2022軟件定義邊界架構(gòu)指南

軟件定義邊界（SDP）架構(gòu)指南PAGEPAGE5目錄介紹 7目的 8受目標(biāo) 8軟件定義邊界（SDP）簡(jiǎn)介 9SDP安優(yōu)勢(shì) 9SDP商優(yōu)勢(shì) 10SDP主功能 11SDP潛應(yīng)用域 13SDP架構(gòu) 15【戶端-網(wǎng)】 16【戶端-服器】 17【務(wù)器-服器】 18【戶端-服器-客端】 18【戶端-網(wǎng)-客端】 19【關(guān)到關(guān)】 19SDP部模式相應(yīng)場(chǎng)景 20SDP連安全 22單授權(quán) 22SPA的好處 22SPA的局限 23SDP和問控制 23補(bǔ)充架構(gòu) 24Forrester的信任型 24Google的BeyondCorp模型 24軟件定義邊界SDP與您的企業(yè) 26企信息全的素 27安信息事件理（SIEM） 28傳防火墻 29入檢測(cè)入侵御系（IDS/IPS） 31虛專用（VPNs） 31下代防墻（NGFW） 32身及訪管理(IAM) 32網(wǎng)準(zhǔn)入制(NAC)解方案 33終管理(EMM/MDM/UEM) 33Web應(yīng)防火(WAF) 33負(fù)均衡 34云問安代理(CASB) 34基設(shè)施服務(wù)(IaaS) 34軟即服務(wù)(SaaS) 34平即服務(wù)(PaaS) 34治、風(fēng)管理合規(guī)(GRC) 35公基礎(chǔ)施(PKI) 35軟定義絡(luò)(SDN) 35無務(wù)器算模型 35架關(guān)注點(diǎn) 35結(jié)論 36附錄2：SDP詳解 38||軟件定義邊界（SDP）架構(gòu)指南PAGEPAGE7介紹SDP方案結(jié)合了技術(shù)和架構(gòu)組件，可以比傳統(tǒng)的安全工具更高效、更有效地保護(hù)網(wǎng)絡(luò)應(yīng)用程序和基礎(chǔ)架構(gòu)。

當(dāng)今的網(wǎng)絡(luò)安全體系結(jié)構(gòu)、工具和平臺(tái)無法應(yīng)對(duì)當(dāng)前安全威脅帶來的挑戰(zhàn)。無論您是在閱讀主流媒體的頭條新聞，還是作為網(wǎng)絡(luò)防御者進(jìn)行日常工作，或者您是安全供應(yīng)商，這些潛在安全威脅都可能會(huì)影響到您。各種來源的持續(xù)攻擊會(huì)影響商業(yè)企業(yè)、政府組織、關(guān)鍵基礎(chǔ)設(shè)施等?，F(xiàn)在是時(shí)候讓我們信息安全行業(yè)擁抱創(chuàng)新的網(wǎng)絡(luò)安全工具，即軟件定義邊界（SDP）技術(shù)，將其應(yīng)用于所有的網(wǎng)絡(luò)層。SDP方案結(jié)合了技術(shù)和架構(gòu)組件，已經(jīng)證明可以比傳統(tǒng)的安全工具更好地保護(hù)網(wǎng)絡(luò)應(yīng)用程序和基礎(chǔ)架構(gòu)。由云安全聯(lián)盟CSA20144月發(fā)布的“SDP1.0”SDP技術(shù)的基礎(chǔ)知識(shí)：“SDP背后的原理并非全新。美國(guó)國(guó)防部（DoD）和美國(guó)情報(bào)體系（IC）內(nèi)的多個(gè)組織在網(wǎng)絡(luò)訪問之前已經(jīng)實(shí)施了基于認(rèn)證和授權(quán)的類似網(wǎng)絡(luò)架構(gòu)。通常用于機(jī)密或高端網(wǎng)絡(luò)（由國(guó)防部定義），每臺(tái)服務(wù)器隱藏在遠(yuǎn)程訪問網(wǎng)關(guān)設(shè)備后面，用戶必須先通過該設(shè)備身份驗(yàn)證，才能查看授權(quán)服務(wù)并進(jìn)行訪問。SDP利用分類網(wǎng)絡(luò)中使用的邏輯模型，并將該模型納入標(biāo)準(zhǔn)工作流程中。在獲得對(duì)受保護(hù)服務(wù)器的網(wǎng)絡(luò)訪問之前，SDP要求端點(diǎn)進(jìn)行身份驗(yàn)證并首先獲得授權(quán)。然后在請(qǐng)求系統(tǒng)和應(yīng)用程序基礎(chǔ)架構(gòu)之間實(shí)時(shí)創(chuàng)建加密連接。14”目的作為一個(gè)安全從業(yè)者和解決方案提供商組成的組織，我們對(duì)信息安全和網(wǎng)絡(luò)安全充滿熱情。我們相信SDP是一個(gè)重要的創(chuàng)新解決方案，可以應(yīng)對(duì)我們所有人面臨的安全威脅。自“SDP1.0”發(fā)布以來，我們作為一個(gè)由軟件供應(yīng)商、系統(tǒng)、安全架構(gòu)師和企業(yè)組成的工作組，已經(jīng)構(gòu)建并部署了許多符合這些準(zhǔn)則的系統(tǒng)。同時(shí)，我們了SDP實(shí)現(xiàn)的知識(shí)-特別是在缺乏原始規(guī)范的領(lǐng)域。通過本指南，我們將幫助企業(yè)和從業(yè)人員獲取有SDP的信息；展示其可提供的經(jīng)濟(jì)和技術(shù)效益；并SDP。如果實(shí)現(xiàn)以下目標(biāo)，我們將認(rèn)為此文檔是成功的:SDP的市場(chǎng)認(rèn)知度、可信度和企業(yè)采用率SDP在不同環(huán)境中的應(yīng)用的理解SDP解決問題的動(dòng)機(jī)SDP企業(yè)根據(jù)本白皮書中的體系結(jié)構(gòu)建議成功部SDP解決方案。

受眾目標(biāo)本文中的信息將使考慮或正在組織機(jī)構(gòu)中實(shí)施SDP項(xiàng)目的安全性、體系結(jié)構(gòu)和技術(shù)網(wǎng)絡(luò)團(tuán)隊(duì)受益。主要受眾包括從事信息安全、企業(yè)架構(gòu)和安全合規(guī)角色的專業(yè)人員。這些人員主要負(fù)責(zé)SDP解決方案的評(píng)估、設(shè)計(jì)、部署和運(yùn)營(yíng)。此外，作為解決方案提供商、服務(wù)提供商和技術(shù)供應(yīng)商的人員也將從本文提供的信息中獲益。概述軟件定義邊界（SDP）簡(jiǎn)介SDP旨在利用基于標(biāo)準(zhǔn)且已驗(yàn)證的組件，如數(shù)據(jù)加密;、遠(yuǎn)程認(rèn)證（主機(jī)對(duì)遠(yuǎn)程訪問進(jìn)行身份驗(yàn)證）、傳輸層安全（TLS，一種加密驗(yàn)證客戶端信息的方法）、安全斷言標(biāo)記語言（SAML），它依賴于加密和數(shù)字簽名來保護(hù)特定的訪問及通過X.509證書公鑰驗(yàn)證訪問。將這些技術(shù)和其它基于標(biāo)準(zhǔn)的技術(shù)結(jié)合起來，確保SDP與企業(yè)現(xiàn)有安全系統(tǒng)可以集成。自云安全聯(lián)盟（CSA）首次發(fā)布軟件定義邊界（SDP）規(guī)范以來，CSA已經(jīng)看到了SDP無論在知名度還是在企業(yè)的SDP創(chuàng)新應(yīng)用方面都取得了巨大的增長(zhǎng)。雖然傳統(tǒng)的網(wǎng)絡(luò)安全方法在所有行業(yè)中似乎都讓IT和安全專業(yè)人員感到身心疲憊，但SDP技術(shù)使用和興趣卻在不斷增加，例如：五個(gè)在其重點(diǎn)領(lǐng)域取得了重大進(jìn)展，包IaaSSDPDDoS攻擊和汽車安全通信。14SDP產(chǎn)品，并已在多個(gè)企業(yè)中被使用。SDPDDoS用例實(shí)施了開源（參考15）。SDP的黑客松，并且攻破成功率保持為零。SDP納入研究和演示。

SDP安全優(yōu)勢(shì)SDP通過最小化攻擊面來降低安全風(fēng)險(xiǎn)。SDP通過分離訪問控制和數(shù)據(jù)信道來保護(hù)關(guān)鍵資產(chǎn)和基礎(chǔ)架構(gòu)，使其中的每一個(gè)都看起來是“黑”（不可見）的，從而阻止?jié)撛诘幕诰W(wǎng)絡(luò)的攻擊。SDP提供了一個(gè)集成的安全體系結(jié)構(gòu)，這個(gè)體系結(jié)構(gòu)是現(xiàn)有安全產(chǎn)品（NAC或反惡意軟件）難以實(shí)現(xiàn)的。SDP集成了以下獨(dú)立的架構(gòu)元素:? 用戶感知的應(yīng)用程序? 客戶端感知的設(shè)備? 網(wǎng)絡(luò)感知的防火墻/網(wǎng)關(guān)SDPIPIP環(huán)境的爆炸式增長(zhǎng)IP的安全性變得脆弱。SDP允許根據(jù)預(yù)先審查誰可以連接（從哪些設(shè)備、哪些服務(wù)、基礎(chǔ)設(shè)施和其他參數(shù)）來控制所有連接。軟件定義邊界架構(gòu)指南軟件定義邊界架構(gòu)指南PAGE11PAGE11SDP商業(yè)優(yōu)勢(shì)SDP提供了許多業(yè)務(wù)優(yōu)勢(shì)，我們?cè)谶@里概述這些優(yōu)勢(shì)以供您快速參考。我們期待與SDP社區(qū)合作，在未來的出版物中對(duì)這些益處進(jìn)行深入的定性和定量檢驗(yàn)。業(yè)務(wù)領(lǐng)域 實(shí)施SDP的優(yōu)勢(shì)節(jié)省成本及人力

使用SDP替換傳統(tǒng)網(wǎng)絡(luò)安全組件可降低采購(gòu)和支持成本。使用SDP部署并實(shí)施安全策略可降低操作復(fù)雜性，并減少對(duì)傳統(tǒng)安全工具的依賴。SDP還可以通過減少或替換MPLS和租用線路利用率來降低成本，因?yàn)榻M織機(jī)構(gòu)可以減少或消除對(duì)專用主干網(wǎng)的使用。SDP可以為組織機(jī)構(gòu)帶來效率和簡(jiǎn)便性，最終有助于減少人力需求。提高IT運(yùn)維的靈活性 IT流程可能會(huì)拖累業(yè)務(wù)流程。相比之下，SDP的實(shí)現(xiàn)可以由IT或IAM事件自動(dòng)驅(qū)動(dòng)。這些優(yōu)勢(shì)加快了IT的速度，使其更快地響應(yīng)業(yè)務(wù)和安全需求。GRC好處

與傳統(tǒng)方法相比，SDP降低了風(fēng)險(xiǎn)。SDP可以抑制威脅并減少攻擊面，防止基于網(wǎng)絡(luò)或者應(yīng)用程序漏洞被利用的攻擊。SDPGRC系統(tǒng)（SIEM集成），以簡(jiǎn)化系統(tǒng)和應(yīng)用程序的合規(guī)性活動(dòng)。合規(guī)范圍增加及成本降低

通過集中控制從注冊(cè)設(shè)備上的用戶到特定應(yīng)用程序/服務(wù)的連接，SDP可以改進(jìn)合規(guī)性數(shù)據(jù)收集、報(bào)告和審計(jì)過程。SDP可為在線業(yè)務(wù)提供額外的連接跟蹤。SDP提供的網(wǎng)絡(luò)微隔離經(jīng)常用于減少合規(guī)范圍，這可能會(huì)對(duì)合規(guī)報(bào)告工作產(chǎn)生重大影響。安全遷移上云

