的基于身份和上下文的邏輯訪(fǎng)問(wèn)邊界。應用是隱藏的，無(wú)法被發(fā)現，并且通過(guò)信任代理限制一組指定實(shí)體訪(fǎng)問(wèn)，在允許訪(fǎng)問(wèn)之前，代理會(huì )驗證指定訪(fǎng)問(wèn)者的身份，上下文和策略合規性，這個(gè)機制將應用資源從公共視野中消除，從而顯著(zhù)減少攻擊面”。

SDP技術(shù)架構分為三個(gè)部分：客戶(hù)端、控制器、網(wǎng)關(guān)。所有的客戶(hù)端在訪(fǎng)問(wèn)資源之前，都要和控制器通過(guò)SPA單包驗證，含有雙方共同信息的秘密報文，通過(guò)UDP協(xié)議發(fā)給控制器，敲開(kāi)訪(fǎng)問(wèn)的大門(mén)，任何其他的包將會(huì )被丟掉，SDP控制器不做任何回應，如果身份合法，會(huì )通知可以訪(fǎng)問(wèn)應用網(wǎng)關(guān)，告知客戶(hù)端的相關(guān)信息和通信參數，之后客戶(hù)端和網(wǎng)關(guān)之前以同樣的流程進(jìn)行雙向驗證，然后才能訪(fǎng)問(wèn)并看到有權限的應用資源。

當內外部的威脅層出不窮、傳統邊界防護的模式愈顯疲態(tài)，SDP嚴格遵守了零信任理念，以資源為中心進(jìn)行安全防護，以身份為基礎，先認證后授權，關(guān)注保護面而不是攻擊面，將控制平面與數據平面分離，細粒度動(dòng)態(tài)自適應訪(fǎng)問(wèn)控制體系，讓服務(wù)隱身并保障安全，強調網(wǎng)絡(luò )隱身而不是防御，從架構設計上改變攻防極度不平衡狀況。同時(shí)，SDP是應用級的準入控制，可以真正將安全融于業(yè)務(wù)，實(shí)現企業(yè)內生安全體系。

SDP通過(guò)抗DOS Token 、流量加密、應用分段與隔離、客戶(hù)端持續動(dòng)態(tài)設備驗證、訪(fǎng)問(wèn)行為可視、實(shí)時(shí)事件響應以及貫穿整個(gè)零信任模型的按需授權和最小權限原則可以有效限制攻擊者在行動(dòng)階段的活動(dòng),在多個(gè)環(huán)節打破攻擊鏈，極大提高攻擊者的成本。

SDP的應用場(chǎng)景

1）遠程辦公/運維場(chǎng)景

企業(yè)員工、合作伙伴無(wú)論在公司、門(mén)店（分公司）或出差在外，通過(guò)UniSDP對用戶(hù)身份、接入設備均驗證合法性后才能訪(fǎng)問(wèn)企業(yè)業(yè)務(wù)系統，同時(shí)基于身份的“最小授權”安全策略以及動(dòng)態(tài)訪(fǎng)問(wèn)控制機制，實(shí)現企業(yè)內外網(wǎng)統一訪(fǎng)問(wèn)控制；SPA預認證技術(shù)，實(shí)現網(wǎng)絡(luò )隱藏，縮小互聯(lián)網(wǎng)暴露面；終端安全沙箱保護企業(yè)數據不落地，有效防止敏感數據外泄。

2）多云/多數據中心統一安全接入場(chǎng)景

控制平面與數據平面分離零信任部署架構，天然支持多云多數據中心環(huán)境，用戶(hù)通過(guò)一個(gè)客戶(hù)端即可實(shí)現不同數據中心的統一安全訪(fǎng)問(wèn)，集中可視化統一管理，減輕運維壓力，降低實(shí)施成本，全局情況輕松掌握。

3）業(yè)務(wù)數據安全防護場(chǎng)景

UniSDP提供安全沙箱能力，通過(guò)細粒度的數據管理策略，構建個(gè)人安全空間和企業(yè)安全空間，公私分離，實(shí)現不同沙箱內的企業(yè)數據流轉可管可控可審計；可針對不同用戶(hù)及設備靈活下發(fā)沙箱策略，靈活度高；相較于傳統數據防護方案，安全性高、運維便捷，成本低，且不影響終端性能，用戶(hù)體驗佳。

聯(lián)軟軟件定義邊界系統-P 系列產(chǎn)品

即將發(fā)布

敬請期待！

滿(mǎn)足簡(jiǎn)單遠程辦公、遠程運維、

跨安全域訪(fǎng)問(wèn)、分支機構安全訪(fǎng)問(wèn)總部業(yè)務(wù)、

跨安全域訪(fǎng)問(wèn)、上級部門(mén)訪(fǎng)問(wèn)下級數據中心等

提前掃碼咨詢(xún)