sdp 介绍-摩杜云开发者社区

### 一、什么是sdp？

&emsp;&emsp;软件定义边界（Software-Defined Perimeter），一种以身份为中心实施对资源访问控制的安全框架，是零信任模型的一种实现方式。SDP要求在获得对受保护服务器的网络访问之前，先对端点进行身份验证和授权。然后，在请求系统和应用程序基础设施之间实时创建加密连接。SDP将用户的数据和基础设施等关键IT资产隐藏在用户自己的sdp里。

&emsp;&emsp;**优点**：SDP对外提供零可见性和零连接，只有在端点证明他们可以被信任之后才可以建立连接，允许合法流量通过，使用这种方法基本上可以预防所有基于网络的攻击。

### 二、为什么需要sdp？

&emsp;&emsp;sdp模型包括设备身份验证、基于身份访问、动态配置连接三大组件，阻止了大部分类型的网络攻击。

&emsp;&emsp;验证方法：SDP要求用户拿出多种身份验证信息，比如时间、位置、终端情况等等。

&emsp;&emsp;额外：SDP还能够脚本化，以便检查除设备信息之外的更多情况。SDP能够收集并分析其他数据源，以提供上下文，帮助进行用户授权动作。

&emsp;&emsp;sdp的**安全性**就表现在这里：

一旦用户可被验证，我们就可以确信用户是谁，SDP在用户和所请求的资源间创建一条安全的加密隧道，保护二者之间的通信。而且，网络的其他部分则被设为不可见。通过隐藏网络资源，SDP可减小攻击界面，并清除用户扫描网络和在网络中横向移动的可能性。

### 三、sdp逻辑架构

&emsp;&emsp;SDP包括三个主要部分：SDP客户端、SDP控制器、SDP网关。

&emsp;&emsp;五个安全保护组件：单数据包授权、Mutual TLS、设备校验、动态防火墙、应用绑定。

&emsp;&emsp;SDP控制器是SDP的大脑，主要进行**主机认证**和**策略下发**，还可以用于认证和授权SDP客户端、配置到SDP网关的连接。也就是说，SDP控制器可以给访问者与被访问的资源之间搭建一条动态细粒度的“访问隧道”。

&emsp;&emsp;SDP控制器建立的访问规则只对被授权的用户和服务开放，密钥和策略也是动态和仅供单次使用的。通过这种类似“白名单”的访问控制形式，网络中未被授权的陌生访问在TCP链接建立阶段就是完全被屏蔽和拒绝的，这种“临时并单一”的访问控制方式，将私有云资源对非法用户完全屏蔽，极大减少了网络的被攻击面。

&emsp;&emsp;一提到访问隧道，其标志性人物就是VPN技术，VPN技术发展至今已经成为十分成熟的远程访问技术了，但存在两点缺陷：① VPN提供的访问控制是十分粗粒度的，要么全都可以访问，要么都不能访问。② VPN只是一种远程控制技术，并不会帮助保护内部用户。

### 四、SDP工作方式

&emsp;&emsp;1.将所有服务置于“拒绝所有”的SDP网关后方

&emsp;&emsp;2.打开防火墙建立连接之前先认证设备上的用户

&emsp;&emsp;3.使用动态防火墙机制，当DDos攻击发生时允许SDP尽可能快的丢弃攻击数据包

&emsp;&emsp;4.SDP通过使目标服务器对未授权设备不可见来预防攻击

&emsp;&emsp;SDP要求端点在对被保护的服务器进行网络访问前首先进行认证和授权，然后，在端点和应用基础设施之间建立起实时的加密连接访问通路。

&emsp;&emsp;具体流程：

&emsp;&emsp;客户端在进行数据访问前，首先要通过控制平面和SDP控制器、应用服务器建立认证、**授权**通道，在认证通过并获得访问授权后，SDP控制器确定一个客户端可以被授权通信的**主机列表**，然后客户端才能在数据平面建立起与应用服务器之间的数据访问通道，允许正常访问的流量通过，因此这种访问控制模型天然具备抵御资源消耗性攻击（**DDos**）的特征。

&emsp;&emsp;通过将资源隐藏在SDP网关后面，所有希望发起访问的用户都要提供唯一ID、客户端证书和加密密钥，然后通过认证才能正常访问，理论上这是一种防御DDos攻击的有效手段。

&emsp;&emsp;缺点：对于以提供公共服务为主的用户来说，实现起来是有难度的，例如给所有公网用户发证书并不现实，实现成本将会非常高。

### 四、sdp部署方式

&emsp;&emsp;云安全联盟列出了以下四种SDP部署方式：

&emsp;&emsp;1. **客户端-网关方式**

在客户端-网关模型中，敏感资源在SDP连接接受主机（AH），也就是SDP服务端后面受到保护，这样AH就充当客户端和受保护服务器之间的网关。此模型可以在企业网络内执行，以减轻常见的横向移动攻击，中间人攻击等。或者此模型放置在Internet上时，资源与未授权的用户就被AH当作网关隔离开了，使得资源对未授权用户不可见，以减轻DDos攻击、SQL注入、XSS攻击、CSRF攻击等等。

&emsp;&emsp;2. **客户端-服务器方式**

客户端到服务器的实施在功能和优势上与客户端-网关模型类似。然而，在这种情况下，受保护的服务器将运行可接受连接主机（AH）的软件，而不是位于运行该软件的服务器前面的网关。客户端-网关模型的实施和客户端-服务器模型的实施之间的选择通常基于受保护的服务器数量、负载平衡方法、服务器的弹性以及其他类似的拓扑因素。

&emsp;&emsp;3. **服务器-服务器方式**

在服务器到服务器的实施模型中，可以保护提供代表性状态传输（REST: Representational State Transfer）服务、简单对象访问协议（SOAP）服务、远程过程调用（RPC）或 Internet 上任何类型的应用程序编程接口（API）的服务器，使其免受网络上所有未经授权的主机的攻击。例如，对于 REST 服务，启动 REST 调用的服务器将是 SDP 连接发起主机（IH），提供 REST 服务的服务器将是可以接受连接的主机（AH）。

为这个用例实施一个软件定义边界可以显著地减少这些服务的负载，并减轻许多类似于上面提到的攻击。这个概念可以用于任何服务器到服务器的通信。

&emsp;&emsp;4. **客户端-服务器-客户端方式**

客户端到服务器到客户端的实施在两个客户端之间产生对等关系，可以用于 IP 电话、聊天和视频会议等应用程序。在这些情况下，软件定义边界会混淆连接客户端的 IP 地址。作为一个微小的变化，如果用户也希望隐藏应用服务器，那么用户可以有一个客户端到客户端的配置