通過降低所需安全架構(gòu)的成本和復(fù)雜性，支持公有云、私有云、數(shù)據(jù)中心和混合環(huán)境中的應(yīng)用程序，SDP可以幫助企業(yè)快速、可控和安全地采用云架構(gòu)。與其他選項(xiàng)相比，新應(yīng)用程序可以更快地部署，且有更好的安全性。業(yè)務(wù)的敏捷性和創(chuàng)新

SDP使企業(yè)能夠快速、安全地實(shí)施其優(yōu)先任務(wù)。例如：SDP支持將呼叫中心從企業(yè)內(nèi)部機(jī)構(gòu)轉(zhuǎn)換為在家辦公的工作人員SDP支持將非核心業(yè)務(wù)功能外包給專業(yè)的第三方SDP支持遠(yuǎn)程第三方網(wǎng)絡(luò)和位置上用戶自助服務(wù)的設(shè)備SDP支持將公司資產(chǎn)部署到客戶站點(diǎn)，與客戶建立更強(qiáng)的集成并創(chuàng)造新的收入SDP主要功能SDP的設(shè)計(jì)至少包括五層安全性：（1）對(duì)設(shè)備進(jìn)行身份認(rèn)證和驗(yàn)證；（2）對(duì)用戶進(jìn)行身份驗(yàn)證和授權(quán)；（3）確保雙向加密通信；（4）動(dòng)態(tài)提供連接；（5）控制用戶與服務(wù)之間的連接并且同時(shí)將這些連接隱藏。這些和其他組件通常都包含在SDP實(shí)現(xiàn)中。信息/基礎(chǔ)設(shè)施隱藏SDP架構(gòu)組件 減輕或減少安全威脅 額外效益服務(wù)器“變黑” 所有外部網(wǎng)絡(luò)攻擊和跨域攻擊帶寬和服務(wù)器DoS攻擊（但請(qǐng)減少拒絕服務(wù)（DoS）攻擊 注意，SDP應(yīng)該通過ISP提供上游反DoS服務(wù)來增強(qiáng)。）

SDP組件（控制器、網(wǎng)關(guān)）在嘗試訪問的客戶主機(jī)通過安全協(xié)議（如單包授權(quán)進(jìn)行身份驗(yàn)證授權(quán)之前，不會(huì)響應(yīng)任何連接請(qǐng)求。Internet的服務(wù)通常位于“拒絕所有”SDP網(wǎng)關(guān)（充當(dāng)網(wǎng)絡(luò)防火墻）后面，因此能夠抵御DoSSDPDoS攻擊。檢測(cè)錯(cuò)誤包擊。

從任何其他主機(jī)到接受主機(jī)（AH）的第一個(gè)數(shù)據(jù)包（或類似的安全構(gòu)造）。AH收到任何其他數(shù)據(jù)包，則將其視為攻擊。雙向加密的連接SDP架構(gòu)組件 減輕或減少安全威脅 額外效益驗(yàn)證用戶和設(shè)備身份

來自未授權(quán)用戶和設(shè)備的連接 所有主機(jī)之間的連接必須使用相互身份驗(yàn)證來驗(yàn)證設(shè)備和用戶是否是SDP的授權(quán)成員。不允許偽造證書 針對(duì)身份被盜的攻擊 相互身份驗(yàn)證方案將證書固定到由SDP管理的已知且受信任的有效根目錄。中間人攻擊 相互握手技術(shù)可以防止在撤銷服務(wù)器證書之利不允許中間人攻擊

用在線證書狀態(tài)協(xié)議（OCSP）響應(yīng)的中間人攻擊。軟件定義邊界架構(gòu)指南軟件定義邊界架構(gòu)指南PAGEPAGE17“需知（NEEDTOKNOW）”訪問模型SDP架構(gòu)組件緩解或降低的安全威脅額外效益取證簡(jiǎn)化惡意數(shù)據(jù)包和惡意連接對(duì)所有惡意數(shù)據(jù)包進(jìn)行分析和跟蹤，以便進(jìn)行取證行動(dòng)。細(xì)粒度訪問控制 來自未知設(shè)備的外部用戶數(shù)據(jù)竊取

只允許授權(quán)用戶和設(shè)備與服務(wù)器建立連接。設(shè)備認(rèn)證 來自未授權(quán)設(shè)備的威脅;書竊取

密匙被證實(shí)由請(qǐng)求連接的適當(dāng)合法設(shè)備持有。保護(hù)系統(tǒng)免受已被入侵設(shè)備的攻擊

來自被入侵設(shè)備的“內(nèi)網(wǎng)漫 用戶只能訪問授權(quán)的應(yīng)用程序（而非整個(gè)網(wǎng)絡(luò)）。游”的威脅動(dòng)態(tài)訪問控制SDP架構(gòu)組件 緩解或降低的安全威脅 額外效益動(dòng)態(tài)的、基于會(huì)員認(rèn)證體系的安全隔離區(qū)

基于網(wǎng)絡(luò)的攻擊

通過動(dòng)態(tài)創(chuàng)建和刪除訪問規(guī)則（出站和入站）來啟用對(duì)受保護(hù)資源的訪問。應(yīng)用層訪問SDP架構(gòu)組件 緩解或降低的安全威脅 額外效益取消廣域網(wǎng)接入應(yīng)用程序和服務(wù)訪問控制

攻擊面最小化;消除了惡意軟件和惡意用戶的端口和漏洞掃描攻擊面最小化;惡意軟件和惡意用戶無法連接到資源

設(shè)備只能訪問策略允許的特定主機(jī)和服務(wù)，不能越權(quán)訪問網(wǎng)段和子網(wǎng)。SDP控制允許哪些設(shè)備和應(yīng)用程序可訪問特定服務(wù)，例如應(yīng)用程序和系統(tǒng)服務(wù)。SDP潛在應(yīng)用領(lǐng)域因?yàn)镾DP是一種安全架構(gòu)，所以它能夠很好提供多種不同級(jí)別的安全，無法簡(jiǎn)單把它歸類到現(xiàn)有的安全常見類別。下表列出了部分可由SDP實(shí)施保護(hù)的幾種場(chǎng)景。網(wǎng)絡(luò)場(chǎng)景 現(xiàn)有技術(shù)的局限性 SDP優(yōu)勢(shì)

傳統(tǒng)的網(wǎng)絡(luò)解決方案僅提供粗粒度的網(wǎng)絡(luò)隔離，并且以IP地址為導(dǎo)向。即使SDN這樣的新平臺(tái)，企業(yè)仍然難以及時(shí)實(shí)現(xiàn)以身份為中心且精確的用戶訪問控制。

SDP允許創(chuàng)建與組織相關(guān)的以身份為中心的訪問控制，且訪問控制是在網(wǎng)絡(luò)層實(shí)施。例如，SDP支持僅允許財(cái)務(wù)用戶只能在公司允許的受控設(shè)備上通過Web訪問財(cái)務(wù)管理系統(tǒng)。SDP還允許只有IT用戶才能安全地訪問IT系統(tǒng)（SSH）。網(wǎng)絡(luò)微隔離安全的遠(yuǎn)程訪問（VPN替代）第三方用戶訪問

通過傳統(tǒng)的網(wǎng)絡(luò)安全工具，使用微隔離服務(wù)來提高網(wǎng)絡(luò)安全性，是一種勞動(dòng)密集型工作。VPN為用戶提供安全的遠(yuǎn)程訪問，但范圍和功能有限。這種方式不保護(hù)本地用戶，并且通常僅提供粗粒度訪問控制（訪問整個(gè)網(wǎng)段或子網(wǎng)）。這種安全和遵從風(fēng)險(xiǎn)通常違反最小權(quán)限原則。安全團(tuán)隊(duì)通常嘗試通過VPN，NAC和VLAN的組合來控制第三方訪問。這些解決方案通常是孤島式的，無法在復(fù)雜環(huán)境中提供細(xì)粒度或全面的訪問控制。

SDP能夠?qū)崿F(xiàn)基于用戶自定義控制的網(wǎng)絡(luò)微隔離。通過SDP可以自動(dòng)控制對(duì)特定服務(wù)的網(wǎng)絡(luò)訪問，從而消除了手動(dòng)配置。SDP可以保護(hù)遠(yuǎn)程用戶和本地用戶。公司組織可以使用SDP作為整體解決方案，摒棄VPN解決方案。而且，SDP解決方案還專為細(xì)粒度訪問控制而設(shè)計(jì)。用戶無法訪問所有未經(jīng)授權(quán)的資源，這符合最小權(quán)限原則。保護(hù)第三方訪問權(quán)限使企業(yè)能夠進(jìn)行創(chuàng)新和適應(yīng)。例如，用戶可以從公司辦公過渡到家庭辦公以降低成本或者有時(shí)可以遠(yuǎn)程工作，而且某些功能可以安全地外包給第三方專家。SDP可以輕松控制和保護(hù)第三方用戶的本地訪問。特權(quán)用戶訪問安全高價(jià)值應(yīng)用的安全訪問

特權(quán)用戶（通常是管理員）訪問通常需要更高的安全性、監(jiān)控和合規(guī)（PAM）解決方案通過憑證加密存儲(chǔ)來管理訪問，但是該憑證加密存儲(chǔ)不提供網(wǎng)絡(luò)安全性、遠(yuǎn)程訪問或敏感內(nèi)容訪問。目前，對(duì)具有敏感數(shù)據(jù)的高價(jià)值應(yīng)用程序提供細(xì)粒度授權(quán)可能需要對(duì)多個(gè)功能層進(jìn)行復(fù)雜且耗時(shí)的更改。（例如：應(yīng)用程序、數(shù)據(jù)外部訪問。）

對(duì)特權(quán)服務(wù)的訪問可以限制為授權(quán)用戶，并在網(wǎng)絡(luò)層受到保護(hù)，并且可以向未經(jīng)授權(quán)的用戶隱藏特權(quán)服務(wù)，從而限制攻擊范圍。SDP確保只有在滿足特定條件時(shí)（例如，在定義的維護(hù)窗口期或僅從特定設(shè)備）才允許訪問，然后可以記錄訪問日志以進(jìn)行合規(guī)性報(bào)告?？梢酝ㄟ^集成用戶/身份感知，網(wǎng)絡(luò)感知和設(shè)備感知在不暴露完整的網(wǎng)絡(luò)的情況下限制對(duì)應(yīng)用程序的訪問;并依靠應(yīng)用程序或應(yīng)用程序網(wǎng)關(guān)進(jìn)行訪問控制。SDP還可以促進(jìn)應(yīng)用程序升級(jí)，測(cè)試和部署，并為DevOpsCI/CD提供所需的安全框架。網(wǎng)絡(luò)場(chǎng)景 現(xiàn)有技術(shù)的局限性 SDP優(yōu)勢(shì)托管服務(wù)器的訪問安全

在托管安全服務(wù)提供商（MSSP）和大型IT環(huán)境中，管理員可能需要定期對(duì)在重疊IP地址范圍的網(wǎng)絡(luò)上對(duì)托管服務(wù)器進(jìn)行網(wǎng)絡(luò)訪問。這一點(diǎn)通過傳統(tǒng)的網(wǎng)絡(luò)和安全工具很難實(shí)現(xiàn)，并且要求繁瑣的合規(guī)性報(bào)告。

可以通過業(yè)務(wù)流程來控制對(duì)托管服務(wù)器的訪問。SDP可以覆蓋復(fù)雜的網(wǎng)絡(luò)拓?fù)?、?jiǎn)化訪問，同時(shí)記錄用戶活動(dòng)以滿足合規(guī)性要求簡(jiǎn)化網(wǎng)絡(luò)集成

