SDP软件定义边界入门1

最新推荐文章于 2024-07-19 08:55:10 发布
最新推荐文章于 2024-07-19 08:55:10 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: sdp 文章标签: 网络 tcp/ip 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zgrztzy/article/details/121006836
版权
SDP(软件定义边界)是一种安全框架,通过身份验证而非网络地址控制资源访问。它隐藏网络资产,防止直接暴露于互联网,采用加密、认证等技术确保安全。SDP包括连接发起主机、接受主机和控制器,通过动态隧道模式实现安全通信。适用于企业应用隔离、私有云、SaaS等多个场景。
摘要由CSDN通过智能技术生成

参考:SDP架构初识 - syyh-01 - 博客园

一、定义

定义sdp:SDP是Software Defined Perimeter的缩写,全称是软件定义边界。

理解:SDP改变了传统的网络控制模式, 原来通过网络TCP/IP、 路由做寻址, 现在通过身份寻址。 SDP旨在使应用程序所有者能够在需要时部署边界, 以便将服务与不安全的网络隔离开来。

软件定义边界(SDP)是由云安全联盟(CSA)开发的一种安全框架,它根据身份控制对资源的访问。该框架基于美国国防部的“need to know”模型——每个终端在连接服务器前必须进行验证,确保每台设备都是被允许接入的。其核心思想是通过SDP架构隐藏核心网络资产与设施,使之不直接暴露在互联网下,使得网络资产与设施免受外来安全威胁。

SDP旨在利用基于标准且已验证的组件,如数据加密、远程认证(主机对远程访问进行身份验证)、传输层安全(TLS,一种加密验证客户端信息的方法)、安全断言标记语言(SAML),它依赖于加密和数字签名来保护特定的访问及通过X.509证书公钥验证访问。将这些技术和其他基于标准的技术结合起来,确保SDP与企业现有安全系统可以集成。

二、术语

Software Defined Perimeter 软件定义边界
Air-gapped networks 安全隔离网络
Initiating Hosts (IH) SDP 连接发起主机
Accepting Hosts (AH) SDP 连接接受主机
Controller SDP 控制器
Department of Defense 美国国防部
Intelligence Communities 美国情报体系
Need-to-know model 需知模型
Virtual Desktop Infrastructure 虚拟桌面基础架构
Single Packet Authorization 单包授权
Dynamical Tunnel Mode 动态隧道模式

代理 ID:(AID) 是一个 32 位唯一无符号值, 用于标识给定的 SDP 连接发起主机(IH) 和/
或 SDP 连接接受主机(AH) 。 它主要用于单数据包授权。

SDP 连接接受主机—控制器路径:是指每个 SDP 连接接受主机(AH) 和控制器之间通信的
信道。

SDP 连接接受方会话:是 SDP 连接接受主机(AH) 连接到控制器的特定时间段。

SDP 连接接受主机(AH) 会话 ID:由控制器管理的 256 位随机化 NONCE, 用于指代特定的 SDP 连接接受方(AH) 会话。

动态隧道模式(DTM) :是 SDP 连接发起主机(IH) 与一个或多个 SDP 连接接受主机(AH)
通信的建议协议和封装。 预计替代协议将被提出。

SDP 连接发起主机会话:是 SDP 连接发起主机(IH) 连接到控制器的特定时间段。

 SDP 连接发起主机(IH) 会话 ID:由控制器管理的 256 位随机化 NONCE, 用于指代特定的 SDP 连接发起主机(IH) 会话。

64 位 MUX ID(MID): 用于在动态隧道模式下在单个 SDP 连接发起主机(IH) -SDP 连接接
受主机(AH) 隧道上复用连接。 其中最重要的 32 位组成了控制器为每个远程服务分配的唯一
值, 它被称为 MID 的服务 ID。 剩余 32 位形成由 SDP 连接发起主机(IH) 和 SDP 连接接受主
机(AH) 维护的值, 以区分特定远程服务的不同 TCP 连接。 这被称为 MID 的会话 ID。
服务:服务是指受 SDP 连接接受主机(AH) 保护的应用程序及其关联数据。
服务 ID:服务 ID 是 MUX ID 的最重要的 32 位。
会话 ID:会话 ID 是 MUX ID 的次重要的 32 位。

单包授权一次性密码(SPA OTP):基于 RFC4226 的单包授权( Single Packet Authorization, 即 SPA ) , 但修改后包含计数器值(见下文) 。 它作为唯一标识用于在向控制器和可接受连接主机(AH) 发起通信时辨认 SDP 连接发起主机(IH) 。

