零信任网络安全

SDP的安全理念和ZTN的安全理念完全一致：

①无论用户和服务器资源在什么位置，都要确保所有的资源访问都是安全的；

②记录和检查所有流量；

③对所有授权实施Need-to-Know原则。

零信任安全理念的三大技术方案

三大技术方案，可以归纳为“SIM”组合：SDP，软件定义边界；IAM，身份识别与访问管理；MSG，微隔离。

SDP架构

（1）将建立信任的控制平面与传输实际数据的数据平面分离。

（2）使用Deny-All防火墙（不是完全拒绝，允许例外）隐藏基础设施（如使服务器变为“不可见”），丢弃所有未授权数据包并将它们用于记录和分析流量。

（3）在访问受保护的服务前，通过单包授权（SPA）协议进行用户与设备的身份验证和授权。

SDP的主要功能

SDP的设计至少包括5层安全性：

①对设备进行身份验证和授权；

②对用户进行身份验证和授权；

③确保双向加密连接；

④提供动态访问控制；

⑤控制用户与服务之间的连接并将这些连接隐藏

SDP的部署模式

SDP部署模式

1. 客户端—网关模式

AH充当客户端与受保护服务器之间的网关

2. 客户端—服务器模式

AH运行在受保护服务器上，而不是运行在位于服务器前面的网关上。

3. 服务器—服务器模式

对于REST服务来说，启动REST服务的服务器为IH，提供REST服务的服务器为AH。部署SDP可以显著减小负载并弱化攻击.

服务器—服务器模式适用于物联网（IoT）和虚拟机（VM）环境，无论底层网络或基础结构如何，都确保服务器之间的所有连接加密。

4. 客户端—服务器—客户端模式

用于IP电话、聊天和视频会议等应用程序

5. 客户端—网关—客户端模式

客户端—网关—客户端模式是客户端—服务器—客户端模式的变形，该模式支持对等网络协议，要求客户端在执行SDP访问策略时直接进行连接。

6. 网关—网关模式

在网关—网关模式下，客户端设备不运行SDP，包括不需要或不可能安装SDP的设备，如打印机、扫描仪、传感器和物联网设备等。在该模式下，网关可以作为防火墙，也可以作为路由器或代理，具体取决于部署方式。

SDP与VPN的差异

SDP可以使用IKE、IPSec和TLS等协议在IH和AH之间创建VPN

（1）创建受VPN网关保护的服务器与创建受SDP保护的服务器的工作量不同。SDP控制器上线后，用户可以通过软件设置，根据需要创建尽可能多的受保护服务器，并且可以通过LDAP关联区分授权用户和未授权用户。

（2）与SDP相比，设置VPN网关以保护单个服务器的运营成本更高。SDP架构可以部署在云环境中。

（3）SDP可以同时用于安全和远程访问，但VPN网关不可以。如果尝试在企业内部使用VPN客户端和VPN网关保护某服务器，则用户无法通过远程访问VPN来访问服务器（因为VPN客户端已连接至远程访问VPN网关），但SDP可以通过远程访问VPN来访问服务器。

（4）SDP可以防DDoS攻击，但VPN网关不可以。AH可以与受保护服务器部署在不同位置，从而对授权用户隐藏真实位置。

SDP具有以下特点。

（1）在允许连接前授权用户并验证设备。

（2）双向加密通信。

（3）具有Deny-All防火墙动态规则和服务器隐身功能。

（4）集成应用上下文和细粒度访问控制。

SDP应用

1. 具有分支机构的企业

2. 多云企业

该功能通过服务器—服务器模式实现

3. 具有外包服务人员和访客的企业

4. 跨企业协作

SDP部署方式

1.  内嵌式部署：SDP网关以插件的形式部署在移动互联网终端和移动应用服务端。

2. 应用侧网关部署：SDP网关作为单独的网元部署在移动互联网环境中，部署在移动应用服务端前端。

3. 移动互联网侧网关部署：SDP网关作为单独的网元部署在移动互联网环境中，部署在移动互联网网络汇聚出口处。