要求組織定期快速集成之前不同的網(wǎng)絡(luò)，例如，在并購(gòu)或?yàn)?zāi)難恢復(fù)方案中

借助SDP，網(wǎng)絡(luò)可以快速無中斷地互連，而無需進(jìn)行大規(guī)模更改IaaS云環(huán)境

采用基礎(chǔ)架構(gòu)即服務(wù)（IaaS）的組織急劇增加，但許多安全性問題仍待解決。例如，IaaS訪問控制可能與企業(yè)原有的訪問控制無法銜接，范圍僅限于云提供商環(huán)境內(nèi)部。

SDP方案改進(jìn)了IaaS安全性。不僅將應(yīng)用程序隱藏在默認(rèn)防火墻之外，還會(huì)對(duì)流量進(jìn)行加密，并且可以跨異構(gòu)企業(yè)定義用戶訪問策略。請(qǐng)參考《SDP在IaaS中的應(yīng)用》白皮書。強(qiáng)化身份認(rèn)證方案簡(jiǎn)化企業(yè)合規(guī)性控制和報(bào)告

對(duì)已有的應(yīng)用程序在安全性和合規(guī)性上可能需要額外的2FA。但這在非網(wǎng)絡(luò)應(yīng)用和不易更改的程序上是很難實(shí)現(xiàn)的。合規(guī)性報(bào)告需要IT團(tuán)隊(duì)付出極其耗時(shí)且成本高昂的工作。

SDP需要在對(duì)特定應(yīng)用程序授予訪問權(quán)限之前添加2FA。并通過部署多因素身份驗(yàn)證（MFA）系統(tǒng)來改善用戶體驗(yàn)，并可以添加MFA以增強(qiáng)遺留應(yīng)用程序的安全性。SDP降低了合規(guī)范圍（通過微隔離），并自動(dòng)執(zhí)行合規(guī)性報(bào)告任務(wù)（通過以身份為中心的日志記錄和訪問報(bào)告）.DDoS攻擊

傳統(tǒng)的遠(yuǎn)程訪問解決方案將主機(jī)和端口暴露在Internet，并受到DDoS攻擊。所有的完整的數(shù)據(jù)包都被丟棄，而且低帶寬DDoS攻擊繞過了傳統(tǒng)的DDoS安全控制。

SDP可以（讓服務(wù)器）對(duì)未經(jīng)授權(quán)的用戶不default-drop防火墻，只允許合法的數(shù)據(jù)包通過。VPNVPN或消費(fèi)者VPN方案。Gartner2016930日發(fā)表的一篇論文中，作者寫道：“2021年，60％的企業(yè)將逐步淘汰數(shù)字商業(yè)通信的網(wǎng)絡(luò)VPN，轉(zhuǎn)20161％“。SDP架構(gòu)SDP架構(gòu)的主要組件包括客戶端/【發(fā)起主機(jī)（IH）】，服務(wù)端/【接受主機(jī)（AH）】和【SDP控制器】，AHIH都會(huì)連接到這些控制器?！維DP機(jī)】可以啟動(dòng)連接（發(fā)起主機(jī)或IH），也可以接受連接（AH）IHAH之間的連接是通過【SDP控制器】與安全控制信道的交互來管理的。該結(jié)構(gòu)使得控制層能夠與數(shù)據(jù)層保持分離，以便實(shí)現(xiàn)完全可擴(kuò)展的安全系統(tǒng)。此外，所有組件都可以是冗余的，用于擴(kuò)容或提高穩(wěn)定運(yùn)行時(shí)間。通過遵循此處概1中概述的技術(shù)來保護(hù)這三個(gè)組件之間的連接。工作原理IH上的【SDP客戶端軟件】啟動(dòng)與SDP的連接。包括筆記本電腦、平板電腦和智能手機(jī)在內(nèi)的IH設(shè)備面向用戶，也就是說SDP軟件在設(shè)備自身上運(yùn)行。網(wǎng)絡(luò)可以是在部署SDP的企業(yè)的控制之外。AH設(shè)備接受來自IH的連接，并提供由SDP安全保護(hù)的一組服務(wù)。AH通常駐留在企業(yè)控制下的網(wǎng)絡(luò)（和/或直接的代表）。SDP為授權(quán)用戶和設(shè)備提供對(duì)受保護(hù)程序和服務(wù)的訪問。網(wǎng)關(guān)還可以對(duì)這些連接進(jìn)行監(jiān)視、記錄和報(bào)告。

IH和AH設(shè)備連接到【SDP控制器】，【SDP控制器】可以是一種設(shè)備或程序，它確保用戶是經(jīng)過身份驗(yàn)證和授權(quán)、設(shè)備經(jīng)過驗(yàn)證、通信是安全建立的、網(wǎng)絡(luò)中的用戶流量和管理流量是獨(dú)立的，來確保對(duì)隔離服務(wù)的安全訪問。AH和控制器使用單包授權(quán)（SPA）進(jìn)行保護(hù)，這樣讓未授權(quán)的用戶和設(shè)備無法感知或訪問。第21頁描述了單包授權(quán)（SPA）的參考實(shí)現(xiàn)。圖1：SDP架構(gòu)（已經(jīng)在《SDP標(biāo)準(zhǔn)規(guī)范1.0》中發(fā)布）SDP的安全性遵循以下特定各步驟的工作流程：在SDP中添加并激活一個(gè)或多個(gè)【SDP控制器】并連接到身份驗(yàn)證和授權(quán)服務(wù)，例如AM、PKI服務(wù)、設(shè)備驗(yàn)證、地理位置、SAML、OpenID、OAuth、LDAP、Kerberos、多因子身份驗(yàn)證、身份聯(lián)盟和其他類似的服務(wù)。在SDP中添加并激活一個(gè)或多個(gè)AH。它們以AH不響應(yīng)來自任何其他主機(jī)的通信，也不會(huì)響應(yīng)任何未許可的請(qǐng)求。每個(gè)IH會(huì)在SDP中添加和激活，并與【SDP控制器】連接并進(jìn)行身份驗(yàn)證。

IH被驗(yàn)證之后，【SDP控制器】確定IH被授權(quán)可以連接的AH列表?！維DP控制器】指示AH接受來自IH的通信，并啟動(dòng)加密通信所需的任何可選策略?！維DP控制器】為IH提供AH列表，以及加密通信所需的任何可選策略。IH向每個(gè)授權(quán)的AH發(fā)起。然后IH和這些AH創(chuàng)建雙向加密連接（例如，雙向驗(yàn)證TLS或mTLS）。SDP部署模型CSA的SDP標(biāo)準(zhǔn)規(guī)范1.0中定義了以下幾種在組織機(jī)構(gòu)中部署SDP的可能架構(gòu)：客戶端-網(wǎng)關(guān) 服務(wù)器-服務(wù)器 客戶端-網(wǎng)關(guān)-客戶端客戶端-服務(wù)器 SDP部署模型CSA的SDP標(biāo)準(zhǔn)規(guī)范1.0中定義了以下幾種在組織機(jī)構(gòu)中部署SDP的可能架構(gòu)：客戶端-網(wǎng)關(guān) 服務(wù)器-服務(wù)器 客戶端-網(wǎng)關(guān)-客戶端客戶端-服務(wù)器 客戶端-服務(wù)器-客戶端 網(wǎng)關(guān)-網(wǎng)關(guān)【客戶端-網(wǎng)關(guān)】當(dāng)一個(gè)或多個(gè)服務(wù)器必須在網(wǎng)關(guān)后面受到保護(hù)時(shí)，無論底層網(wǎng)絡(luò)拓?fù)淙绾?，客戶?IH和網(wǎng)關(guān)之間的連接都是安全的。網(wǎng)關(guān)既可以位于同一位置，也可以跨國(guó)的分布。在這個(gè)部署模式下，客戶端/IH通過mTLS隧道直接連接到網(wǎng)關(guān)，并在網(wǎng)關(guān)終結(jié)mTLS隧道。如果要確保與服務(wù)器的連接是安全的，必須采取其他預(yù)防措施?！維DP控制器】可以位于云中或受保護(hù)服務(wù)器附近，因此控制器和服務(wù)器使用相同的SDP網(wǎng)關(guān)。

圖2：【客戶端-網(wǎng)關(guān)】模型：一個(gè)或者多個(gè)服務(wù)器被網(wǎng)關(guān)保護(hù)在圖2中，（在一個(gè)或多個(gè)環(huán)境中的）服務(wù)器作為AH在SDP網(wǎng)關(guān)后受到保護(hù)。要確保穿過網(wǎng)關(guān)的服務(wù)器的連接安全性，服務(wù)器所處的環(huán)境應(yīng)由運(yùn)行SDP的組織控制。SPA和采用“缺省丟棄”（default-drop）策略防火墻所保護(hù)，除非通信來自于正常的客戶端/IH，服務(wù)器是不可訪問的。因此，服務(wù)器對(duì)于非授權(quán)用戶和潛在的攻擊者而言，這些服務(wù)器是不可見且不可訪問的。受保護(hù)的服務(wù)器是無法訪問的，除了來自正常的客戶端/IH，并且網(wǎng)關(guān)和控制器使用帶有默認(rèn)防火墻的SPA進(jìn)行保護(hù)，因此它們是“黑暗的”并且對(duì)于未經(jīng)授權(quán)的用戶和潛在的攻擊者是不可訪問的。受保護(hù)的服務(wù)器可以包含在SDP中，而無需對(duì)服務(wù)器進(jìn)行任何更改。但是，它們所在的網(wǎng)絡(luò)需要配置為僅允許從網(wǎng)關(guān)到受保護(hù)服務(wù)器的入站連接，這將防止未經(jīng)授權(quán)的客戶端繞過網(wǎng)關(guān)。這種部署模式下，因?yàn)榭梢栽赟DP網(wǎng)關(guān)和受保護(hù)服務(wù)器之間部署安全組件，從而保留了組織機(jī)構(gòu)使用其現(xiàn)有網(wǎng)絡(luò)安全組件（如IDS/IPS）的能力。從連接客戶端到網(wǎng)關(guān)的流量從mTLS隧道中流出之后，可以進(jìn)流量監(jiān)控?？蛻舳?IH既可以是終端設(shè)備，也可以是服務(wù)器。（參考第16頁的【服務(wù)器-服務(wù)器】模型）【客戶端-網(wǎng)關(guān)】模型適用于將其應(yīng)用程序遷移到云的組織。無論服務(wù)器環(huán)境位于何處（云、本地或附近），組織機(jī)構(gòu)都希望必須確保網(wǎng)關(guān)和應(yīng)用程序之間的數(shù)據(jù)安全。此模型還適用于保護(hù)本地遺留應(yīng)用程序，因?yàn)镮H不需要進(jìn)行任何更改?！究蛻舳?服務(wù)器】當(dāng)組織機(jī)構(gòu)將應(yīng)用程序移動(dòng)到IaaS環(huán)境并提供程序端到端地保護(hù)連接時(shí)，此模型將服務(wù)器和網(wǎng)關(guān)組合在客戶端/IH可以位于與服務(wù)器相同的位置，也可以是分布式的。在任何一種情況下，客戶端/IH和服務(wù)器之間的連接都是端到端的。該模型為組織提供了極大的靈活性，因?yàn)椤胺?wù)器-網(wǎng)關(guān)”組合可以根據(jù)需要在多個(gè)IaaS提供商之間移動(dòng)。此模型也適用于保護(hù)無法升級(jí)的本地遺留應(yīng)用程序。在此模型中，客戶端/IHmTLS隧道直接連接SDP控制器可

