SDP做為零信任架構(gòu)的最佳落地實(shí)踐，通過軟件的方式，在“移動(dòng)+云”的時(shí)代背景下，為企業(yè)構(gòu)建起一個(gè)虛擬邊界，利用基于身份的訪問控制機(jī)制，通過完備的權(quán)限認(rèn)證機(jī)制，為企業(yè)應(yīng)用和服務(wù)提供隱身保護(hù)，使網(wǎng)絡(luò)黑客因看不到目標(biāo)而無法對企業(yè)的資源發(fā)動(dòng)攻擊，有效保護(hù)企業(yè)的數(shù)據(jù)安全。

為什么說SDP好？

國際云安全聯(lián)盟于2013年成立SDP（Software Defined Perimeter，軟件定義邊界）工作組。

“這個(gè)創(chuàng)新架構(gòu)的一部分是提出了一種易于調(diào)整的方式去調(diào)整邊界”。

“我們認(rèn)為軟件定義邊界可能會(huì)成為規(guī)則改變者。需要做的正確事情就是把它交給開源社區(qū)，讓[云計(jì)算](http://www.idcquan.com/Special/2018trucs/)不再是你必須考慮的一件事情”。

據(jù)相關(guān)資料顯示，在2014年，云安全聯(lián)盟（CSA）發(fā)起了一場黑客馬拉松挑戰(zhàn)賽，CSA向黑客們提供了服務(wù)器的IP地址、保護(hù)服務(wù)器的安全組件等詳細(xì)信息，而黑客們采用了拒絕式攻擊、針對TCP443的定向攻擊、端口掃描等方式，均無法侵入服務(wù)器。這里保護(hù)文件服務(wù)器的主機(jī)，就是受SDP保護(hù)的。SDP強(qiáng)大的安全能力由此可見。

而在接下來的三次黑客大會(huì)上，CSA認(rèn)為SDP的安全性已經(jīng)得到很好的證明了。雖然SDP未必能阻擋國家級的黑客組織攻擊，但是足以抵抗平時(shí)生活中藏在暗處伺機(jī)而動(dòng)的大部分黑客。

SDP為何能抵御攻擊？

Gartner在零信任網(wǎng)絡(luò)訪問市場指南報(bào)告里則稱“SDP是圍繞某個(gè)應(yīng)用或一組應(yīng)用創(chuàng)建的基于身份和上下文的邏輯訪問邊界。應(yīng)用是隱藏的，無法被發(fā)現(xiàn)，并且通過信任代理限制一組指定實(shí)體訪問，在允許訪問之前，代理會(huì)驗(yàn)證指定訪問者的身份，上下文和策略合規(guī)性，這個(gè)機(jī)制將應(yīng)用資源從公共視野中消除，從而顯著減少攻擊面”。

SDP技術(shù)架構(gòu)分為三個(gè)部分：客戶端、控制器、網(wǎng)關(guān)。所有的客戶端在訪問資源之前，都要和控制器通過SPA單包驗(yàn)證，含有雙方共同信息的秘密報(bào)文，通過UDP協(xié)議發(fā)給控制器，敲開訪問的大門，任何其他的包將會(huì)被丟掉，SDP控制器不做任何回應(yīng)，如果身份合法，會(huì)通知可以訪問應(yīng)用網(wǎng)關(guān)，告知客戶端的相關(guān)信息和通信參數(shù)，之后客戶端和網(wǎng)關(guān)之前以同樣的流程進(jìn)行雙向驗(yàn)證，然后才能訪問并看到有權(quán)限的應(yīng)用資源。

當(dāng)內(nèi)外部的威脅層出不窮、傳統(tǒng)邊界防護(hù)的模式愈顯疲態(tài)，SDP嚴(yán)格遵守了零信任理念，以資源為中心進(jìn)行安全防護(hù)，以身份為基礎(chǔ)，先認(rèn)證后授權(quán)，關(guān)注保護(hù)面而不是攻擊面，將控制平面與數(shù)據(jù)平面分離，細(xì)粒度動(dòng)態(tài)自適應(yīng)訪問控制體系，讓服務(wù)隱身并保障安全，強(qiáng)調(diào)網(wǎng)絡(luò)隱身而不是防御，從架構(gòu)設(shè)計(jì)上改變攻防極度不平衡狀況。同時(shí)，SDP是應(yīng)用級的準(zhǔn)入控制，可以真正將安全融于業(yè)務(wù)，實(shí)現(xiàn)企業(yè)內(nèi)生安全體系。

SDP通過抗DOS Token 、流量加密、應(yīng)用分段與隔離、客戶端持續(xù)動(dòng)態(tài)設(shè)備驗(yàn)證、訪問行為可視、實(shí)時(shí)事件響應(yīng)以及貫穿整個(gè)零信任模型的按需授權(quán)和最小權(quán)限原則可以有效限制攻擊者在行動(dòng)階段的活動(dòng),在多個(gè)環(huán)節(jié)打破攻擊鏈，極大提高攻擊者的成本。

SDP的應(yīng)用場景

1）遠(yuǎn)程辦公/運(yùn)維場景

企業(yè)員工、合作伙伴無論在公司、門店（分公司）或出差在外，通過UniSDP對用戶身份、接入設(shè)備均驗(yàn)證合法性后才能訪問企業(yè)業(yè)務(wù)系統(tǒng)，同時(shí)基于身份的“最小授權(quán)”安全策略以及動(dòng)態(tài)訪問控制機(jī)制，實(shí)現(xiàn)企業(yè)內(nèi)外網(wǎng)統(tǒng)一訪問控制；SPA預(yù)認(rèn)證技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)隱藏，縮小互聯(lián)網(wǎng)暴露面；終端安全沙箱保護(hù)企業(yè)數(shù)據(jù)不落地，有效防止敏感數(shù)據(jù)外泄。

2）多云/多數(shù)據(jù)中心統(tǒng)一安全接入場景

控制平面與數(shù)據(jù)平面分離零信任部署架構(gòu)，天然支持多云多數(shù)據(jù)中心環(huán)境，用戶通過一個(gè)客戶端即可實(shí)現(xiàn)不同數(shù)據(jù)中心的統(tǒng)一安全訪問，集中可視化統(tǒng)一管理，減輕運(yùn)維壓力，降低實(shí)施成本，全局情況輕松掌握。

3）業(yè)務(wù)數(shù)據(jù)安全防護(hù)場景

UniSDP提供安全沙箱能力，通過細(xì)粒度的數(shù)據(jù)管理策略，構(gòu)建個(gè)人安全空間和企業(yè)安全空間，公私分離，實(shí)現(xiàn)不同沙箱內(nèi)的企業(yè)數(shù)據(jù)流轉(zhuǎn)可管可控可審計(jì)；可針對不同用戶及設(shè)備靈活下發(fā)沙箱策略，靈活度高；相較于傳統(tǒng)數(shù)據(jù)防護(hù)方案，安全性高、運(yùn)維便捷，成本低，且不影響終端性能，用戶體驗(yàn)佳。

聯(lián)軟軟件定義邊界系統(tǒng)-P 系列產(chǎn)品

即將發(fā)布

敬請期待！

滿足簡單遠(yuǎn)程辦公、遠(yuǎn)程運(yùn)維、

跨安全域訪問、分支機(jī)構(gòu)安全訪問總部業(yè)務(wù)、

跨安全域訪問、上級部門訪問下級數(shù)據(jù)中心等

提前掃碼咨詢