软件定义边界(SDP)简介

最新推荐文章于 2025-03-01 16:19:34 发布
最新推荐文章于 2025-03-01 16:19:34 发布
阅读量1.2w 收藏 43
点赞数 4
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_41700102/article/details/104314375
版权

软件定义边界(SDP),也被称为“黑云(Black Cloud)”,是一种新的计算机安全方法,它是由2007年左右DISA在全球信息网格(GIG)网络倡议下所做的工作内容演变而来,后来被云安全联盟(Cloud security Alliance)采纳并用于联盟成员。

SDP要求在获得对受保护服务器的网络访问之前,先对端点进行身份验证和授权。然后,在请求系统和应用程序基础设施之间实时创建加密连接。SDP将用户的数据和基础设施等关键IT资产隐藏在用户自己的黑云里,无论这些资产位于公有云或者私有云,位于DMZ区或者数据中心,使得这些关键IT资产对外是不可见的。

SDP对外提供零可见性和零连接,只有在端点证明他们可以被信任之后才可以建立连接,允许合法流量通过,这种方法基本上可以预防所有基于网络的攻击。

软件定义边界(SDP)基于策略创建安全边界,用于将服务与不安全的网络隔离开。它的设计目的是提供按需、动态的气隙网络(安全隔离网络),在授权之前首先对用户和设备进行身份验证,以便于安全连接到被隔离的服务。未经授权的用户和设备无法连接到受保护的资源。SDP广泛使用加密,包括用于组件间通信的mutual TLS,以及SPA授权数据包内的HMAC,SDP被设计用来抵御基于网络的攻击。

SDP包括三个主要部分:

  • SDP客户端(例如,笔记本电脑)
  • SDP控制器,用于认证和授权SDP客户端,配置到SDP网关的连接
  • SDP网关,终结SDP客户端访问流量,与SDP控制器通信并强制执行策略

SDP架构包括5个安全保护组件:

  • 单数据包授权
  • mutual TLS
  • 设备校验
  • 动态防火墙
  • 应用绑定,用户仅被授权访问应用层的指定应用,不能访问一个广泛的网段或者一系列端口集合

SDP基于已经被业界证明的标准组件构建,包括mutual TLS, SAML以及X.509 证书。

SDP的主要特征是认证设备、认证和授权用户以访问动态配置的服务。对于mutual TLS,客户端和服务器之间要相互交换证书,这比传统的SSL访问更安全, 很多已经实现SSL访问的网站,比如电商平台,通常只是由客户端验证服务器端证书,而服务器端通常不验证客户端证书,仅实现了单向认证。要求所有客户端拥有数字证书将大大提高用户访问成本。

SDP被设计用来提供5个层面的安全,包括:

  • 认证和校验设备
  • 认证和授权用户
  • 确保双向加密通信
  • 动态配置连接
  • 控制连接服务的同时对外隐藏服务

SDP要求端点在对被保护的服务器进行网络访问前首先进行认证和授权,然后,在端点和应用基础设施之间建立起实时的加密连接访问通路。SDP可以是本地的,也可以基于云服务。