以位于服務(wù)器上（因此控制器和服務(wù)器使用相同的網(wǎng)關(guān)）或者位于云中。圖3：【客戶端-服務(wù)器】模型：服務(wù)器上直接運(yùn)行網(wǎng)關(guān)軟件SDP網(wǎng)關(guān)保護(hù)（AH）。通過網(wǎng)關(guān)連接到服務(wù)器（在服務(wù)器環(huán)境中）的安全連接可以在服務(wù)器上的應(yīng)用程序/服務(wù)的所有者控制下，使所有者完全控制這些連接。因?yàn)榫W(wǎng)關(guān)和控制器通過使用“默認(rèn)丟棄”（default-drop）SPA進(jìn)行保護(hù)，因此除了來自被允許的客戶端/IH的請(qǐng)求之外，受保護(hù)的服務(wù)器是不可訪問的。這意味著服務(wù)器對(duì)于內(nèi)部、外部攻擊者以及未經(jīng)授權(quán)的用戶是無法訪問的，這可以提供對(duì)內(nèi)部威脅的卓越保護(hù)。使用此模型，受保護(hù)的服務(wù)器將需要配備網(wǎng)關(guān)。服務(wù)器所在的網(wǎng)絡(luò)不需要配置為限制到受保護(hù)服務(wù)器的入站連接。這些服務(wù)器上的網(wǎng)關(guān)（執(zhí)行點(diǎn)）使用SPA來防止未經(jīng)授權(quán)的連接。此模型可以更輕松地使用現(xiàn)有的網(wǎng)絡(luò)安全組件，IDS/IPS或SIEMSDP網(wǎng)關(guān)/受保護(hù)服務(wù)器的丟棄數(shù)據(jù)包來監(jiān)控流量，從而保留客戶端/IH與服務(wù)器之間的mTLS連接。（另請(qǐng)注意，客戶端/IH雖然描述為用戶設(shè)備，但它本身可能是服務(wù)器。在這種情況下，請(qǐng)參閱下面的服務(wù)器到服務(wù)器模型。）【客戶端-服務(wù)器】模型非常適合將應(yīng)用程序遷移到云的組織。無論服務(wù)器環(huán)境位于何處（云或本地），組織都可以完全控制與云中應(yīng)用程序的連接?！痉?wù)器-服務(wù)器】此模型最適合物聯(lián)網(wǎng)（IoT）和虛擬機(jī)（VM）并確保服務(wù)器之間的所有連接都加密，無論底層網(wǎng)絡(luò)IP基礎(chǔ)結(jié)構(gòu)如何。服務(wù)器到服務(wù)器模型還確保組SDP白名單策略明確允許通信。跨不受信任的網(wǎng)絡(luò)的服務(wù)器之間的通信是安全的，并且服務(wù)器使用輕量級(jí)SPA協(xié)議保持對(duì)所有未授權(quán)連接保持隱藏。此模型類似于上一頁中的客戶端到服務(wù)器模型，除了IH本身是服務(wù)器，并且還可以充當(dāng)SDPAH。與【客戶端-服務(wù)器】模型一樣，【服務(wù)器-服務(wù)器】模型要求在每個(gè)服務(wù)器上安裝SDP網(wǎng)關(guān)或類似的輕量級(jí)技術(shù)，并使得所有【服務(wù)器-服務(wù)器】的流量相對(duì)整個(gè)環(huán)境中其他元素而言不可見?；诰W(wǎng)絡(luò)的IDS/IPS需要配置從SDP網(wǎng)關(guān)而不是從外部獲取數(shù)據(jù)包。此外，組織可能依賴基于主機(jī)的IDS/IPS。圖示4：【服務(wù)器-服務(wù)器】模型：任何通信包括了API調(diào)用和系統(tǒng)服務(wù)SDP控制器可以位于服務(wù)器上，以便控制器和服務(wù)器使用相同的SDP網(wǎng)關(guān)?！維DP控制器】也可以保留在云端。AHSDP網(wǎng)關(guān)后面而受到保護(hù)。通過網(wǎng)關(guān)的服務(wù)器（在服務(wù)器環(huán)境中）的安全連接默認(rèn)由服務(wù)器上的應(yīng)用程序/服務(wù)的所有者控制，這使得所有者可以完全控制這些連接。SPA

丟棄”（default-drop）模式進(jìn)行保護(hù)，因此服務(wù)器是不可見的（Dark），攻擊者和未經(jīng)授權(quán)的用戶(內(nèi)部和外部)無法訪問這些服務(wù)器，從而提供了額外的保護(hù)免受內(nèi)部威脅。使用此模式，受保護(hù)的服務(wù)器將需要配備網(wǎng)關(guān)或SPA協(xié)議。受保護(hù)的服務(wù)器所在的網(wǎng)絡(luò)不需要inbound(流量)連接。這些服務(wù)器上的網(wǎng)關(guān)(執(zhí)行點(diǎn))SPA協(xié)議防止內(nèi)部和外部未經(jīng)授權(quán)的連接。該模式使應(yīng)用IDS/IPS和SIEMs等網(wǎng)絡(luò)安全組件變得更加容易?？梢酝ㄟ^分析來自SDP網(wǎng)關(guān)/受保護(hù)服務(wù)器的所有丟棄包來監(jiān)控流量，從而保持受保護(hù)服務(wù)器之間的mTLS連接。VM環(huán)境遷移到云上的環(huán)境。無論服務(wù)器環(huán)境位于何處(云環(huán)境還是本地環(huán)境)，企業(yè)組織都可以完全控制到云環(huán)境的連接?！究蛻舳?服務(wù)器-客戶端】IP電話、聊天和視頻會(huì)議服務(wù)。在這些情況下，SDP連IP地址，組件連接通過加密網(wǎng)絡(luò)，并通SPA保護(hù)服務(wù)器/AH免受未經(jīng)授權(quán)的網(wǎng)絡(luò)連接。圖5:客戶端到服務(wù)器到客戶端模式:用于對(duì)等連接的模式，如IP電話或聊天。SDP控制器可能位于服務(wù)器上(因此控制器和SDP網(wǎng)關(guān))或云中。如上所述，AHSDP網(wǎng)關(guān)后面受到保護(hù)。默認(rèn)情況下，通過網(wǎng)關(guān)到服務(wù)器的安全連接由服務(wù)器上的應(yīng)用程序/服務(wù)的所有者控制。受保護(hù)的服務(wù)器是不可訪問的，除非來自其他被SPA通過防火墻“默認(rèn)丟棄”（Default-drop）進(jìn)行保護(hù)，因此服務(wù)器是不可見的，并攻擊者和未經(jīng)授權(quán)的用戶(內(nèi)部和外部)無法訪問服務(wù)器，以提供額外的保護(hù)免受內(nèi)部威脅。使用此模式，受保護(hù)的服務(wù)器將需要配備網(wǎng)關(guān)或SPA協(xié)議。受保護(hù)服務(wù)器所在的網(wǎng)絡(luò)不需要限制入向（inbound）連接。服務(wù)器上的網(wǎng)關(guān)(執(zhí)行點(diǎn))使SPA來防止內(nèi)部和外部未經(jīng)授權(quán)的連接。該模式使應(yīng)用IDS/IPS和SIEMs等網(wǎng)絡(luò)安全組件變得更加容易?？梢酝ㄟ^分析來自SDP網(wǎng)關(guān)/受保護(hù)服務(wù)器的所有丟包來監(jiān)控流量，從而保持客戶端和受保護(hù)服務(wù)器之間的mTLS連接。移到云中。無論服務(wù)器環(huán)境位于何處(云環(huán)境還是本地環(huán)境)，組織都可以完全控制到客戶端的連接?！究蛻舳?網(wǎng)關(guān)-客戶端】此模式是上面客戶機(jī)到服務(wù)器到客戶機(jī)的變形。該模SDP訪問策略時(shí)直接相互連接。圖6:客戶端到網(wǎng)關(guān)到客戶端模型:用于保護(hù)客戶端到客戶端的通信。

這將導(dǎo)致客戶機(jī)之間的邏輯連接(每個(gè)客戶機(jī)都充當(dāng)IH、AH或兩者的角色，具體取決于應(yīng)用程序協(xié)議)。注意，應(yīng)用程序協(xié)議將決定客戶端如何進(jìn)行彼此連接，SDP網(wǎng)關(guān)充當(dāng)它們之間的防火墻。未來將發(fā)布更多的關(guān)于這個(gè)模式的信息。【網(wǎng)關(guān)到網(wǎng)關(guān)】網(wǎng)關(guān)到網(wǎng)關(guān)模式?jīng)]有包含在SDP規(guī)范1.0的初始發(fā)布中。該模式非常適合于某些物聯(lián)網(wǎng)環(huán)境。在此場(chǎng)景中，一個(gè)或多個(gè)服務(wù)器位于AH后面，因此AH充當(dāng)客戶端和服務(wù)器之間的網(wǎng)關(guān)。與此同時(shí)，一個(gè)或多個(gè)客戶端位于IH后面，因此IH也充當(dāng)網(wǎng)關(guān)。7:網(wǎng)關(guān)到網(wǎng)關(guān)模式:一個(gè)或多個(gè)服務(wù)器或客戶端在網(wǎng)關(guān)后面受到保護(hù)在這個(gè)模型中，客戶端設(shè)備不運(yùn)行SDP軟件。這SDP客戶機(jī)的設(shè)備，例如打印機(jī)、掃描儀、傳感器和物聯(lián)網(wǎng)設(shè)備。在這個(gè)模型中，網(wǎng)關(guān)作為防火墻，也可能作為路由器或代理，具體取決于實(shí)現(xiàn)部署方式。SDP部署模式和相應(yīng)的場(chǎng)景下表顯示了哪些部署模式可以對(duì)應(yīng)到哪些SDP場(chǎng)景。每種類型的部署都需要保護(hù)不同的連接。網(wǎng)絡(luò)場(chǎng)景基于身份的網(wǎng)絡(luò)訪問

客戶端到網(wǎng)關(guān)

