云山雾隐 端隐SDP

什么是软件定义边界
(Software Defined Perimeter)?

什么是SDP 云山雾隐

定义

软件定义边界(Software Defined Perimeter)也叫黑云(Black Cloud),企业能够在需要时通过软件的形式部署安全边界,利用基于身份的访问控制以及完备的权限认证机制,在企业员工访问受保护服务器的DNS或IP之前,要求其进行身份验证并获得授权,然后在员工设备与企业内的服务器之间实时创建加密连接,为企业应用和服务提供隐身保护,有效保护企业的数据安全。

SDP架构及工作流程

SDP主要由安全控制中心、安全网关及SDP访问端三大组件构成。

  • SDP访问端发起通信的工作流(以端隐SDP为例)
  • 端隐安全控制中心上线,配置好认证及授权服务;
  • 端隐安全网关上线,连接至安全控制中心进行身份验证;
  • 端隐SDP访问端上线,连接至安全控制中心进行身份验证;
  • 安全控制中心确定可授权给SDP访问端与之通信的安全网关列表;
  • 安全控制中心通知安全网关接受SDP访问端的通信及加密通信所需的安全策略;
  • 端安全控制中心向SDP访问端发送可接受连接的安全网关列表及可选安全策略;
  • SDP访问端向可接受连接的安全网关发起单包授权,并创建与这些安全网关的双向加密连接。

SDP的特点

  • 网络隐身:没有对外暴露的DNS、IP地址或端口,必须通过授权的SDP客户端使用专有的协议才能进行连接,攻击者无法获取攻击目标,消除了恶意软件和恶意用户的端口和漏洞扫描;
  • 预验证:通过单包授权(SPA)协议来认证和授权用户以及验证设备;
  • 预授权:最小权限原则授予不同身份相应的访问权限;
  • 应用级访问准入:用户无法进行网络级访问;
  • 扩展性:可与第三方安全系统集成,兼容各种安全设备。

SDP的优势

  • SDP可部署在TCP/IP以及TLS之前,可有效避免TLS漏洞及针对TCP/IP的攻击;
  • 隐藏核心网络资产与设施,使之不直接暴露在互联网下,有时被称为“黑云”,SDP最小化攻击面降低安全风险;
  • SDP通过分离访问控制和数据信道,保护关键资产和基础架构,从而阻止潜在的基于网络的攻击;
  • SDP提供了整个集成的安全体系结构,这一体系结构是现有的安全设备难以实现的,包括:客户端和服务器保护、身份和访问控制、操作系统与应用程序级安全、TLS流量加密;
  • 单包授权技术:SDP安全控制中心和网关拒绝无效的数据包,所以它们可以防止与未经授权的用户或设备建立TCP连接。由于非法的客户端可以通过分析单个数据包来区分,所以SDP安全控制中心和网关所产生的计算负载是最小的。这极大降低了DDoS攻击的有效性,并可以在面向公众的网络中更安全、更可靠地部署SDP服务;
  • SDP可以与IAM有效互补,利用身份精确网络分段,提升安全性能;
  • SDP的自动化策略执行能有效降低运维成本,从而节省企业运营成本;
  • SDP在国外已经得到了广泛的应用,可帮助提升企业竞争力。

SDP可有效防止10大安全风险

数据泄露 数据丢失 账号劫持 共享技术问题 不安全的界面和API接口 系统和应用程序漏洞 DDoS攻击 弱身份、密码、访问管理 内部恶意人员威胁 高级持续威胁攻击 网络钓鱼攻击