最低0.47元/天 解锁文章
解读 | CSA 软件定义边界SDP)标准规范 2.0 VS 1.0
CCSA2018的博客
06-16 3882
2022年4月,CSA重磅发布《软件定义边界SDP)标准规范2.0》。与1.0版本相比,SDP标准2.0会带来哪些更新呢?
软件定义边界和零信任
12-29
云安全联盟CSA有关软件定义边界和零信任的介绍,值得学习
软件定义边界SDP
Flytiger
04-25 2002
这里写自定义目录标题发生变化的边界模型SDP的概念SDP架构SDP工作流SDP部署模式客户端—网关模型客户端—服务器模型服务器—服务器模型客户端—服务器—客户端模型SDP应用场景企业应用隔离私有云和混合云软件即服务(SaaS)基础设施即服务(IaaS)平台即服务(PaaS)基于云的虚拟桌面基础架构(VDI)物联网(IoT)SDP和VPN之间的区别SDP和SDN之间的关系SDP潜在的挑战商业解决方案 发生变化的边界模型 传统企业网络架构通过建立一个固定的边界使内部网络与外部世界分离,这个边界包含一系列的防火
零信任架构
最新发布
ttyy1112的专栏
03-01 1375
它摒弃传统基于边界的安全防护(如防火墙隔离内外部网络),转而通过动态的、细粒度的访问控制,对所有用户、设备和数据流进行持续验证,最小化攻击面并防范内部威胁。:零信任将与SASE(安全访问服务边缘)、AI驱动的威胁检测深度集成,成为新一代网络安全的基石。零信任架构是应对现代混合IT环境与高级威胁的必然选择。是一种新型网络安全模型,核心理念是。
软件定义重划边界——IT就是把复杂东西简单化
weixin_33759269的博客
06-19 758
 一方面,软件定义为IT划定了新的边界;另一方面,软件定义又加剧了IT边界的模糊化。只有负责数据中心运维的专业人员才能分清哪些是服务器,哪些是存储,而数据中心的使用者根本看不到服务器、存储之间的条条框框,只能看到一个虚拟的资源池。  云无处不在,数据存取无处不在,安全无处不在……身处这个变革的时代,技术、应用的边界正在变得模糊。“现在到了重新划定IT边界的时候。”戴尔大中华区企业级解决方案部市场总...
istio和sdp(软件定义边界)
sun007700的专栏
09-17 837
零信任原生安全:超越云原生安全 - DockOne.io 云原生应用的零信任 上一节主要谈的是IaaS和PaaS平台的零信任,在SaaS场景中,随着敏捷开发、高效运营的驱动下,用户越来越多地使用服务网格(Service Mesh)等云原生的架构开发应用。这些应用所在的基础设施虽然还在活跃开发中,但因现代化、软件化的基础设施使能、来自互联网攻击的防护需求,零信任理念已经随之落地。 云原生场景中,应用的颗粒度会被切得非常细,一个容器通常只运行一个或少数若干进程,故服务称之为微服务。所以,通常实现一个业务需要多个
深信服day2:软件定义边界SDP)技术
红肤色的博客
07-19 2408
一、SDP的定义软件定义边界(Software Defined Perimeter, SDP)是一种网络安全策略,通过软件的方式,在“移动+云”的时代背景下,基于身份验证和授权,而不是传统的基于网络地址的边界控制。SDP的核心理念是将网络边界从物理或虚拟网络中分离出来,转而通过软件来定义和控制访问权限。二、SDP的特点1、SDP的主要优势包括:1. 动态性:SDP可以根据用户的身份、访问请求和上下文动态地调整网络访问权限,这意味着 它能够适应不断变化的安全需求和业务需求。
软件定义边界(SDP)标准规范2.0》.pdf《软件定义边界(SDP)标准规范2.0》.pdf
05-18
软件定义边界(SDP)标准规范2.0》是一份重要的文档,主要关注现代网络安全领域中的零信任模型。SDP,即Software Defined Perimeter(软件定义边界),是为了解决传统网络安全模型的不足而提出的新兴理念。零信任...
软件定义边界SDP)标准规范2.0(试读本).pdf
09-16
软件定义边界SDP)标准规范2.0 软件定义边界SDP)是一种新的网络安全架构,它通过使用基于软件的边界来保护网络和应用程序免受攻击。SDP 规范2.0是 Cloud Security Alliance 颁布的最新规范,旨在提供一个统一...
软件定义边界SDP实现等保2.0合规技术指南.zip
02-25
云安全联盟提出的 SDP 软件定义边界是实施零信任安全架构的解决方案, SDP将基于传统静态边界的被动防御转化为基于动态边界的主动防御,与等保 2.0 的防御思路非常吻合,成为满足等保 2.0 合规要求的优选解决方案。...
全维度软件定义边界SDP)资料汇编-专家级.zip
05-22
《全维度软件定义边界SDP):专家级解析》 软件定义边界(Software-Defined Perimeter,简称SDP)是近年来网络安全领域的一种创新性架构,它旨在改变传统的网络安全防护方式,提供更为灵活且安全的网络访问控制。...
软件定义边界SDP1
08-04
**软件定义边界SDP)** 是...总的来说,软件定义边界SDP是实现零信任安全模型的关键技术之一。通过将信任机制与网络访问分离,SDP能够帮助企业构建更为安全的网络环境,抵御现代网络威胁,同时满足数字化转型的需求。
零信任安全和软件定义边界.docx
04-14
零信任安全(zero trust security) 零信任安全是一种IT安全模型。零信任安全要求对所有位于网络外部或网络内部的人和设备,在访问专用网络资源时,必须进行严格的身份验证。零信任安全需要通过多种网络安全技术实现。
理解SDP软件定义边界--概念、架构、流程
网络安全研究
03-09 5390
目前,虚拟专用网络(VPN)是很多公司远程访问的解决方案之一。但是,VPN用户一旦获得授权就可以广泛访问公司网络上的资源。这种广泛访问的方法使潜在的敏感资源和信息暴露给VPN用户和攻击者。因此,围绕软件定义边界解决方案(SDP)成为安全远程访问的一个更具吸引力的替代方案。
零信任|软件定义边界SDP)功能及应用
weixin_70101757的博客
07-14 4064
SDP是一套开放的技术架构,它的理念与零信任理念非常相似。国内国际很多安全大厂都在推出基于SDP技术的零信任产品。可以说SDP是目前最好的实现零信任理念的技术架构之一,使您能够在批准的用户,设备,应用和其他资产之间实施信任。SDP的解决方案是不再像传统VPN那样将外围设备与数据中心等同起来。取而代之的是,企业希望通过不同的外围设备给予不同的权限的解决方案,这种类型的安全省去了传统VPN授予用户的授权方式。它给出了零信任网络访问,经过验证的用户及其设备只能访问他们工作所需的权限。因此,对于潜在的攻击者而言,在
零信任网络安全——软件定义边界SDP技术架构指南
xiaoshuaca的博客
07-01 4961
基本原理+应用场景+落地实施,结合国内特点进行零信任架构技术指导。 近年来,国内信息与通信技术(ICT)发展迅速,各企业将新技术应用于商业环境,推动了其数字化应用与发展。与此同时,也出现了许多信息安全方面的问题,如用户信息泄露和盗用、病毒引起的数据丢失、外部攻击导致的业务停顿等,对企业和社会的发展产生了极大影响。确保企业日益复杂的IT系统能够长期、安全、可靠运转成为众多企业IT决策者面临的巨大挑战。另外,随着以《中华人民共和国网络安全法》颁布为标志的一系列法律法规及各类标准的推出,网络安全上升为重要国家战略
SDP 软件定义边界
阿群的笔记(同步备份自简书)
06-24 4322
3.3.1 SDP 控制器(Controller) SDP 控制器确定哪些 SDP 主机可以相互通信。SDP 控制器可以将信息中继到外部认证服务,例如认证,地理位置和/或身份服务器。 3.3.2 SDP 连接发起主机(Initiating Host,即 IH) SDP 连接发起主机(IH)与 SDP 控制器通信以请求它们可以连接的 SDP 连接接受方(AH...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值