客戶端到服務(wù)器

服務(wù)器到服務(wù)器

客戶端到服務(wù)器到客戶端

客戶端到網(wǎng)關(guān)到客戶端

網(wǎng)關(guān)到網(wǎng)關(guān)控制 Y Y* Y Y Y Y**所有的SDP模式都支持身份驅(qū)動(dòng)的網(wǎng)絡(luò)訪問控制。*此模式提供到網(wǎng)絡(luò)和服務(wù)的安全連接。**此模式為，SDP識(shí)別設(shè)備的程度取決于特定的SDP實(shí)現(xiàn)執(zhí)行設(shè)備識(shí)別和驗(yàn)證的方式。例如，MAC地址提供的身份驗(yàn)證比802.1x更弱。網(wǎng)絡(luò)微隔離 Y* Y** Y*** Y Y Y所有的SDP模式都通過保護(hù)單個(gè)連接來提供網(wǎng)絡(luò)微隔離。*此模式通過保護(hù)客戶端和網(wǎng)關(guān)之間的連接來提供微隔離，但不提供到網(wǎng)關(guān)后面服務(wù)器的微分隔連接。**該模式通過保護(hù)到服務(wù)器的所有連接來提供網(wǎng)絡(luò)微隔離。此外，承載網(wǎng)關(guān)的服務(wù)器是隱藏的。***該模式通過保護(hù)到指定服務(wù)器的所有連接來提供網(wǎng)絡(luò)微隔離。此外，承載網(wǎng)關(guān)的服務(wù)器是隱藏的。安全遠(yuǎn)程訪問（VPN替代） Y Y Y Y Y YSDP是傳統(tǒng)VPN的替代品。在所有情況下，控制器和網(wǎng)關(guān)/AH必須能夠被遠(yuǎn)程設(shè)備訪問他們可以使用SPA啟動(dòng)連接。第三方用戶訪問 Y Y Y* Y Y Y根據(jù)需要保護(hù)的連接，SDP支持對(duì)所有場(chǎng)景的第三方訪問。第三方可能是遠(yuǎn)程或現(xiàn)場(chǎng)，也可以有一個(gè)獨(dú)立的身份提供程序?qū)ζ溥M(jìn)行身份驗(yàn)證。*SDP模式為，提供保護(hù)連接從第三方應(yīng)用對(duì)內(nèi)部應(yīng)用程序的訪問，第三方應(yīng)用程序作為客戶端。特權(quán)用戶訪問安全 Y Y N Y Y NSDP保護(hù)來自客戶端特權(quán)用戶的訪問連接。通常，特權(quán)用戶訪問指的是訪問服務(wù)器的客戶機(jī)（身份或權(quán)限），但可以應(yīng)用于所有模式，具體取決于所涉及的應(yīng)用程序。高價(jià)值應(yīng)用的安全訪問 Y Y Y Y Y N除了網(wǎng)關(guān)到網(wǎng)關(guān)模式以外，所有保護(hù)模式都提供特定的方式來進(jìn)行高價(jià)值應(yīng)用程序的訪問保護(hù)。托管服務(wù)器的訪問安全 Y Y* Y Y N Y此場(chǎng)景用于服務(wù)提供者訪問托管服務(wù)器。服務(wù)器可以完全由網(wǎng)關(guān)隱藏，或者在托管服務(wù)環(huán)境中，只有管理界面由網(wǎng)關(guān)隱藏。*在該模型中，SDP網(wǎng)關(guān)軟件部署在服務(wù)器上。服務(wù)器被隱藏，MSSP/托管服務(wù)被檢測(cè)和控制服務(wù)進(jìn)行連接。簡(jiǎn)化網(wǎng)絡(luò)集成 Y Y* Y* Y Y Y所有SDP部署模式都支持此場(chǎng)景，不同模式有不同的安全連接。*對(duì)于這些模式，另一個(gè)優(yōu)點(diǎn)是服務(wù)器上的服務(wù)可以通過網(wǎng)關(guān)隱藏。安全遷移到IaaS云環(huán)境 Y Y Y Y Y Y這個(gè)場(chǎng)景涉及到將服務(wù)從本地遷移到云。強(qiáng)化身份驗(yàn)證方案 Y Y Y* Y Y Y所有SDP模式都提供增強(qiáng)身份驗(yàn)證的能力，通常通過多因素/逐步驗(yàn)證。*此模式下沒有用戶，無法提示輸入一次性密碼。但是，它可以支持多因素身份驗(yàn)證，比如使用PKIHSM。身份管理系統(tǒng)可以(也應(yīng)該)用于系統(tǒng)或設(shè)備，而不僅僅是用戶。簡(jiǎn)化企業(yè)合規(guī)性控制和報(bào)告 Y Y Y Y Y Y所有SDP模式都通過集成控制方式幫助企業(yè)簡(jiǎn)化合規(guī)性。防御DDoS攻擊 Y Y Y Y Y YSDPSPADDoS攻擊的彈性。在這種情況下,我DDoS攻擊。SDP連接安全SDP架構(gòu)提供的協(xié)議在網(wǎng)絡(luò)棧所有層都對(duì)連接提供保護(hù)。8SDP部署模式保護(hù)的連接。通過在關(guān)鍵位置部署網(wǎng)關(guān)和控制器，實(shí)施人員能夠?qū)Ｗ⒂诒Ｗo(hù)對(duì)組織最關(guān)鍵的連接，并保護(hù)這些連接免受網(wǎng)絡(luò)攻擊和跨域攻擊。單包授權(quán)SDP技術(shù)最關(guān)鍵的組成部分之一是要求并強(qiáng)制實(shí)施“先認(rèn)證后連接”模型，該模型彌補(bǔ)了TCP/IP開放且不安全性質(zhì)的不足。SDP通過單包授權(quán)（SPA）實(shí)現(xiàn)這一點(diǎn)。SPA是一種輕量級(jí)安全協(xié)議，在允許訪問控制器或網(wǎng)關(guān)等相關(guān)系統(tǒng)組件所在的網(wǎng)絡(luò)之前先檢查設(shè)備或用戶身份。IP地址等在內(nèi)的連接請(qǐng)求的信息，在單一的網(wǎng)絡(luò)消息中被加密和認(rèn)證。SPA的目的是允許服務(wù)被防火墻隱藏起來并被默認(rèn)丟棄。該防火墻系TCPUDP數(shù)據(jù)包，不回復(fù)那些連接嘗試，從而不為潛在的攻擊者提供任何關(guān)于該端口是否正被監(jiān)聽的信息。在認(rèn)證和授權(quán)后，用戶被允許訪問該服務(wù)。SPASDP不可或缺，用于在客戶端和控制器、網(wǎng)關(guān)和控制器、客戶端和網(wǎng)關(guān)等之間的連接中通信。盡管各種SPA的實(shí)現(xiàn)可能有輕微差別，這些實(shí)現(xiàn)都應(yīng)該能滿足以下原則：數(shù)據(jù)包必須被加密和認(rèn)證數(shù)據(jù)包必須自行包含所有必要的信息；單獨(dú)的數(shù)據(jù)包頭不被信任生成和發(fā)送數(shù)據(jù)包必須不依賴于管理員或底層訪問權(quán)限；不允許篡改原始數(shù)據(jù)包服務(wù)器必須盡可能無聲地接收和處理數(shù)據(jù)包；不發(fā)送回應(yīng)或確認(rèn)

SPA的好處圖8：被各種SDP部署模式保護(hù)的連接SPASDP中起很大作用。SDP的目標(biāo)之一是克服TCP/IP開放和不安全的基本特性。TCP/IP的這個(gè)特性允許“先連接后認(rèn)證”。鑒于今天的網(wǎng)絡(luò)安全威脅形勢(shì)，允許惡意行為人員掃描并連接到我們的企業(yè)系統(tǒng)SDPSPA通過兩種方式應(yīng)SDPSDP網(wǎng)關(guān)/AH后面，從而只有被授權(quán)的用戶才能訪問。另外，SDPSPA保護(hù)。這允許它們被安全地面向互聯(lián)網(wǎng)部署，確保合法用戶可以高效可靠地訪問，而未授權(quán)用戶則看不到這些服務(wù)。SPA提供的關(guān)鍵好處是服務(wù)隱藏。Default-drop（默認(rèn)丟棄）規(guī)則緩解了端口掃描和相關(guān)偵查技SPA組件對(duì)未授SDP的攻擊面。VPN的開放端口以及在很多實(shí)現(xiàn)中都存在的已知弱點(diǎn)，SPA更安全。SPA相對(duì)于其他類似技術(shù)的另一個(gè)優(yōu)勢(shì)是零日(Zero-day)保護(hù)。當(dāng)一個(gè)漏洞被發(fā)現(xiàn)時(shí)，如果只有被認(rèn)證的用戶才能夠訪問受影響的服務(wù)，使該漏洞的破壞性顯著減小。SPA也可以抵御分布式拒絕服務(wù)（DDoS）攻擊。如果一個(gè)HTTPS服務(wù)暴露在公共互聯(lián)網(wǎng)而能被攻擊，很少的流量就可能使其宕機(jī)。SPA使服務(wù)只對(duì)認(rèn)證的用戶可見，因而所有DDoS攻擊都默認(rèn)由防火墻丟棄而不是由被保護(hù)的服務(wù)自己處理。SPA的局限SPASDP多層次安全的一部分，僅其自身并不完整。SPA實(shí)現(xiàn)應(yīng)該設(shè)計(jì)成能夠抵御重放攻擊，但SPA仍然可能遭受中間人（MITM）攻擊。具體而MITMSPA數(shù)據(jù)包，雖然該敵方不能建立到被授權(quán)客戶端的連接，但是可能有能力建立到控制器/AH的連接。但該敵方將不能mTLS連接。因此控制器/AHTCP連接。即MITM場(chǎng)景下，SPATCP安全。不同供應(yīng)商的SPA實(shí)現(xiàn)可能有輕微差異。Fwknop（FireWallKNockOperator）項(xiàng)目14提供了一個(gè)開源的SPA參考實(shí)現(xiàn)，請(qǐng)參考第38頁附錄2。另一個(gè)很好的參考是EvanGilman和DougBarth《零信任網(wǎng)絡(luò)》(O’ReillyMedia,Inc.,2017)一書的《信任其流量》一章。SDP和訪問控制SDP作為一個(gè)新興架構(gòu)的價(jià)值在于加強(qiáng)了訪問控制管理，并為實(shí)施用戶訪問管理、網(wǎng)絡(luò)訪問管理和系統(tǒng)認(rèn)證控制等設(shè)定了標(biāo)準(zhǔn)。SDP有能力通過阻止來自于未授權(quán)用戶和/或使用未批準(zhǔn)設(shè)備的網(wǎng)絡(luò)層訪問的方式實(shí)施訪問控制。因?yàn)镾DP部署了“全部拒絕”

（Deny-all）的防火墻，可以阻止、允許或防止網(wǎng)絡(luò)IHAH間流動(dòng)。至少，SDP使組織機(jī)構(gòu)能夠定義和控制自己的訪問策略，決定哪些個(gè)體能夠從哪些被批準(zhǔn)的設(shè)備訪問哪些網(wǎng)絡(luò)服務(wù)。SDP并不嘗試去替代已有的身份和訪問管理方案，但對(duì)用戶認(rèn)證的訪問控制進(jìn)行了加強(qiáng)。SDP通過將用戶認(rèn)證和授權(quán)與其它安全組件集成（8頁的“SDP的主要功能”）顯著減小了潛在攻擊面。例如，Jane可能沒有登錄公司生產(chǎn)財(cái)務(wù)管理服務(wù)器的JaneJane的公司部SDPJane的設(shè)備隱藏了。所以，即使攻擊者已經(jīng)在Jane的設(shè)備上立足，SDP將阻止從該設(shè)備連接到財(cái)務(wù)管理服務(wù)器。即使Jane確實(shí)有允許訪問財(cái)務(wù)管理服務(wù)器的密碼，在她的設(shè)備上安裝SDP客戶端也提供了額外的保護(hù)。攻擊者仍然將被多因子身份認(rèn)證加上強(qiáng)力的設(shè)備驗(yàn)證拒之門外。1https:///fwknop/補(bǔ)充架構(gòu)零信任和BeyondCorp在當(dāng)今的安全藍(lán)圖中，除了軟件定義邊界之外還有另外兩個(gè)新思路：由行業(yè)分析公司Forrester最早推動(dòng)GoogleBeyondCorp舉措。Forrester的零信任模型Forrester的零信任模型2在過去的幾年中擴(kuò)大了其范圍，零信任模型建立在三個(gè)原則之上：不管用戶和資源所處位置，確保所有資源訪問都是安全的記錄和檢查所有流量執(zhí)行最小權(quán)限原則SDP所提供的一致。SDP架構(gòu)可能是實(shí)施這些零信任原則的最佳方法。SDP對(duì)用戶和設(shè)備進(jìn)行強(qiáng)認(rèn)證，并對(duì)網(wǎng)絡(luò)連接進(jìn)行加密，從而保證不管用戶所在位置，所有資源都被安全地訪問。SDP通常作為覆蓋層部署在現(xiàn)有網(wǎng)絡(luò)上，因此也確保無論資源是部署在內(nèi)部、云上或其他位置，都可以被安全地訪SDP實(shí)現(xiàn)中，網(wǎng)絡(luò)連接也受控制，提供了一個(gè)中心位置記錄哪些個(gè)體（人或機(jī)器）正在訪問哪些資產(chǎn)。如果需要對(duì)數(shù)據(jù)包進(jìn)行深度檢測(cè)，SDP能夠很容易地與網(wǎng)絡(luò)流量探測(cè)系統(tǒng)集成。最后，也許是最重要