三、框架

SDP控制器:SDP 控制器确定哪些 SDP 主机可以相互通信。 SDP 控制器可以将信息中继到外部认证服务, 例如认证, 地理位置和/或身份服务器。

IH:SDP 连接发起主机(IH) 与 SDP 控制器通信以请求它们可以连接的 SDP 连接接受方(AH) 列表。 在提供任何信息之前, 控制器可以从 SDP 连接发起主机请求诸如硬件或软件清单之类的信息。

AH:默认情况下, SDP 连接接受主机(AH) 拒绝来自 SDP 控制器以外的所有主机的所有通信。 只有在控制器指示后, SDP 连接接受主机才接受来自 SDP 连接发起主机的连接。

四、 sdp模型

客户端 -网关模型

客户端-服务器模型

服务器-服务器模型

客户端-服务器-客户端模型

五、sdp用途

企业应用隔离

私有云和混合云

软件即服务saas

基础设施即服务IaaS

平台即服务PaaS

基于云的虚拟桌面基础架构VDI

物联网

zgrztzy
关注
专栏目录
Arm PMU详解
baron-周贺贺-代码改变世界ctw
11-16 354
本文档描述了在Neoverse N1中实现的不同性能监视单元(PMU)事件的行为。Neoverse N1具有六个可编程的32位计数器(计数器0-5),每个独立计数器都可以被编程为在本文档描述的PMU事件之一发生时进行计数。2.1 范围本文档提供了对Neoverse N1 PMU事件的高层描述。其中包含对体系结构行为和Neoverse N1微体系结构行为的参考,以澄清这些事件的描述。如需更完整的Arm体系结构描述,请参考Arm®体系结构参考手册Armv8-A。
基于C++(QT框架)设计的网络摄像头项目(支持跨平台运行)
08-20 7270
当前软件是基于Qt设计的一个网络摄像头分享功能(也就是局域网共享自己电脑的摄像头),利用Qt搭建一个HTTP服务器,处理浏览器的请求,当浏览器访问过来时,就将本地采集到的摄像头画面发送给浏览器,与浏览器建立长连接通信,直接传输JPG图片,实现摄像头画面实时显示效果。支持登录页面,做了一个账号登录界面,访问服务器之后需要输入账号密码才可以正常进入服务器查看共享的画面。如果分享个摄像头画面,那是非常的方便的,想要查看分享的摄像头画面只需要浏览器里输入服务器的IP地址登录进去就可以看画面了
软件定义边界SDP实现等保2.0合规技术指南.zip
02-25
云安全联盟提出的 SDP 软件定义边界是实施零信任安全架构的解决方案, SDP将基于传统静态边界的被动防御转化为基于动态边界的主动防御,与等保 2.0 的防御思路非常吻合,成为满足等保 2.0 合规要求的优选解决方案。 CSA 大中华区 SDP 工作组的专家们对等保 2.0 做了深入解读,为读者们展示了如何通过 SDP 解决方案来满足企业的等保 2.0 合规要求。
软件定义边界SDP
Flytiger
04-25 1777
这里写自定义目录标题发生变化的边界模型SDP的概念SDP架构SDP工作流SDP部署模式客户端—网关模型客户端—服务器模型服务器—服务器模型客户端—服务器—客户端模型SDP应用场景企业应用隔离私有云和混合云软件即服务(SaaS)基础设施即服务(IaaS)平台即服务(PaaS)基于云的虚拟桌面基础架构(VDI)物联网(IoT)SDP和VPN之间的区别SDP和SDN之间的关系SDP潜在的挑战商业解决方案 发生变化的边界模型 传统企业网络架构通过建立一个固定的边界使内部网络与外部世界分离,这个边界包含一系列的防火
深信服day2:软件定义边界SDP)技术
最新发布
红肤色的博客
07-19 1942
一、SDP定义软件定义边界Software Defined Perimeter, SDP)是一种网络安全策略,通过软件的方式,在“移动+云”的时代背景下,基于身份验证和授权,而不是传统的基于网络地址的边界控制。SDP的核心理念是将网络边界从物理或虚拟网络中分离出来,转而通过软件定义和控制访问权限。二、SDP的特点1、SDP的主要优势包括:1. 动态性:SDP可以根据用户的身份、访问请求和上下文动态地调整网络访问权限,这意味着 它能够适应不断变化的安全需求和业务需求。
SDP 软件定义边界
阿群的笔记(同步备份自简书)
06-24 4232
3.3.1 SDP 控制器(Controller) SDP 控制器确定哪些 SDP 主机可以相互通信。SDP 控制器可以将信息中继到外部认证服务,例如认证,地理位置和/或身份服务器。 3.3.2 SDP 连接发起主机(Initiating Host,即 IH) SDP 连接发起主机(IH)与 SDP 控制器通信以请求它们可以连接的 SDP 连接接受方(AH...
