SDP架构初探

最新推荐文章于 2024-05-15 01:22:19 发布
最新推荐文章于 2024-05-15 01:22:19 发布
阅读量2.3k 收藏 4
点赞数
分类专栏: 云计算安全 文章标签: 架构 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43047908/article/details/122090670
版权

目录

实现零信任的框架主要有SDP和Google Beyondcorp模型,前者出现在乙方的安全解决方案中,后者多作为甲方落地零信任的参考。

SDP简介

SDP是Software Defined Perimeter的缩写,全称是软件定义边界。
软件定义边界(SDP)是由云安全联盟(CSA)开发的一种安全框架,它根据身份控制对资源的访问。该框架基于美国国防部的“need to know”模型——每个终端在连接服务器前必须进行验证,确保每台设备都是被允许接入的。其核心思想是通过SDP架构隐藏核心网络资产与设施,使之不直接暴露在互联网下,使得网络资产与设施免受外来安全威胁。

SDP旨在利用基于标准且已验证的组件,如数据加密、远程认证(主机对远程访问进行身份验证)、传输层安全(TLS,一种加密验证客户端信息的方法)、安全断言标记语言(SAML),它依赖于加密和数字签名来保护特定的访问及通过X.509证书公钥验证访问。将这些技术和其他基于标准的技术结合起来,确保SDP与企业现有安全系统可以集成。

SDP主要功能:

1.对设备进行身份认证和验证
2.对用户进行身份验证和授权
3.确保双向加密通信
4.动态提供连接
5.控制用户与服务之间连接,同时隐藏这些连接

SDP架构

SDP架构主要包括三大组件:SDP控制器(SDP Controler)、SDP连接发起主机(IH,Initial host)、SDP连接接受主机(AH,Accept host),SDP主机可以发起连接也可以接受连接,IH和AH会直接连接到SDP控制器,通过控制器与安全控制信道的交互来管理。该结构使得控制层能够与数据层保持分离,以便实现完全可扩展的安全系统。此外,所有组件都可以是冗余的,用于扩容或提高稳定运行时间。

在这里插入图片描述
SDP遵循如下工作流程:

1.在 SDP 中添加并激活一个或多个【SDP 控制 器】并连接到身份验证和授权服务,例如 AM、 PKI 服务、设备验证、地理位置、SAML、 OpenID、OAuth、LDAP、Kerberos、多因子身 份验证、身份联盟和其他类似的服务。

2.在 SDP 中添加并激活一个或多个 AH。它们以 安全的方式连接控制器并进行验证。 AH 不响 应来自任何其他主机的通信,也不会响应任 何未许可的请求。

3.每个 IH 会在 SDP 中添加和激活,并与【SDP 控制器】连接并进行身份验证。

4.IH 被验证之后,【SDP 控制器】确定 IH 被授 权可以连接的 AH 列表。

5.【SDP 控制器】指示 AH 接受来自 IH 的通信, 并启动加密通信所需的任何可选策略。

6.【SDP 控制器】为 IH 提供 AH 列表,以及加 密通信所需的任何可选策略。

7.IH 向每个授权的 AH 发起 SPA(SPA,单包授权,使未授权的用户和设备无法感知或访问)。然后 IH 和这 些 AH 创建双向加密连接(例如,双向验证 TLS 或 mTLS)。

8.IH 通过 AH 并使用双向加密的数据信道与目标 系统通信。

SDP部署模型

CSA(云安全联盟)的SDP标准规范1.0中定义了以下几种在组织中可能的SDP架构:

  • 客户端-网关
  • 服务器-服务器
  • 客户端-网关-客户端
  • 客户端-服务器
  • 客户端-服务器-客户端
  • 网关-网关

SPA连接

SDP 技术最关键的组成部分之一是要求并强制实施 “先认证后连接”模型,该模型弥补了 TCP/IP 开放 且不安全性质的不足。SDP 通过单包授权(SPA)实 现这一点。SPA 是一种轻量级安全协议,在允许访问 控制器或网关等相关系统组件所在的网络之前先检查 设备或用户身份。