的，SDP天然地且強(qiáng)力地執(zhí)行最小特權(quán)原則。SDP從一個(gè)默認(rèn)的、拒絕所有的網(wǎng)關(guān)開始，并嚴(yán)SDPSDP自身和聯(lián)網(wǎng)的應(yīng)用。這是最小特權(quán)原則的本質(zhì)。Google的BeyondCorp模型BeyondCorpGoogle內(nèi)部網(wǎng)絡(luò)的安全訪問平臺(tái)，用于幫助其員工訪問內(nèi)部資源。BeyondCorp強(qiáng)調(diào)通Chromebook。這個(gè)系統(tǒng)已經(jīng)被充分研究和記錄3Google在過去五年中的一個(gè)成功的內(nèi)部項(xiàng)目。SDP模型有所區(qū)別的是，BeyondCorp是一個(gè)WebHTTP、HTTPSSSH協(xié)議。SDPIP協(xié)議，在某些實(shí)現(xiàn)中甚IP協(xié)議。SDPBeyondCorp支持更細(xì)Google的系統(tǒng)中，應(yīng)用都被15https:///report/The+Forrester+Wave+Zero+Trust+eXt ended+ZTX+Eco-system+Providers+Q4+2018/-/E-RES141666andtion-access-and-zero-trust/

16/beyondcorp/#researchPapers17/istio/分配成若干“可信級(jí)別”。通過用戶和設(shè)備上下文信息，SDP支持更細(xì)顆粒度和獨(dú)立的訪問控制。GoogleBeyondCorp不能在市場(chǎng)中買到，GoogleIstio4BeyondCorp平臺(tái)的一些組件。Google也發(fā)布了一個(gè)稱為身份感知代理(IdentityAwareProxy，IAP)的免費(fèi)組件5Google云平臺(tái)（GoogleCloudPlatform，GCP）中資源的訪問。IAPSDP，BeyondCorpGoogle稱，IAPBeyondCorp的一個(gè)構(gòu)成模塊”。如果你的企業(yè)在考慮構(gòu)建建一個(gè)零信任安全環(huán)境，或者你的團(tuán)隊(duì)喜歡BeyondCorp方法，你可能也不妨SDP，因?yàn)樗峁┝祟愃频暮锰幥矣卸鄠€(gè)可在市場(chǎng)中購(gòu)買到的產(chǎn)品。總之，SDP架構(gòu)能夠保證零信任原則的成功實(shí)現(xiàn)。BeyondCorp實(shí)現(xiàn)為讀者提供了將SDP架構(gòu)結(jié)合到BYOD戰(zhàn)略中的成功參考。軟件定義邊界SDP與您的企業(yè)顧慮，企業(yè)信息安全架構(gòu)很復(fù)雜。IP基礎(chǔ)SDP都能確保安全連接。軟SDP因?yàn)榘韵玛P(guān)鍵概念，所以可以作為企業(yè)安全架構(gòu)的基礎(chǔ)：在允許連接之前授權(quán)用戶并驗(yàn)證設(shè)備雙向加密通信拒絕一切（Deny-all）的防火墻動(dòng)態(tài)規(guī)則和服務(wù)器隱身功能集成應(yīng)用上下文和細(xì)顆粒度的訪問控制在本節(jié)中，我們提出了架構(gòu)師們?cè)谄淦髽I(yè)中規(guī)劃部署SDP時(shí)應(yīng)考慮的一些問題。這些問題將幫助架構(gòu)師們考慮安全性的各個(gè)方面，這些方面包括用戶群、網(wǎng)絡(luò)、服務(wù)器環(huán)境以及安全性和合規(guī)性要求。SDP的部署如何適應(yīng)現(xiàn)有的網(wǎng)絡(luò)技術(shù)？SDP部署模型，同時(shí)必須理解某些模型中網(wǎng)關(guān)可能代表一個(gè)額外的在線網(wǎng)絡(luò)組件。這可能會(huì)影響到他們組織的網(wǎng)絡(luò)，例如需要對(duì)防火墻或路由進(jìn)行一些更改，確保受SDP網(wǎng)關(guān)訪問。SDP如何影響監(jiān)控和日志系統(tǒng)？SDPIHSDPAHmTLS協(xié)議，因此網(wǎng)絡(luò)流量對(duì)于可能用于安全、性能或可靠性監(jiān)控目的的中介服務(wù)不透明。架構(gòu)師們必須了解哪些系統(tǒng)正在運(yùn)行，以及軟件定義邊界對(duì)網(wǎng)絡(luò)流量的相關(guān)更改如何影響這些系統(tǒng)。由于軟件定義邊界通常為用戶訪問提供更豐富的、以身份為中心的日志記錄，因此它們還可以用于補(bǔ)充和增強(qiáng)現(xiàn)有的監(jiān)控系統(tǒng)。此外，所有軟件定義邊界網(wǎng)關(guān)和控制器丟棄的數(shù)據(jù)包都可被記錄到安全信息

和事件平臺(tái)中進(jìn)行進(jìn)一步分析。每個(gè)連接的“誰、何時(shí)、何地”信息變得更容易收集。軟件定義邊界如何影響應(yīng)用程序發(fā)布/DevOps流程和工具集，以及API集成？DevOpsCI/CD(持續(xù)集成/持續(xù)交付)19等快速應(yīng)用程序發(fā)布流程。這些流程及其支持的自動(dòng)化框架與安全系統(tǒng)的集成需要經(jīng)過深思熟慮，SDP也不例外。SDP可以有效地保護(hù)授權(quán)用DevOps時(shí)可與開發(fā)環(huán)境連接。SDP還可以在操作期間保護(hù)連接，即使是合法用戶到受特殊保護(hù)的服務(wù)器和應(yīng)用程序間的連接也得以保護(hù)。安全架構(gòu)師們必須理解他們的SDP部署模型，以及他們組織的DevOps機(jī)制將如何與之集成。因?yàn)锳PI集成通常是DevOps工具集集成的需求，安全團(tuán)隊(duì)?wèi)?yīng)該查看他們的SDP實(shí)現(xiàn)所支持的一組API。SDP如何影響用戶，特別是業(yè)務(wù)用戶？安全團(tuán)隊(duì)經(jīng)常努力使其解決方案對(duì)用戶盡可能透明，SDP支持這種方法。如果實(shí)現(xiàn)了最小權(quán)限原則，用戶將可以完全訪問他們需要的一切，而且不會(huì)注意SDP部署模型，用戶將SDP客戶端軟件。安全架構(gòu)師應(yīng)該與IT部門協(xié)作，對(duì)用戶體驗(yàn)、客戶端軟件分發(fā)和設(shè)備安裝過程進(jìn)行規(guī)劃。企業(yè)信息安全的元素圖9表明了企業(yè)安全架構(gòu)的主要元素。該圖是混合企業(yè)的簡(jiǎn)化視圖，描述了安全基礎(chǔ)設(shè)施原型的主要元素以及這些元素之間的關(guān)系。EnterpriseSecurityArchitectureEnterpriseSecurityArchitecture企業(yè)安全架構(gòu)專用網(wǎng)客戶端虛擬專用網(wǎng)網(wǎng)關(guān)堡壘機(jī)防火墻下一代防火軟件即服云訪問務(wù)和平應(yīng)用墻直接連接準(zhǔn)入控制入侵檢測(cè)系統(tǒng)/防御系統(tǒng)安全信息和事件管理系統(tǒng)控制系統(tǒng)治理，風(fēng)險(xiǎn)管理與合規(guī)公鑰基礎(chǔ)設(shè)施負(fù)載均衡企業(yè)移動(dòng)管理平臺(tái)基礎(chǔ)設(shè)施即服務(wù)安全組非軍事區(qū)圖9：安全基礎(chǔ)設(shè)施原型的主要元素此企業(yè)安全體系結(jié)構(gòu)示例由內(nèi)部部署和基于云的資源（IaaSSaaS/PaaS）組成，其中包含一組標(biāo)準(zhǔn)的安全、IT和合規(guī)性組件。以下幾頁將詳細(xì)地探討這些標(biāo)SDP集成。安全信息和事件管理（SIEM）SIEM14提供對(duì)應(yīng)用程序和網(wǎng)絡(luò)組件生成的日志信息和安全警報(bào)進(jìn)行分析的功能。SIEM系統(tǒng)集中存儲(chǔ)并解析日志，支持近乎實(shí)時(shí)地分析，這使得安全人員能夠快速采取防御措施。SIEM系統(tǒng)還提供了基于法律合規(guī)通常所需的自動(dòng)化集中報(bào)告。安全信息和事件管理

存儲(chǔ)起來，以便進(jìn)一步分析潛在的黑客企圖或評(píng)估消耗。IP地址和端口列表。SDPSIEM系統(tǒng)關(guān)聯(lián)跨多個(gè)設(shè)SDP，以這種方式關(guān)聯(lián)用戶活動(dòng)通常很難實(shí)現(xiàn)，特別是隨著自帶設(shè)備辦公和移動(dòng)設(shè)備（BYOD）的出現(xiàn)時(shí)更為困難。安全信息和事件管理系統(tǒng)A B C軟件定義邊界控制器或網(wǎng)關(guān)

傳統(tǒng)安全和信息系統(tǒng)的日志導(dǎo)入安全信息和事件管理系統(tǒng)軟件定義邊界可以與安全信息和事件管理系統(tǒng)進(jìn)行多維度互動(dòng)將豐富的日志數(shù)據(jù)導(dǎo)入安全信息和事件管理系統(tǒng)向安全信息和事件管理系統(tǒng)發(fā)起請(qǐng)求獲取安全或者用戶內(nèi)容接受來自安全信息和事件管理系統(tǒng)的呼叫，調(diào)整安全或者用戶內(nèi)容

SIEMSDP部署集成有助于實(shí)現(xiàn)將安全操作從被動(dòng)操作轉(zhuǎn)移到主動(dòng)操作的目標(biāo)。為了控制風(fēng)SIEMSDP日志信息的接收器之外，還應(yīng)被視為重要的信息源。SIEM系統(tǒng)可以通過斷開用戶連接、禁止來自未驗(yàn)證設(shè)備或某些主機(jī)的連接以及刪除可疑連接幫助控制風(fēng)險(xiǎn)。例如，如果SIEM系統(tǒng)指示高于正常風(fēng)險(xiǎn)級(jí)別，指示未經(jīng)授權(quán)的SDP將斷開用戶的所有連接，直到可以執(zhí)行進(jìn)一步的分析。SDP通過在幾秒鐘內(nèi)尋址和控制圖表10：安全信息和事件管理SIEM和軟件定義邊界SDP安全信息和事件管理系統(tǒng)無論是部署在內(nèi)網(wǎng)還是IT和安全管理系統(tǒng)中一個(gè)成熟SDP解決方案通常提供內(nèi)SDP日志被定向到從多個(gè)來源SIEM系統(tǒng)時(shí)，它們的價(jià)值會(huì)被放大。企SDP組件接收反饋，也可能以分層方式部署多個(gè)收集代理。SIEM系統(tǒng)通過將預(yù)定義和定制的事件轉(zhuǎn)發(fā)到集中管理控制臺(tái)或通過以電子郵件向指定的個(gè)人發(fā)送警報(bào)的形式執(zhí)行檢查并標(biāo)記異常SDP以審查身份和設(shè)備的方式控制訪問，所以為SIEM系統(tǒng)提供比典型的網(wǎng)絡(luò)和應(yīng)用程序監(jiān)視工具更為豐富的信息。SDP實(shí)時(shí)提供有關(guān)每個(gè)連接的“誰、SIEM系統(tǒng)的價(jià)值。SIEM系統(tǒng)當(dāng)前用于日志記錄的方式進(jìn)行比較：安全分析人員必須將多個(gè)日志中的信息拼湊在一起識(shí)別未經(jīng)授權(quán)的用戶（“誰”），在識(shí)別從“什么”到“哪里”的未授權(quán)連接時(shí)非常具挑戰(zhàn)性。但是，SDP客戶端安裝在用戶的設(shè)備上，就可以從設(shè)備SDP網(wǎng)關(guān)丟棄的數(shù)據(jù)包都可以