解读 | CSA 软件定义边界SDP)标准规范 2.0 VS 1.0
CCSA2018的博客
06-16 3644
2022年4月,CSA重磅发布《软件定义边界SDP)标准规范2.0》。与1.0版本相比,SDP标准2.0会带来哪些更新呢?
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9087
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络
《架构整洁之道》读书笔记(下)
行走
07-01 1253
架构整洁之道
概率DP初学整合
K键盘里的青春K
03-18 4668
什么都不会的概率Dp。。。把一些好的资料收集起来慢慢看把。。。orz这些大神,蔑视我这zz垃圾 转自:http://blog.csdn.net/zy691357966/article/details/46776199 有关概率和期望问题的研究 摘要 在各类信息学竞赛中(尤其是ACM竞赛中),经常出现一些与概率和期望有关的题目。这类题目需要较高的数学水平和一定的算
Software-Defined-Perimeter.zip
04-27
Software-Defined-Perimeter.zip
软件定义边界(SDP)标准规范2.0》.pdf《软件定义边界(SDP)标准规范2.0》.pdf
05-18
零信任 软件定义边界(SDP)标准规范2.0 对零信任sdp架构进行了详细说明
软件定义边界SDP)标准规范2.0(试读本).pdf
09-16
软件定义边界SDP)标准规范2.0(试读本).pdf
零信任|软件定义边界SDP)功能及应用
weixin_70101757的博客
07-14 3476
SDP是一套开放的技术架构,它的理念与零信任理念非常相似。国内国际很多安全大厂都在推出基于SDP技术的零信任产品。可以说SDP是目前最好的实现零信任理念的技术架构之一,使您能够在批准的用户,设备,应用和其他资产之间实施信任。SDP的解决方案是不再像传统VPN那样将外围设备与数据中心等同起来。取而代之的是,企业希望通过不同的外围设备给予不同的权限的解决方案,这种类型的安全省去了传统VPN授予用户的授权方式。它给出了零信任网络访问,经过验证的用户及其设备只能访问他们工作所需的权限。因此,对于潜在的攻击者而言,在
SDPSoftware Defined Perimeters)核心技术点
dereklaoli的博客
02-24 523
SDPSoftware Defined Perimeters)核心技术点 读了一下规范和行业分析,个人觉得SDP的技术核心点: 1、SPA(Single Packet Authenticate) 因为Controller和Gateway在fw功能上,默认采用Drop所有报文的策略,只允许通过Authenticated的packet 通过,这样可以防止非法用户扫描系统端口。在Authenticated通过后,再开放指定的服务端口。安全利益:使非法用户的扫描无效。 2、mTLS(Mutual TLS) Con
istio和sdp(软件定义边界)
sun007700的专栏
09-17 740
零信任原生安全:超越云原生安全 - DockOne.io 云原生应用的零信任 上一节主要谈的是IaaS和PaaS平台的零信任,在SaaS场景中,随着敏捷开发、高效运营的驱动下,用户越来越多地使用服务网格(Service Mesh)等云原生的架构开发应用。这些应用所在的基础设施虽然还在活跃开发中,但因现代化、软件化的基础设施使能、来自互联网攻击的防护需求,零信任理念已经随之落地。 云原生场景中,应用的颗粒度会被切得非常细,一个容器通常只运行一个或少数若干进程,故服务称之为微服务。所以,通常实现一个业务需要多个
SDP软件定义边界)[链接]
1252661442的博客
11-13 836
https://www.sdnlab.com/23135.html
SDP标准规范1.0:软件定义边界的云安全指南
SDPSoftware Defined Perimeter软件定义边界)是一种网络安全架构,其核心理念源自“零信任”安全模型,旨在保护网络资源免受未经授权的访问。该标准规范由云安全联盟(Cloud Security Alliance, CSA)发布,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值