SPA 的目的是允 许服务被防火墙隐藏起来并被默认丢弃。该防火墙系 统应该丢弃所有 TCP 和 UDP 数据包,不回复那些连 接尝试,从而不为潜在的攻击者提供任何关于该端口 是否正被监听的信息。在认证和授权后,用户被允许 访问该服务。SPA 对于 SDP 不可或缺,用于在客户端 和控制器、网关和控制器、客户端和网关等之间的连 接中通信。

SPA 在 SDP 中起很大作用。SDP 的目标之一是克服 TCP/IP 开放和不安全的基本特性。TCP/IP 的这个特性 允许“先连接后认证”。鉴于今天的网络安全威胁形 势,允许恶意行为人员扫描并连接到我们的企业系统 是不可被接受的。与 SDP 组合的 SPA 通过两种方式应 对这个弱点。使用 SDP 架构的应用被隐藏在 SDP 网关 /AH 后面,从而只有被授权的用户才能访问。另外, SDP 组件自身,如控制器和网关也被 SPA 保护。这允 许它们被安全地面向互联网部署,确保合法用户可以 高效可靠地访问,而未授权用户则看不到这些服务。 SPA 提供的关键好处是服务隐藏。防火墙的 Default- drop(默认丢弃)规则缓解了端口扫描和相关侦查技术带来的威胁。这种防火墙使得 SPA 组件对未授权用户不可见,显著减小了整个 SDP 的攻击面。 相比与 VPN 的开放端口以及在很多实现中都存在的 已知弱点,SPA 更安全。

SPA的实现可能有轻微的差别,但是都满足以下原则:
1.数据包必须被加密和认证
2.数据包必须自行包含所有必要的信息;单独的数据包头不被信任
3.生成和发送数据包必须不依赖与管理员或底层访问权限;不允许篡改原始数据包
4.服务器必须尽可能无声地接收和处理数据包;不发送回应或确认

