目錄

• • SDP簡介
  • SDP架構(gòu)
  • SDP部署模型
  • SPA連接

實現(xiàn)零信任的框架主要有SDP和Google Beyondcorp模型，前者出現(xiàn)在乙方的安全解決方案中，后者多作為甲方落地零信任的參考。

SDP簡介

SDP是Software Defined Perimeter的縮寫，全稱是軟件定義邊界。
軟件定義邊界（SDP）是由云安全聯(lián)盟（CSA）開發(fā)的一種安全框架，它根據(jù)身份控制對資源的訪問。該框架基于美國國防部的“need to know”模型——每個終端在連接服務(wù)器前必須進行驗證，確保每臺設(shè)備都是被允許接入的。其核心思想是通過SDP架構(gòu)隱藏核心網(wǎng)絡(luò)資產(chǎn)與設(shè)施，使之不直接暴露在互聯(lián)網(wǎng)下，使得網(wǎng)絡(luò)資產(chǎn)與設(shè)施免受外來安全威脅。

SDP旨在利用基于標準且已驗證的組件，如數(shù)據(jù)加密、遠程認證（主機對遠程訪問進行身份驗證）、傳輸層安全（TLS，一種加密驗證客戶端信息的方法）、安全斷言標記語言（SAML），它依賴于加密和數(shù)字簽名來保護特定的訪問及通過X.509證書公鑰驗證訪問。將這些技術(shù)和其他基于標準的技術(shù)結(jié)合起來，確保SDP與企業(yè)現(xiàn)有安全系統(tǒng)可以集成。

SDP主要功能：

1.對設(shè)備進行身份認證和驗證
2.對用戶進行身份驗證和授權(quán)
3.確保雙向加密通信
4.動態(tài)提供連接
5.控制用戶與服務(wù)之間連接，同時隱藏這些連接

SDP架構(gòu)

SDP架構(gòu)主要包括三大組件：SDP控制器（SDP Controler）、SDP連接發(fā)起主機（IH，Initial host）、SDP連接接受主機（AH，Accept host），SDP主機可以發(fā)起連接也可以接受連接，IH和AH會直接連接到SDP控制器，通過控制器與安全控制信道的交互來管理。該結(jié)構(gòu)使得控制層能夠與數(shù)據(jù)層保持分離，以便實現(xiàn)完全可擴展的安全系統(tǒng)。此外，所有組件都可以是冗余的，用于擴容或提高穩(wěn)定運行時間。

SDP遵循如下工作流程：

1.在 SDP 中添加并激活一個或多個【SDP 控制 器】并連接到身份驗證和授權(quán)服務(wù)，例如 AM、 PKI 服務(wù)、設(shè)備驗證、地理位置、SAML、 OpenID、OAuth、LDAP、Kerberos、多因子身 份驗證、身份聯(lián)盟和其他類似的服務(wù)。

2.在 SDP 中添加并激活一個或多個 AH。它們以 安全的方式連接控制器并進行驗證。 AH 不響 應(yīng)來自任何其他主機的通信，也不會響應(yīng)任 何未許可的請求。

3.每個 IH 會在 SDP 中添加和激活，并與【SDP 控制器】連接并進行身份驗證。

4.IH 被驗證之后，【SDP 控制器】確定 IH 被授 權(quán)可以連接的 AH 列表。

5.【SDP 控制器】指示 AH 接受來自 IH 的通信， 并啟動加密通信所需的任何可選策略。

6.【SDP 控制器】為 IH 提供 AH 列表，以及加 密通信所需的任何可選策略。

7.IH 向每個授權(quán)的 AH 發(fā)起 SPA（SPA，單包授權(quán)，使未授權(quán)的用戶和設(shè)備無法感知或訪問）。然后 IH 和這 些 AH 創(chuàng)建雙向加密連接(例如，雙向驗證 TLS 或 mTLS)。

8.IH 通過 AH 并使用雙向加密的數(shù)據(jù)信道與目標 系統(tǒng)通信。

SDP部署模型

CSA（云安全聯(lián)盟）的SDP標準規(guī)范1.0中定義了以下幾種在組織中可能的SDP架構(gòu)：

• 客戶端-網(wǎng)關(guān)
• 服務(wù)器-服務(wù)器
• 客戶端-網(wǎng)關(guān)-客戶端
• 客戶端-服務(wù)器
• 客戶端-服務(wù)器-客戶端
• 網(wǎng)關(guān)-網(wǎng)關(guān)

SPA連接

SDP 技術(shù)最關(guān)鍵的組成部分之一是要求并強制實施 “先認證后連接”模型，該模型彌補了 TCP/IP 開放 且不安全性質(zhì)的不足。SDP 通過單包授權(quán)(SPA)實 現(xiàn)這一點。SPA 是一種輕量級安全協(xié)議，在允許訪問 控制器或網(wǎng)關(guān)等相關(guān)系統(tǒng)組件所在的網(wǎng)絡(luò)之前先檢查 設(shè)備或用戶身份。

SPA 的目的是允 許服務(wù)被防火墻隱藏起來并被默認丟棄。該防火墻系 統(tǒng)應(yīng)該丟棄所有 TCP 和 UDP 數(shù)據(jù)包，不回復(fù)那些連 接嘗試，從而不為潛在的攻擊者提供任何關(guān)于該端口 是否正被監(jiān)聽的信息。在認證和授權(quán)后，用戶被允許 訪問該服務(wù)。SPA 對于 SDP 不可或缺，用于在客戶端 和控制器、網(wǎng)關(guān)和控制器、客戶端和網(wǎng)關(guān)等之間的連 接中通信。

SPA 在 SDP 中起很大作用。SDP 的目標之一是克服 TCP/IP 開放和不安全的基本特性。TCP/IP 的這個特性 允許“先連接后認證”。鑒于今天的網(wǎng)絡(luò)安全威脅形 勢，允許惡意行為人員掃描并連接到我們的企業(yè)系統(tǒng) 是不可被接受的。與 SDP 組合的 SPA 通過兩種方式應(yīng) 對這個弱點。使用 SDP 架構(gòu)的應(yīng)用被隱藏在 SDP 網(wǎng)關(guān) /AH 后面，從而只有被授權(quán)的用戶才能訪問。另外， SDP 組件自身，如控制器和網(wǎng)關(guān)也被 SPA 保護。這允 許它們被安全地面向互聯(lián)網(wǎng)部署，確保合法用戶可以 高效可靠地訪問，而未授權(quán)用戶則看不到這些服務(wù)。 SPA 提供的關(guān)鍵好處是服務(wù)隱藏。防火墻的 Default- drop(默認丟棄)規(guī)則緩解了端口掃描和相關(guān)偵查技術(shù)帶來的威脅。這種防火墻使得 SPA 組件對未授權(quán)用戶不可見，顯著減小了整個 SDP 的攻擊面。 相比與 VPN 的開放端口以及在很多實現(xiàn)中都存在的 已知弱點，SPA 更安全。

SPA的實現(xiàn)可能有輕微的差別，但是都滿足以下原則：
1.數(shù)據(jù)包必須被加密和認證
2.數(shù)據(jù)包必須自行包含所有必要的信息；單獨的數(shù)據(jù)包頭不被信任
3.生成和發(fā)送數(shù)據(jù)包必須不依賴與管理員或底層訪問權(quán)限；不允許篡改原始數(shù)據(jù)包
4.服務(wù)器必須盡可能無聲地接收和處理數(shù)據(jù)包；不發(fā)送回應(yīng)或確認

總結(jié)

以上是生活随笔為你收集整理的SDP架构初探的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。