传统的IT安全方法一直是建立隔离墙，核心数据和应用程序已存储在数据中心中，并受到包括防火墙和其他过滤器的安全边界的保护。例如，应用中，在企业内部部署基于外围的虚拟专用网络(VPN)，为员工和承包商提供对企业网络的访问，是典型的使用场景，也是由来已久的远程访问机制。但是，登录后，VPN用户可以广泛访问公网资源。这种围绕“全有或全无”原则的方法使敏感信息处于潜在风险中。这种警告引起了人们对软件定义边界(SDP)的日益增长的兴趣。这些解决方案在授予对特定网络区域和应用程序(而非整个网络)的访问权限之前，基于预定义的策略执行用户身份验证和授权。

一方面，今年全球疫情严重，远程办公的员工数量逐渐增加;另一方面，网络入侵造成的损害如此之大，以至于基于边界防护的远程访问模式暴漏出的弊端愈发明显。在这种情况下，众多企业开始考虑SDP的远程内网接入解决方案。那对于SDP的主要功能及应用场景又有哪些?这些在《软件定义边界架构指南》一书中都有体现，而且，自去年发布以来，一直备受欢迎。小编决定，免费发送电子版白皮书，扫描下方二维码，小编将统一发给大家。

本书的内容架构如下：

SDP架构

SDP 架 构 的 主 要 组 件 包 括 客 户 端/【 发 起 主 机 (IH)】，服务端/【接受主机(AH)】和【SDP 控 制器】，AH 和 IH 都会连接到这些控制器。【SDP 主 机】可以启动连接(发起主机或 IH)，也可以接受连 接(接受主机或 AH)。IH 和 AH 之间的连接是通过【SDP 控制器】与安全控制信道的交互来管理的。该 结构使得控制层能够与数据层保持分离，以便实现完 全可扩展的安全系统。此外，所有组件都可以是冗余 的，用于扩容或提高稳定运行时间。通过遵循此处概 述的工作流程，可以使用图 1 中概述的技术来保护这三个组件之间的连接。

IH上的【SDP 客户端软件】启动与 SDP 的连接。包括笔记本电脑、平板电脑和智能手机在内的 IH 设备面向用户，也就是说 SDP 软件在设备自身上运行。网络可以是在部署 SDP 的企业的控制之外。AH 设备接受来自 IH 的连接，并提供由 SDP 安全保护的一组服务。AH 通常驻留在企业控制下的网络(和/或直接的代表)。SDP 网关为授权用户和设备提供对受保护程序和服务的访问。网关还可以对这些连接进行监视、记录和报告。IH 和 AH 设备连接到【SDP 控制器】，【SDP 控制器】可以是一种设备或程序，它确保用户是经过身份验证和授权、设备经过验证、通信是安全建立的、网络中的用户流量和管理流量是独立的，来确保对隔离服务的安全访问。AH 和控制器使用单包授权(SPA)进行保护，这样让 未授权的用户和设备无法感知或访问。

SDP安全优势

SDP的安全优势有以下几项：

SDP的主要功能

SDP的设计至少包括五层安全性：

(1)对设备进行身份认证和验证;

(2)对用户进行身份验证和授权;

(3)确保双向加密通信;

(4)动态提供连接;

(5)控制用户与服务之间的连接并且同时将这些连接隐藏。这些和其他组件通常都包含在 SDP 实现中。SDP的主要功能包括五大方面：

信息/ 基础设施隐藏

双向加密的连接

“需知(NEED TO KNOW )”访问模型

动态访问控制

1. 动态的、基于会员认证体系的安全隔离区，缓解或降低基于网络的攻击。

应用层访问

SDP的潜在应用领域

因为SDP是一种安全架构，所以它能够很好提供多种不同级别的安全，无法简单把它归类到现有的安全常见类别。SDP的潜在应用领域包括：

基于身份的网络访问控制。SDP允许创建与组织相关的以身份为中心的访问控制，且访问控制是在网络层实施。例如，SDP支持仅允许财务用户只能在公司允许的受控设备上通过Web访问财务管理系统。SDP还允许只有IT用户才能安全地访问IT系统(SSH)。

网络微隔离。SDP 能够实现基于用户自定义控制的网络微隔离。通过SDP可以自动控制对特定服务的网络访问，从而消除了手动配置。

安全的远程访问(VPN替代)。SDP 可以保护远程用户和本地用户。公司组织可以使用 SDP作为整体解决方案，摒弃VPN 解决方案。而且，SDP解决方案还专为细粒度访问控制而设计。用户无法访问所有未经授权的资源，这符合最小权限原则。

第三方用户访问。保护第三方访问权限使企业能够进行创新和适应。例如，用户可以从公司办公过渡到家庭办公以降低成本或者有时可以远程工作，而且某些功能可以安全地外包给第三方专家。SDP 可以轻松控制和保护第三方用户的本地访问。

特权用户访问安全。对特权服务的访问可以限制为授权用户，并在网络层受到保护，并且可以向未经授权的用户隐藏特权服务，从而限制攻击范围。SDP 确保只有在满足特定条件时(例如，在定义的维护窗口期或仅从特定设备)才允许访问，然后可以记录访问日志以进行合规性报告。

高价值应用的安全访问。可以通过集成用户/身份感知，网络感知和设备感知在不暴露完整的网络的情况下限制对应用程序的访问;并依靠应用程序或应用程序网关进行访问控制。SDP还可以促进应用程序升级，测试和部署，并为 DevOps CI / CD 提供所需的安全框架。

托管服务器的访问安全。可以通过业务流程来控制对托管服务器的访问。SDP 可以覆盖复杂的网络拓扑、简化访问，同时记录用户活动以满足合规性要求。

简化网络集成。借助 SDP，网络可以快速无中断地互连，而无需进行大规模更改。

安全迁移到IaaS云环境。SDP 方案改进了IaaS 安全性。不仅将应用程序隐藏在默认防火墙之外，还会对流量进行加密，并且可以跨异构企业定义用户访问策略。请参考《SDP 在 IaaS 中的应用》白皮书(可扫码二维码免费领取)。

强化身份认证方案。SDP 需要在对特定应用程序授予访问权限之前添加 2FA。并通过部署多因素身份验证(MFA)系统来改善用户体验，并可以添加MFA 以增强遗留应用程序的安全性。

简化企业合规性控制和报告。SDP 降低了合规范围(通过微隔离)，并自动执行合规性报告任务(通过以身份为中心的日志记录和访问报告)。

防御 DDoS 攻击。SDP 可以(让服务器)对未经授权的用户不可见，并通过使用 default-drop 防火墙，只允许合法的数据包通过。

 以上是针对SDP的架构及功能应用进行的分解，让我们清楚的认识到SDP能够为组织机构的安全专业人员提供他们寻求的工具，为稳健的企业开发、操作、安全提供健壮的、可适应的、可管理的基础架构。

更多内容，在《软件定义边界架构指南》一书中，扫描以下二维码，填写信息，免费领取。