她总是阴雨天
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SDP(Seesion Description Protocol)协议结构
terigele25tim的专栏
03-23 412
首先介绍了SDP协议(转),通过抓包方式获取了一个SDP数据包,加深SDP协议的结构。
SDP零信任网络安全架构
bocco的博客
02-01 1294
安全狗零信任SDP接入解决方案基于“以身份认证为中心,以信任为基础,持续动态授权认证”的理念,打造企业全方位立体业务访问安全体系。
SDP架构指南.pdf
11-18
SDP架构指南.pdf
2024年Go最全SRS SDP解析流程_srs publish 状态码返回400,2024年最新Golang数据结构算法面试题
最新发布
2401_84911535的博客
05-15 267
/ publish创建SrsRtcSource,即创建流,play绑定SrsRtcSource,即绑定流。
SDP协议的概念和结构
holylts的专栏
08-25 838
<br />下面我们为大家介绍一下SDP协议。那么这个协议的具体作用更是什么呢?它的意思又是什么呢?会话描述协议(SDP)为会话通知、会话邀请和其它形式的多媒体会话初始化等目的提供了多媒体会话描述。<br />会话目录用于协助多媒体会议的通告,并为会话参与者传送相关设置信息。SDP协议即用于将这种信息传输到接收端。SDP完全是一种会话描述格式 ― 它不属于传输协议 ― 它只使用不同的适当的传输协议,包括会话通知协议(SAP)、会话初始协议(SIP)、实时流协议(RTSP)、MIME 扩展协议的电子邮件以及超
SDP协议
linengeir的专栏
03-27 4900
1.SDP协议概述 SDP(Session Description Protocol)是一个用来描述多媒体会话的应用层控制协议,为会话通知、会话邀请和其它形式的多媒体会话初始化等目的提供了多媒体会话描述;它是一个基于文本的协议,这样就能保证协议的可扩展性比较强,这样就使其具有广泛的应用范围;SDP 完全是一种会话描述格式 ― 它不属于传输协议 ― 它只使用不同的适当的传输协议,包括会话通
理解SDP软件定义边界--概念、架构、流程
网络安全研究
03-09 4597
目前,虚拟专用网络(VPN)是很多公司远程访问的解决方案之一。但是,VPN用户一旦获得授权就可以广泛访问公司网络上的资源。这种广泛访问的方法使潜在的敏感资源和信息暴露给VPN用户和攻击者。因此,围绕软件定义的边界解决方案(SDP)成为安全远程访问的一个更具吸引力的替代方案。
《软件定义边界(SDP)标准规范2.0》.pdf《软件定义边界(SDP)标准规范2.0》.pdf
05-18
在《SDP标准规范2.0》中,CSA详细阐述了SDP架构的组成,包括控制平面、数据平面、客户端、网关和管理组件等。控制平面负责策略管理和认证,数据平面则处理实际的数据传输,客户端和网关作为SDP架构的入口点,确保...
零信任网络安全最佳实践-SDP安全架构技术指南.zip
02-27
零信任网络安全最佳实践-SDP安全架构技术指南\基于零信任的身份安全理念、架构及实践.pdf 零信任网络安全最佳实践-SDP安全架构技术指南\零信任架构下的资产安全管理.pdf 零信任网络安全最佳实践-SDP安全架构技术指南...
sdp.rar_sdp_蓝牙SDP
09-21
SDP是蓝牙系统架构的一部分,它的主要目的是提供一种标准方法,使蓝牙设备能够识别和访问其他设备上可用的服务。这些服务可以包括音频流、数据传输、电话服务等。SDP通过定义服务记录和服务查询协议来实现这一目标...
sdp.rar_sdp
09-19
标题中的“sdp.rar_sdp”可能是指一个关于排序算法的压缩文件,其中包含了各种排序方法的详细资料或实现代码。SDP在这里可能是"Sorting Discussion Package"的缩写,但通常SDP指的是“State Dependent Pricing”或者...
零信任网络安全最佳实践-SDP安全架构技术指南.pdf
02-25
本书是 CSA 贡献给业界的一本重磅白皮书合集,它涵盖了 SDP 标准规范、设计指南与参考架构、迁移上云指南,以及业零信任网络安全先行者 Google 的 BeyondCorp 研究项目的论文合集。SDP 适用于企业网络环境、IaaS 云环境、IoT 物联网环境、BYOD 移动互联网环境等,本书不仅 对 SDP 的优势与价值做了阐述,还给出了具体技术设计指导。
主机(Host): 服务发现协议SDP(Service Discovery Protocol)
技术学习
09-27 489
Device ID 设备ID
何謂 SDP ( Session Description Protocol )?
cs5512的专栏
03-12 1488