連接補(bǔ)充了SIEM系統(tǒng)的功能。與所有生成日志信息的系統(tǒng)一樣，SDP日志產(chǎn)生了企業(yè)潛在的數(shù)據(jù)隱私問題。由于網(wǎng)絡(luò)連接（及其元數(shù)據(jù)）可能與日志中的特定用戶關(guān)聯(lián)，因此組織需要SDP期間采取預(yù)防措施解決此問題。SDPSIEM系統(tǒng)預(yù)防、檢測(cè)和響應(yīng)不同類型攻擊的能力。下一頁顯示了可以減輕攻擊類型的一些示例。（SDPSIEM集成可以預(yù)防的攻擊的更詳細(xì)列表將在未來的CSA出版物中給出。）安全攻擊類型 緩解措施 如何將SDP和SIEM集成端掃描/網(wǎng)偵察 封并通知 SDP阻所有經(jīng)授的網(wǎng)活動(dòng)并可記錄有連請(qǐng)求以供SIEM系統(tǒng)使用。由于SDP受單包授權(quán)（SPA）保護(hù)，拒絕服務(wù)DDoS攻擊在拒服務(wù)DDoS攻擊 知惡使用權(quán)資源 位

很大程度上無效。單包授權(quán)會(huì)丟棄壞數(shù)據(jù)包，這些數(shù)據(jù)包可以被記錄到SIEM系統(tǒng)SDPSIEM戶活動(dòng)是否存在異常行為，然后SDP使被盜證 封并通知 SDP在接之需要行多素驗(yàn)，使被盜碼不以讓攻擊者獲得訪問權(quán)限。傳統(tǒng)防火墻傳統(tǒng)防火墻基于七層開放系統(tǒng)互連（OSI）模型，按照一組規(guī)則監(jiān)控網(wǎng)絡(luò)流量，OSI2、3、4層分別為：數(shù)據(jù)鏈路層（2）、網(wǎng)絡(luò)層（3）、傳輸層5-14方法，該方法基于源和目IP和端口過濾網(wǎng)絡(luò)包數(shù)據(jù)，并定義流經(jīng)連接的網(wǎng)絡(luò)協(xié)議。防火墻還可以支持其他功能，例如網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和端口地址轉(zhuǎn)換（PAT）。幾十年來，防火墻一直是企業(yè)網(wǎng)絡(luò)安全的支柱。但是，因?yàn)樗鼈冎皇前踩A(chǔ)設(shè)施的一部分，并且只5元組的有限世界中運(yùn)行，確實(shí)存在諸多限制。通常，傳統(tǒng)防火墻只能表示靜態(tài)規(guī)則集，不能基于身份信息來表示或執(zhí)行規(guī)則。軟件定義邊界SDP使用防火墻或?qū)崿F(xiàn)類似的網(wǎng)絡(luò)流量強(qiáng)制功能，顯著改善企業(yè)當(dāng)前使用防火墻的方式。SDP可以實(shí)現(xiàn)許多企業(yè)組織試圖通過防火墻控制的網(wǎng)絡(luò)訪問控制。企業(yè)可以通過SDP大大減少防火墻規(guī)則

集。SDP5元組的約束，對(duì)以身份為中心的訪問控制進(jìn)行建模，允許對(duì)訪問控制進(jìn)行更準(zhǔn)確的表示和執(zhí)行。除了減少在復(fù)雜環(huán)境中編寫、測(cè)試、調(diào)試和部署防火墻規(guī)則所需的工作量，SDP還支持更豐富和更精確的訪問控制機(jī)制。圖11描述了在傳統(tǒng)辦公局域網(wǎng)環(huán)境下，通過單獨(dú)的防火墻控制從用戶子網(wǎng)（/18）到當(dāng)?shù)氐臄?shù)據(jù)中心子網(wǎng)的連接，試圖安全訪問的困難性。IP地址標(biāo)識(shí)，防火墻并不能區(qū)別他們。此外，很多用戶定期地連接IP地址會(huì)頻繁變化。一個(gè)典型的數(shù)據(jù)中心承載著包括測(cè)試和生產(chǎn)系統(tǒng)在內(nèi)的大量負(fù)載。雖然一些應(yīng)用是長(zhǎng)期存活的并使用IP地址，但是另外的應(yīng)用則部署在虛擬機(jī)之上，IP地址不可預(yù)測(cè)。雖然沒有一個(gè)用戶需要訪問數(shù)據(jù)中心中所有的服務(wù)器，甚至是這些服務(wù)器之上的所有端口，但實(shí)際上在這個(gè)環(huán)境中，防火墻有一個(gè)規(guī)則集會(huì)強(qiáng)制放行在辦IP地址都可以訪問在數(shù)據(jù)中心網(wǎng)IP12

SDP模型。為了SDP模型部署也是類似的。在這個(gè)例子中，網(wǎng)絡(luò)防火墻已經(jīng)被扮演相似功能SDP15SDP基于明確的用戶身份和SDP網(wǎng)關(guān)可以實(shí)現(xiàn)對(duì)數(shù)據(jù)中心訪問的細(xì)顆粒度控制。這個(gè)開放的、扁平化的網(wǎng)絡(luò)表示一個(gè)巨大的攻擊面已經(jīng)變得最小化了。注意，通過在數(shù)據(jù)中心服務(wù)器附近或者在其上增加更多的SDP網(wǎng)關(guān)可以實(shí)現(xiàn)對(duì)特定服務(wù)的更加細(xì)顆粒度的訪問。（請(qǐng)查看第15頁客戶端到服務(wù)器的介紹）在實(shí)際的部署中，防火墻仍在相應(yīng)的位置之上，但是只設(shè)定最小權(quán)限規(guī)則集，例如：只能允許辦公局SDPSDP網(wǎng)關(guān)強(qiáng)制用戶使用特定的設(shè)備連接特定的服務(wù)。入侵檢測(cè)和入侵防御系統(tǒng)（IDS/IPS）入侵檢測(cè)和入侵防御系統(tǒng)（IDS/IPS）在這里被看成是同義詞，是用作檢測(cè)網(wǎng)絡(luò)或系統(tǒng)惡意行為及策略違規(guī)的安全組件。它們是基于網(wǎng)絡(luò)的（檢查流量）或者基于主機(jī)的（檢查活動(dòng)和潛在的網(wǎng)絡(luò)流量）。盡管需要IDS的網(wǎng)絡(luò)，SDPIDS/IPS系統(tǒng)的部署。在單網(wǎng)絡(luò)遠(yuǎn)程辦公室等小型運(yùn)營(yíng)環(huán)境中，部署SDPIDS/IPS，從而降低成本。另外，因?yàn)镾DP采用mTLS技術(shù)加密客戶端和網(wǎng)關(guān)間的通信，所以對(duì)于IDS系統(tǒng)而言，網(wǎng)絡(luò)流量變得不透明了。IDS可以采用引入證書的方式代理TLS數(shù)據(jù)流，但這會(huì)帶來增加攻擊面的副作用17。通常，因?yàn)镾DP是基于mTLS（通常基于臨時(shí)證書）通信的并且它可以反彈IDS扮演的中間人攻擊（MITM），所以一般不會(huì)增加攻擊面。因?yàn)檫@些邏輯連接通過SDP證書進(jìn)行加密處理，這些連接的mTLS分段（圖中藍(lán)色標(biāo)識(shí)）對(duì)于任意的外部系統(tǒng)是不透明的。同時(shí)，在設(shè)計(jì)上，嘗試做流量分析的系統(tǒng)也不能訪問這些連接。這個(gè)變化對(duì)于中間安全和網(wǎng)絡(luò)監(jiān)控系統(tǒng)有一定影響，特定使用場(chǎng)景不再適用，這個(gè)情況和從TLS1.2升級(jí)到1.3類似。18（對(duì)于每種SDP部署模型的圖形化展示請(qǐng)參考第21頁“SDP連接安全”一節(jié)）此外，SDP支持把未加密的網(wǎng)絡(luò)數(shù)據(jù)流（例如：被丟棄的數(shù)據(jù)包）推送到遠(yuǎn)端IDS設(shè)備。另外，基于本地部署的IDS要比基于網(wǎng)絡(luò)部署的IDS/IPS更能增強(qiáng)安全操作。當(dāng)然，SDP并非是影響基于網(wǎng)絡(luò)的IDS的唯一趨勢(shì)。應(yīng)用向云端遷移也提升了基于云部署的IDS的有效性和使用。SDPIDS系統(tǒng)帶來一定的變更，但通過阻止未認(rèn)證的網(wǎng)絡(luò)流量的方式有助IDS及其操作團(tuán)隊(duì)更關(guān)注已授權(quán)應(yīng)用的網(wǎng)絡(luò)流量，同時(shí)把資源有效傾斜到內(nèi)部威脅檢測(cè)方面。SDP同樣也可以簡(jiǎn)化和增強(qiáng)“蜜罐”系統(tǒng)的創(chuàng)建和有效性。因?yàn)樗械谋槐Ｗo(hù)系統(tǒng)針對(duì)攻擊者而言都SDP就增加了惡意攻擊者發(fā)現(xiàn)和攻擊

蜜罐的可能性。一個(gè)基于SDP的“蜜罐”系統(tǒng)可以更快定位網(wǎng)絡(luò)上的惡意軟件行為。虛擬專用網(wǎng)（VPNs）VPN用于跨越非可信的公用網(wǎng)絡(luò)構(gòu)建一個(gè)安全的訪問連接。VPN通過被用作遠(yuǎn)程訪問（例如：外出的員工訪問公司站點(diǎn)），安全的內(nèi)部通訊，甚至是在不同公司之間通信（點(diǎn)到點(diǎn)的外部網(wǎng)）。VPN通常使用TLS或者IPSec方式。19VPN封裝和加密網(wǎng)絡(luò)流量，但使VPNSDP可以更好的解決這VPN的授權(quán)成本可能很低，但是其運(yùn)維需要投入大量的人力。VPN通常提供廣泛的、過于寬松的網(wǎng)絡(luò)訪問能力。VPN的典型使用方式是只提供基于子網(wǎng)范圍等方式的基本訪問控制能力。在很多組織機(jī)構(gòu)這些限制代表了安全和合規(guī)性方面的風(fēng)險(xiǎn)。在分布式的網(wǎng)絡(luò)環(huán)境中，VPN可能會(huì)將用戶的大量不必要的流量都導(dǎo)到企業(yè)的數(shù)據(jù)中心，加重企業(yè)的帶寬成本以及網(wǎng)絡(luò)延遲。VPN服務(wù)器作為一個(gè)服務(wù)是暴露在公共互聯(lián)網(wǎng)上，其可見性將導(dǎo)致容易被攻擊者攻入。此外，VPN給用戶帶來了相當(dāng)大的負(fù)擔(dān)和較差的VPN訪問，哪些不需要，同時(shí)，他們也被要求手動(dòng)連接或VPN。對(duì)于那些有多個(gè)遠(yuǎn)程地點(diǎn)需要登錄的用戶來說，VPN無法支持同時(shí)連接，而是要求在不同環(huán)境之間進(jìn)行切換。只要涉及云業(yè)務(wù)遷移，VPN的管理IT管理員需要在不同的VPN和防火墻訪問策略。這種操作的復(fù)雜度使得消除過期的訪問權(quán)限更為困難。替代VPN是SDP最基本的目標(biāo)。和VPN類似，SDP同樣要在客戶端設(shè)備上部署一個(gè)客戶端。通過使用SDP代替VPN，組織機(jī)構(gòu)可以對(duì)遠(yuǎn)程用戶、內(nèi)部用戶、移動(dòng)設(shè)備用戶等提供同一套訪問控制平臺(tái)。也正是因?yàn)镾DP，尤其是那些部署在互聯(lián)網(wǎng)上的SDP設(shè)備，通過SPA（單包認(rèn)證）技術(shù)和動(dòng)態(tài)防火墻技術(shù)，可以比傳統(tǒng)的VPN服務(wù)器抵御更多的攻擊。下一代防火墻（NGFW）一般而言，NGFW20具備傳統(tǒng)防火墻的能力，同時(shí)添加了額外的屬性使得他們成為了“下一代”。NGFW基于預(yù)定義的規(guī)則策略監(jiān)視訪問并檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)包，OSI24層的數(shù)據(jù)信息過濾數(shù)據(jù)包。NGFW57層（會(huì)話層、表示層、應(yīng)用層）增加額外的功能。NGFW提供如下的能力，不同的供應(yīng)商會(huì)有所差異：應(yīng)用識(shí)別：根據(jù)應(yīng)用決定進(jìn)行何種攻擊掃描入侵檢測(cè)（IDS）：監(jiān)視網(wǎng)絡(luò)的安全狀態(tài)入侵防護(hù)（IPS）：為了阻止安全漏洞而拒絕通信身份識(shí)別（用戶和組控制）：以訪問的資源虛擬專用網(wǎng)（VPN）：NGFW可以提供在不信任網(wǎng)絡(luò)上的遠(yuǎn)程用戶的訪問能力雖然NGFW相比傳統(tǒng)防火墻有很大提升，但與SDP相比仍然存在一些限制：IDS/IPS一樣，會(huì)對(duì)網(wǎng)絡(luò)流量造成額外時(shí)延，在執(zhí)行文件審查時(shí)尤其如此?？蓴U(kuò)展性：需要很多硬件資源進(jìn)行彈性擴(kuò)展NGFW廠家提供了用戶和分組屬性等相關(guān)的身份識(shí)別能力，但是這些能力的配置很復(fù)雜。SDPNGFW的天然補(bǔ)充。企業(yè)可以SDPNGFW進(jìn)行IDS/IPS進(jìn)行流量監(jiān)測(cè)。SDPNGFW進(jìn)行集成后帶來的好處包括：強(qiáng)制實(shí)現(xiàn)不可見，并使得NGFW更加動(dòng)態(tài)（后續(xù)章節(jié)會(huì)有詳細(xì)描

