深信服day2：软件定义边界（SDP）技术

目录

一、SDP的定义 

二、SDP的特点

1、SDP的主要优势包括：

2、实现SDP的关键技术包括：

3、SDP的核心价值：

4、SDP的目标：

5、SDP设计基本原则：

6、SDP的标准架构 

7、SDP基本通信流程：

8、核心技术-单包授权SPA为受SPA保护的服务器提供以下安全作用:

 9、SPA总体介绍

10、SDP的目的

9、核心技术-双向TLS（mTLS）：

10、SDP的部署方式：

11、SDP与入侵检测和入侵防御系统IDS/IPS关系：

三、总结

---

 

一、SDP的定义 

软件定义边界（Software Defined Perimeter, SDP）是一种网络安全策略，通过软件的方式，在“移动+云”的时代背景下，基于身份验证和授权，而不是传统的基于网络地址的边界控制。SDP的核心理念是将网络边界从物理或虚拟网络中分离出来，转而通过软件来定义和控制访问权限。

二、SDP的特点

1、SDP的主要优势包括：

     1. 动态性：SDP可以根据用户的身份、访问请求和上下文动态地调整网络访问权限，这意味着           它能够适应不断变化的安全需求和业务需求。    

     2. 细粒度控制：SDP允许对访问进行非常细粒度的控制，可以针对特定用户、特定应用或特定           数据集提供访问权限。  

     3. 灵活性：SDP不依赖于物理网络边界，这意味着它可以在任何网络环境中提供安全服务，包           括云环境、混合云环境和多云环境。    

     4. 安全性：通过基于身份的访问控制，SDP可以减少对网络基础设施的攻击面，提高整体安全           性。  

     5. 可扩展性：SDP的架构设计使得它易于扩展，可以轻松地添加新的服务、用户或策略。

2、实现SDP的关键技术包括：

     1. 身份验证：确保只有经过身份验证的用户才能访问网络资源。

     2. 授权：根据用户的身份和访问请求，动态地授权访问权限。

     3. 加密通信：使用加密技术保护数据在传输过程中的安全。

     4. 隧道技术：在需要时创建安全通道，允许特定用户或服务通过网络边界进行通信。

3、SDP的核心价值：

1. 网络隐身，最小化攻击面。结合SPA技术，通过端口动态协调后启用方式，保证原有服务默认关闭，起到对服务的隐身保护。
2. 结合动态预授权+最小权限原则，保证每次访问只能提供符合访问上下文的最小的权限，对业务访问面进行收缩。
3. 业务端口启用后，通过 mTLS技术，服务端和客户端进行双向认证，并在通信过程中实现通信加密。
4. 通过预验证，在正式访问之前，对访问终端、用户进行合法性校验，完成对应的流量筛选。

4、SDP的目标：

1. 部署动态的“软件定义”边界
2. 防止非授权访问企业服务
3. 隐藏网络和资源
4. 以身份为中心的访问策略模型

5、SDP设计基本原则：

1. 网络隐身：隐藏服务器地址、端口，使之不被扫描发现
2. 预验证：在连接服务器之前，先验证用户和设备的合法性
3. 预授权：用户只能看到被授权访问的应用(最小权限原则)
4. 应用级的访问准入：用户只有应用层的访问权限，无网络级的访问
5. 扩展性：基于标准协议，可以方便与其它安全系统集成

6、SDP的标准架构 

7、SDP基本通信流程：

1. IH通过SDP控制器认证
2. 控制器确定IH授权的服务列表
3. 控制器通知AH针对IH的授权服务
4. 控制器通知IH针对IH的授权服务
5. SDP-为数据平台通信启动双线TLS连接

8、核心技术-单包授权SPA为受SPA保护的服务器提供以下安全作用:

1. 保护服务器：在提供真正的SPA之前，服务器不会响应来自任何客户端的任何连接;
2. 缓解TLS的拒绝服务攻击：面向Internet的运行HTTPS协议的服务器极易受到拒绝服务攻击。SPA可以缓解这些攻击，服务器在进入TLS握手之前放弃TLS DoS尝试:
3. 攻击检测：从任何其他主机发送到AH的第一个数据包必须是SPA。如果AH接收到任何其他数据包，则将其视为攻击。SPA使得SDP可以根据一个恶意数据包来检测到攻击。

 9、SPA总体介绍

举个简单的例子，这里把服务器比作在家的小孩子，正常用户比作小孩的妈妈，攻击者比作骗小孩的坏人。妈妈敲门，小孩总会回应，然后开门。而坏人敲门，情况则不一样了。

如果没有SPA的功能，情况如下：

坏人：你好呀，家里有人吗？

小孩：有人，你是谁呀？

坏人：我是送外卖的。

小孩：我只给我妈妈开门，你走吧。

坏人内心：这家有小孩，实施下一步骗术。

而开了SPA功能之后，情况如下：

坏人：你好呀，家里有人吗？

小孩内心：不是妈妈的声音，我不理它。

坏人：你好呀，家里有人吗？

坏人：……

坏人内心：这家没人。

目前很多的攻击行为都是从端口探测/扫描开始的，也就是尝试进行TCP握手。由于TLS等众多安全协议都运行在TCP连接建立之后，所以攻击者可以通过TCP握手发现服务器暴露的端口，从而进行下一步攻击行为。aTrust产品的SPA功能解决的就是这个问题，让攻击者扫描不到服务器端口，无法发现服务器的存在，从而将攻击行为拒之门外。

10、SDP的目的

SPA的目的是允许服务被防火墙隐藏起来并被默认丢弃。

9、核心技术-双向TLS（mTLS）：

双向TLS（也称为双端TLS或全TLS）是一种网络安全协议，它结合了TLS（传输层安全性协议）的客户端和服务器端认证功能。在双向TLS中，不仅服务器需要验证客户端的身份，客户端也需要验证服务器身份，从而确保双方都是可信的。

10、SDP的部署方式：

1. 客户端-网关 模型
2. 客户端-服务器 模型
3. 服务器-服务器 模型
4. 客户端-服务器-客户端 模型
5. 客户端-网关-客户端 模型
6. 网关-网关 模型

11、SDP与入侵检测和入侵防御系统IDS/IPS关系：

1. 是用作检测网络或系统恶意行为及策略违规的安全组件。它们是基于网络的(检查流量)或者基于主机的(检查活动和潜在的网络流量)。尽管需要更改基于IDS的网络，SDP可以支持IDS/IPS系统的部署。在单网络远程办公室等小型运营环境中，部署SDP可以不需要部署IDS/IPS，从而降低成本。
2. 部署SDP系统可能会需要对IDS系统进行一定的变更，但通过阻止未认证的网络流量的方式有助于降低系统噪声。这种改变使得IDS及其操作团队更关注已授权应用的网络流量，同时把资源有效倾斜到内部威胁检测方面。
3. SDP同样也可以简化和增强“蜜罐”系统的创建和有效性。因为所有的被保护系统针对攻击者而言都是不可见的，的服务枚举功能增加了恶意攻击者发现和攻击服务(包括蜜罐)的可能性，一个基于SDP的“蜜罐”系统可以更快定位网络上的恶意软件行为。

三、总结

SDP的应用范围广泛，包括但不限于企业内部网络、远程工作环境、多云环境以及任何需要动态定义和控制网络访问的场景。