簡單的來說, SDP[1] 就是用來定義 internet 上, 如何描述一個 session 的 protocol. 它可以被用來通知一個 session 的存在, 讓使用者能 join 一個 session, 或是讓使用者得知某個即將開啟的 session 的相關資訊.     首先, 我們先說明什麼叫 session. 一個存在於 internet 上的 session, 包含了所有往來於
SDP介绍
Randy009的博客
03-26 843
SDP ICE信息的描述格式通常采用标准的SDP,其全称为Session Description Protocol,即会话描述协议. SDP只是一种信息格式的描述标准,不属于传输协议,但是可以被其他传输协议用来交换必要的信息,如SIP和RTSP等. SDP信息 一个SDP会话描述包含如下部分: 会话名称和会话目的 会话的激活时间 构成会话的媒体(media) 为了接收该媒体所需要的信...
什么是SDP
weixin_52272797的博客
07-02 3426
软件定义边界(Software-Defined Perimeter,SDP)是由云安全联盟(CSA)于2013年提出的一种以身份为中心实施对资源访问控制的安全框架,是零信任模型的一种实现方式。
SDP概念与电信增值业务价值链
zhaiqi618的专栏
05-22 4145
       在电信业务的初期,业务基本上是以技术为驱动,设备厂商生产交换设备,系统集成商集成计算机设备和交换机设备,形成业务提供能力,然后运营商将其投放到电信网络,向用户提供服务,基本上是一个简单的链形价值结构。       传统的电信业务日益趋向融合和技术的不断开放,话音业务量逐步下降,数据增值业务迅猛发展,CP(Content Provider,内容提供商)/SP(Service P
SDP简介
liitdar的博客
03-16 2509
SDP,即会话描述协议,是一个描述peer-to-peer连接的标准,主要用于参与会话(Session,如一次网络电话、一次电话会议、一次视频聊天,都可以称之为一次会话)的实体之间的媒体协商。使用SDP的目的,主要是为了解决参与会话的各成员能力不对等的问题。例如参加通话的成员都支持高质量的通话,但是如果没有进行协商,为了兼容性,各成员都使用普通质量的通话格式进行通话,这样就没有充分发挥资源优势,造成浪费资源了。在视音频的传输连接中,SDP包含视音频的编解码(codec)、源地址和时间信息。
sdp白皮书-sdp架构指南
07-02
### 回答1: SDP(软件定义网络)白皮书和SDP架构指南是一份详细描述SDP架构、原理和实施指导的文件。SDP架构指南主要旨在帮助企业和组织了解和应用SDP技术,以实现更灵活、高效、安全的网络管理和应用交付。 SDP架构指南首先介绍了SDP的基本概念和关键特性,包括虚拟化、面向应用的安全性和可编程性等。它强调了SDP的重点是将网络功能虚拟化,并将原本集中在网络中心的控制功能分布到整个网络中的各个节点。这种架构的好处是可以提高网络的灵活性和可扩展性,并且能够更好地应对网络变化和需求变化。 SDP架构指南还介绍了SDP的核心组件,包括SDP控制器、SDP代理和SDP网关。它们共同协作,实现SDP网络的构建和管理。其中,SDP控制器负责集中管理整个网络,包括资源分配、策略配置和安全策略等;SDP代理负责网络功能的虚拟化和应用交付;SDP网关则用于连接SDP网络和传统网络,实现互联互通。 此外,SDP架构指南还详细介绍了SDP的实施指南和最佳实践。它阐述了SDP的部署和配置步骤,包括网络规划、安全策略设计和SDP控制器的配置等。它还提供了一些实例和案例分析,以帮助读者更好地理解和应用SDP技术。 总之,SDP白皮书和SDP架构指南是一份权威的技术文档,它为企业和组织提供了SDP架构和实施的全面指导。通过应用SDP技术,可以实现网络的灵活性、可扩展性和安全性的提升,进而推动数字化转型和业务创新。 ### 回答2: SDP白皮书是一份关于SDP架构指南的文档,旨在向读者介绍SDP(软件定义网络平台)架构的基本概念和原则。 SDP是一种新兴的网络架构,旨在提供一种可编程的、灵活的网络环境,以满足不断变化的业务需求。该架构基于软件定义网络(SDN)和网络功能虚拟化(NFV)技术,通过将网络控制平面与数据平面分离,实现网络的灵活性和可编程性。 SDP架构指南提供了SDP的详细设计和部署指南。首先,它介绍了SDP架构中的关键概念,如虚拟网络功能(VNF)、网络切片和网络编排。然后,它讨论了SDP与传统网络架构的区别和优势,如可靠性、灵活性和可扩展性。 此外,SDP白皮书深入探讨了SDP的关键组成部分,如控制器、虚拟化基础设施管理器(VIM)和VNF管理器(VNFM)。它还提供了一些实际的示例和案例研究,以帮助读者更好地理解和应用SDP架构。 最后,SDP架构指南还涉及了SDP的安全性和隐私保护方面,并提供了一些最佳实践和建议,以确保SDP网络的安全性和可信度。 总而言之,SDP白皮书是一份关于SDP架构指南的重要文档,通过详细描述SDP架构的原则、组成部分和部署指南,为读者提供了实施和利用SDP架构的基础知识和指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值