述）NGFWIAMAD集成同樣可以強(qiáng)化SDP可以提供可控的、真正安全的連接。在某些情況下，NGFWSDP存在競(jìng)爭(zhēng)和重疊。在過去一段時(shí)間里，NGFW廠商已經(jīng)成功地、SDP范圍內(nèi)的一些問題。通過組合使NGFWVPN并配以用戶和應(yīng)用識(shí)別，企業(yè)可以SDP的許多目標(biāo)。但是，在架構(gòu)設(shè)SDP的實(shí)現(xiàn)不同。NGFW是IPSDP是基于連接的。NGFW可以提供有限的身份認(rèn)證和以應(yīng)用為中心的功能。NGFW的訪問模型是典型的粗顆粒度方式，提供給用戶比他SDP，NGFW提供了較少的針對(duì)外部系統(tǒng)的訪問決策動(dòng)態(tài)管理能力。比如說：SDP系統(tǒng)可以只允許開發(fā)人員在經(jīng)過批準(zhǔn)的變更管理窗口期訪問開發(fā)用服務(wù)器。SDP有能力強(qiáng)化NGFW不支持這一點(diǎn)。NGFW仍然還是防火墻，所以還是工作在傳統(tǒng)的以邊界為中心的體系架構(gòu)下站點(diǎn)到站點(diǎn)連接的場(chǎng)景中。SDP部署通常支持更加分散和靈活的網(wǎng)絡(luò)，從而具備靈活地網(wǎng)絡(luò)分段能力。SDPNeed-to-know“需知”（白名單）的安全方式設(shè)計(jì)的，這樣就可以屏蔽未授權(quán)的用戶和未授權(quán)的設(shè)備的未授權(quán)訪問服務(wù)。SDP使用SPA和動(dòng)態(tài)防火墻技術(shù)保護(hù)和隱藏認(rèn)證的連接。NGFW則在一個(gè)高度暴露的環(huán)境中進(jìn)行相關(guān)操作。身份及訪問管理(IAM)IAM系統(tǒng)為用戶和設(shè)備提供了驗(yàn)證其身份(通過身份驗(yàn)證)的機(jī)制，并存儲(chǔ)關(guān)于這些身份的管理屬性和組成員關(guān)系。SDP體系結(jié)構(gòu)旨在與現(xiàn)有的企業(yè)IAM提供者集成，例如LDAP、活動(dòng)目錄（ActiveDirectory）和安全斷言標(biāo)記語言（SAML）等。SDPIAM屬性和組成員關(guān)系以及用于連接的設(shè)備的屬性等因素。用戶和設(shè)備授權(quán)的組合有助于建立更細(xì)顆粒度的訪問規(guī)則，進(jìn)行授權(quán)或予以限制，確保只有授權(quán)設(shè)備上的授權(quán)用戶才能對(duì)授權(quán)應(yīng)用程序進(jìn)行訪問。SDP與IAM的集成不僅用于初始用戶身份驗(yàn)證，還用于加強(qiáng)身份驗(yàn)證，例如提示使用動(dòng)態(tài)口令（OTP）訪問敏感系統(tǒng)，或者在某些情況下(例如遠(yuǎn)程訪問與本地訪問)加強(qiáng)驗(yàn)證。IAM系統(tǒng)還可以通過應(yīng)用程序編程接口（API）SDP進(jìn)行通信，響應(yīng)身份的生命周期行為，例如禁用帳戶、更改組成員、刪除用戶連接或更改用戶角色。SDPIAMSDP提供用于做出授權(quán)決策的信息，并對(duì)用戶從注冊(cè)設(shè)備發(fā)出的所有授權(quán)訪問提供豐富的審計(jì)日志。將應(yīng)用程序訪問(不是網(wǎng)絡(luò)訪問)與用戶(IP地址)綁定在一起，可以為日志記錄提供有用的連接信息，并在出于安全或合規(guī)性原因需要審計(jì)歷史訪問記錄時(shí)顯著降低IT開銷。IAM工具通常關(guān)注維護(hù)身份生命周期的業(yè)務(wù)流程，并對(duì)如何使用身份信息控制對(duì)資源的訪問進(jìn)行標(biāo)準(zhǔn)化。例如，授予用戶訪問的機(jī)制通常是手動(dòng)和自動(dòng)流程的IAM工具管理的身份屬SDP支持這些流程。當(dāng)用戶屬性或組成員關(guān)系發(fā)生更改時(shí)，SDP會(huì)自動(dòng)檢測(cè)這些更IAM流程的情況下更改用戶訪問權(quán)限。SDP與SAML可以集成21。在SDP的部署中，IAM提供者可以充當(dāng)用戶屬性的身份提供者和/或身份驗(yàn)證提供者(例如多因子認(rèn)證)。除了SAML之外，還有許多開放身份驗(yàn)證協(xié)議，如OAuth22、OpenIDConnect23、W3CWeb身份驗(yàn)證(WebAuthn)24、和FIDOAllianceClientto-Authenticator協(xié)議(CTAP)。25(這些協(xié)議將在未來與SDP相關(guān)的研究中進(jìn)行探索 )網(wǎng)絡(luò)準(zhǔn)入控制(NAC)解決方案NAC解決方案通常控制哪些設(shè)備可以連接到網(wǎng)絡(luò)，以及哪些網(wǎng)絡(luò)主體可被訪問。這些解決方案通常使用基于標(biāo)準(zhǔn)的硬件(802.1X)和軟件來驗(yàn)證設(shè)備，然后授予設(shè)備訪問網(wǎng)絡(luò)的權(quán)限，這些操作運(yùn)行在OSI模型的第2層。

當(dāng)設(shè)備首次出現(xiàn)在網(wǎng)絡(luò)上時(shí)，NAC執(zhí)行設(shè)備驗(yàn)證，然后將設(shè)備分配給網(wǎng)絡(luò)段(VLAN)。在實(shí)際中，NAC將設(shè)備粗略地分配給少量網(wǎng)絡(luò)。大多數(shù)組織只有幾個(gè)網(wǎng)NAC2層，它們通常需要特定的網(wǎng)絡(luò)設(shè)備，不能運(yùn)行在云環(huán)境中，也不能遠(yuǎn)程使用。SDPNAC的現(xiàn)代NAC是有意義的——例如，像打印機(jī)、復(fù)印機(jī)、固定電話和安全802.1XSDPSDP網(wǎng)關(guān)到網(wǎng)關(guān)模型來保護(hù)這些設(shè)備并控制用戶對(duì)它們?cè)L問是一個(gè)更SDP研究的一個(gè)主題。終端管理(EMM/MDM/UEM)許多企業(yè)使用終端管理系統(tǒng)，通常分為企業(yè)移動(dòng)化管理(EMM)、移動(dòng)設(shè)備管理(MDM)或統(tǒng)一端點(diǎn)管理(UEM)。這些是企業(yè)IT和安全的重要元素，它們的價(jià)值和重要性通過SDP部署得到增強(qiáng)。終端管理系統(tǒng)可用于跨用戶設(shè)備自動(dòng)化分發(fā)和SDPSDP相同的身份及訪問管理系統(tǒng)，因此可以緊密協(xié)調(diào)部署以簡(jiǎn)化用戶體驗(yàn)。這些系統(tǒng)通常還提供了功能豐富的設(shè)備自檢和配置評(píng)估功能。SDP可以對(duì)設(shè)備管理平臺(tái)進(jìn)行API調(diào)用，獲取特定設(shè)備的信息，然后根據(jù)這些信息做出動(dòng)態(tài)訪問決策?；蛘?，沒有部署終端管理系統(tǒng)的企業(yè)組織可以直SDP來管理和控制設(shè)備。Web應(yīng)用防火墻(WAF)Web應(yīng)用程序防火墻(WAFs)用于過濾、監(jiān)視和阻止Web應(yīng)用程序進(jìn)出的HTTP(S)Web流量。Web應(yīng)用程序防火墻檢查應(yīng)用程序協(xié)議的流量，阻止源于應(yīng)用程序安全漏洞的攻擊，如SQL注入、跨站點(diǎn)腳本(XSS)和文件包含27。Web應(yīng)用程序防火墻盡管通常在用戶和應(yīng)用程序之間以類似于入侵檢測(cè)（IDS）/入侵防御（IPS）的方式聯(lián)機(jī)運(yùn)行，但卻不是網(wǎng)絡(luò)訪問控制或網(wǎng)絡(luò)安全解決方案。Web應(yīng)用程序防火墻主要檢查HTTP(S)協(xié)議流量，檢測(cè)并阻止惡意內(nèi)容。Web應(yīng)用程序防火墻是SDP的補(bǔ)充。例如，在客戶端到網(wǎng)關(guān)模型中，Web應(yīng)用程序防火墻部SDPSDPmTLS隧道中提取本W(wǎng)eb應(yīng)用程序流量之后，對(duì)流量進(jìn)行操作。在客戶機(jī)到服務(wù)器和服務(wù)器到服務(wù)器模型中，Web應(yīng)用程SDP網(wǎng)關(guān)集成，以便對(duì)檢查的HTTP流量進(jìn)行進(jìn)一步分布式控制。負(fù)載均衡負(fù)載均衡是許多網(wǎng)絡(luò)和應(yīng)用程序架構(gòu)的一部分。負(fù)載DNS和基于網(wǎng)絡(luò)的解決方案，架構(gòu)師SDP部署時(shí)了解企業(yè)組織如何使用它們。例如，基于網(wǎng)絡(luò)的負(fù)載均衡通常聯(lián)機(jī)部署在網(wǎng)絡(luò)WAF一樣位于客戶機(jī)和服務(wù)SDPmTLS連接。SDP部署和負(fù)載均衡方法的細(xì)節(jié)需要仔細(xì)分析，確保SDP。云訪問安全代理(CASB)CASB位于云服務(wù)用戶和云應(yīng)用程序之間，監(jiān)視與安全策略的執(zhí)行相關(guān)的所有活動(dòng)。它們提供各種各樣的服