SDP做為零信任架構(gòu)的最佳落地實踐，通過軟件的方式，在“移動+云”的時代背景下，為企業(yè)構(gòu)建起一個虛擬邊界，利用基于身份的訪問控制機制，通過完備的權限認證機制，為企業(yè)應用和服務提供隱身保護，使網(wǎng)絡黑客因看不到目標而無法對企業(yè)的資源發(fā)動攻擊，有效保護企業(yè)的數(shù)據(jù)安全。

為什么說SDP好？

國際云安全聯(lián)盟于2013年成立SDP（Software Defined Perimeter，軟件定義邊界）工作組。

“這個創(chuàng)新架構(gòu)的一部分是提出了一種易于調(diào)整的方式去調(diào)整邊界”。

“我們認為軟件定義邊界可能會成為規(guī)則改變者。需要做的正確事情就是把它交給開源社區(qū)，讓[云計算](http://www.idcquan.com/Special/2018trucs/)不再是你必須考慮的一件事情”。

據(jù)相關資料顯示，在2014年，云安全聯(lián)盟（CSA）發(fā)起了一場黑客馬拉松挑戰(zhàn)賽，CSA向黑客們提供了服務器的IP地址、保護服務器的安全組件等詳細信息，而黑客們采用了拒絕式攻擊、針對TCP443的定向攻擊、端口掃描等方式，均無法侵入服務器。這里保護文件服務器的主機，就是受SDP保護的。SDP強大的安全能力由此可見。

而在接下來的三次黑客大會上，CSA認為SDP的安全性已經(jīng)得到很好的證明了。雖然SDP未必能阻擋國家級的黑客組織攻擊，但是足以抵抗平時生活中藏在暗處伺機而動的大部分黑客。

SDP為何能抵御攻擊？

Gartner在零信任網(wǎng)絡訪問市場指南報告里則稱“SDP是圍繞某個應用或一組應用創(chuàng)建的基于身份和上下文的邏輯訪問邊界。應用是隱藏的，無法被發(fā)現(xiàn)，并且通過信任代理限制一組指定實體訪問，在允許訪問之前，代理會驗證指定訪問者的身份，上下文和策略合規(guī)性，這個機制將應用資源從公共視野中消除，從而顯著減少攻擊面”。

SDP技術架構(gòu)分為三個部分：客戶端、控制器、網(wǎng)關。所有的客戶端在訪問資源之前，都要和控制器通過SPA單包驗證，含有雙方共同信息的秘密報文，通過UDP協(xié)議發(fā)給控制器，敲開訪問的大門，任何其他的包將會被丟掉，SDP控制器不做任何回應，如果身份合法，會通知可以訪問應用網(wǎng)關，告知客戶端的相關信息和通信參數(shù)，之后客戶端和網(wǎng)關之前以同樣的流程進行雙向驗證，然后才能訪問并看到有權限的應用資源。

當內(nèi)外部的威脅層出不窮、傳統(tǒng)邊界防護的模式愈顯疲態(tài)，SDP嚴格遵守了零信任理念，以資源為中心進行安全防護，以身份為基礎，先認證后授權，關注保護面而不是攻擊面，將控制平面與數(shù)據(jù)平面分離，細粒度動態(tài)自適應訪問控制體系，讓服務隱身并保障安全，強調(diào)網(wǎng)絡隱身而不是防御，從架構(gòu)設計上改變攻防極度不平衡狀況。同時，SDP是應用級的準入控制，可以真正將安全融于業(yè)務，實現(xiàn)企業(yè)內(nèi)生安全體系。

SDP通過抗DOS Token 、流量加密、應用分段與隔離、客戶端持續(xù)動態(tài)設備驗證、訪問行為可視、實時事件響應以及貫穿整個零信任模型的按需授權和最小權限原則可以有效限制攻擊者在行動階段的活動,在多個環(huán)節(jié)打破攻擊鏈，極大提高攻擊者的成本。

SDP的應用場景

1）遠程辦公/運維場景

企業(yè)員工、合作伙伴無論在公司、門店（分公司）或出差在外，通過UniSDP對用戶身份、接入設備均驗證合法性后才能訪問企業(yè)業(yè)務系統(tǒng)，同時基于身份的“最小授權”安全策略以及動態(tài)訪問控制機制，實現(xiàn)企業(yè)內(nèi)外網(wǎng)統(tǒng)一訪問控制；SPA預認證技術，實現(xiàn)網(wǎng)絡隱藏，縮小互聯(lián)網(wǎng)暴露面；終端安全沙箱保護企業(yè)數(shù)據(jù)不落地，有效防止敏感數(shù)據(jù)外泄。

2）多云/多數(shù)據(jù)中心統(tǒng)一安全接入場景

控制平面與數(shù)據(jù)平面分離零信任部署架構(gòu)，天然支持多云多數(shù)據(jù)中心環(huán)境，用戶通過一個客戶端即可實現(xiàn)不同數(shù)據(jù)中心的統(tǒng)一安全訪問，集中可視化統(tǒng)一管理，減輕運維壓力，降低實施成本，全局情況輕松掌握。

3）業(yè)務數(shù)據(jù)安全防護場景

UniSDP提供安全沙箱能力，通過細粒度的數(shù)據(jù)管理策略，構(gòu)建個人安全空間和企業(yè)安全空間，公私分離，實現(xiàn)不同沙箱內(nèi)的企業(yè)數(shù)據(jù)流轉(zhuǎn)可管可控可審計；可針對不同用戶及設備靈活下發(fā)沙箱策略，靈活度高；相較于傳統(tǒng)數(shù)據(jù)防護方案，安全性高、運維便捷，成本低，且不影響終端性能，用戶體驗佳。

聯(lián)軟軟件定義邊界系統(tǒng)-P 系列產(chǎn)品

即將發(fā)布

敬請期待！

滿足簡單遠程辦公、遠程運維、

跨安全域訪問、分支機構(gòu)安全訪問總部業(yè)務、

跨安全域訪問、上級部門訪問下級數(shù)據(jù)中心等

提前掃碼咨詢