2022软件定义边界架构指南.docx

《2022软件定义边界架构指南.docx》由会员分享，可在线阅读，更多相关《2022软件定义边界架构指南.docx（36页珍藏版）》请在课桌文档上搜索。

1、软件定义边界（SDP）架构指南目录介绍7目的8受众目标8软件定义边界(SDP)简介9SDP安全优势9SDP商业优势10SDp主要功能11SDP潜在应用领域13SDP架构15【客户端-网关】16【客户端-服务器】17【服务器-服务器】18【客户端-服务器-客户端】18【客户端-网关-客户端】19【网关到网关】19SDP部署模式和相应的场景20SDP连接安全22单包授权22SP的好处22SPA的局限23SDP和访问控制23补充架构24FOITeSter的零信任模型24Google的BeyondCorp模型24软件定义边界SDP与您的企业26企业信息安全的元素27安全信息和事件管理(SIEM)28传

2、统防火墙29入侵检测和入侵防御系统(IDS/IPS)31虚拟专用网(VPNs)31下一代防火墙(NGFW)32身份及访问管理(IAM)32网络准入控制(NAC)解决方案3终端管理(EMMMDVUEM)33Web应用防火墙(IMF)33负载均衡34云访问安全代理(CASB)34基础设施即服务(IaaS)34软件即服务(SaaS)34平台即服务(PaaS)34治理、风险管理及合规(GRC)35公钥基础设施(PKD35软件定义网络(SDN)35无服务器计算模型35架构关注点35结论36附录2：SDP详解38介绍SDP方案结合了技术和架构组件，可以比传统的安全工具更高效、更有效地保护网络应用程序和基础

3、架构。当今的网络安全体系结构、工具和平台无法应对当前安全威胁带来的挑战。无论您是在阅读主流媒体的头条新闻，还是作为网络防御者进行日常工作，或者您是安全供应商，这些潜在安全威胁都可能会影响到您。各种来源的持续攻击会影响商业企业、政府组织、关键基础设施等。现在是时候让我们信息安全行业拥抱创新的网络安全工具，即软件定义边界（SDP）技术，将其应用于所有的网络层。SDP方案结合了技术和架构组件，已经证明可以比传统的安全工具更好地保护网络应用程序和基础架构。由云安全联盟CSA于2014年4月发布的“SDP规范1.0概述了SDP技术的基础知识：“SDP背后的原理并非全新。美国国防部（DoD）和美国情报体系

4、（IC）内的多个组织在网络访问之前已经实施了基于认证和授权的类似网络架构。通常用于机密或高端网络（由国防部定义），每台服务器隐藏在远程访问网关设备后面，用户必须先通过该设备身份验证，才能查看授权服务并进行访问。SDP利用分类网络中使用的逻辑模型，并将该模型纳入标准工作流程中。在获得对受保护服务器的网络访问之前，SDP要求端点进行身份验证并首先获得授权。然后在请求系统和应用程序基础架构之间实时创建加密连接。14”目的作为一个安全从业者和解决方案提供商组成的组织，我们对信息安全和网络安全充满热情。我们相信SDP是一个重要的创新解决方案，可以应对我们所有人面临的安全威胁。自“SDP规范1.0发布以来

5、，我们作为一个由软件供应商、系统、安全架构师和企业组成的工作组，已经构建并部署了许多符合这些准则的系统。同时，我们了解了很多关于SDP实现的知识特别是在缺乏原始规范的领域。通过本指南，我们将帮助企业和从业人员获取有关SDP的信息；展示其可提供的经济和技术效益；并帮助用户在其组织中成功实施SDPo如果实现以下目标，我们将认为此文档是成功的： 提高SDP的市场认知度、可信度和企业采用率 提高人们对SDP在不同环境中的应用的理解 提升企业使用SDP解决问题的动机 使用本文档向内部业务相关者介绍SDP 企业根据本白皮书中的体系结构建议成功部署SDP解决方案。受众目标本文中的信息将使考虑或正在组织机构中

6、实施SDP项目的安全性、体系结构和技术网络团队受益。主要受众包括从事信息安全、企业架构和安全合规角色的专业人员。这些人员主要负责SDP解决方案的评估、设计、部署和运营。此外，作为解决方案提供商、服务提供商和技术供应商的人员也将从本文提供的信息中获益。概述软件定义边界（SDP）简介SDP旨在利用基于标准且已验证的组件，如数据加密;、远程认证（主机对远程访问进行身份验证）、传输层安全（TLS,一种加密验证客户端信息的方法）、安全断言标记语言（SAML）,它依赖于加密和数字签名来保护特定的访问及通过X509证书公钥验证访问。将这些技术和其它基于标准的技术结合起来，确保SDP与企业现有安全系统可以集成

7、。自云安全联盟（CSA）首次发布软件定义边界（SDP）规范以来，CSA已经看到了SDP无论在知名度还是在企业的SDP创新应用方面都取得了巨大的增长。虽然传统的网络安全方法在所有行业中似乎都让IT和安全专业人员感到身心疲惫，但SDP技术使用和兴趣却在不断增加，例如： 五个在其重点领域取得了重大进展，包括用于IaaS的SDP、防DDOS攻击和汽车安全通信。M已经有多个供应商处提供多种商业SDP产品，并已在多个企业中被使用。 针对SDP的防DDOS用例实施了开源（参考15）O 已举办四个针对SDP的黑客松，并且攻破成功率保持为零。行业分析师报告已开始将SDP纳入研究和演ZjoSDP安全优势 SDP通

8、过最小化攻击面来降低安全风险。 SDP通过分离访问控制和数据信道来保护关键资产和基础架构，使其中的每一个都看起来是“黑”（不可见）的，从而阻止潜在的基于网络的攻击。 SDP提供了一个集成的安全体系结构，这个体系结构是现有安全产品（如NAC或反恶意软件）难以实现的。SDP集成了以下独立的架构元素：用户感知的应用程序客户端感知的设备网络感知的防火墙/网关 SDP提供了基于连接的安全架构而不是基于IP的替代方案，因为当今IP环境的爆炸式增长和云环境中的边界缺失使得基于IP的安全性变得脆弱。 SDP允许根据预先审查谁可以连接（从哪些设备、哪些服务、基础设施和其他参数）来控制所有连接。SDP商业优势SD

9、P提供了许多业务优势，我们在这里概述这些优势以供您快速参考。我们期待与SDP社区合作，在未来的出版物中对这些益处进行深入的定性和定量检验。业务领域实施SDP的优势使用SDP替换传统网络安全组件可降低采购和支持成本。使用SDP部署并实施安全策略可降低操作复杂性，并减少对传统安全工具的依节省成本及人力赖。SDP还可以通过减少或替换MPLS和租用线路利用率来降低成本，因为组织机构可以减少或消除对专用主干网的使用。SDP可以为组织机构带来效率和简便性，最终有助于减少人力需求。提高IT运维的灵活性IT流程可能会拖累业务流程。相比之下，SDP的实现可以由IT或IAM事件自动驱动。这些优势加快了IT的速度，

10、使其更快地响应业务和安全需求。GRC好处与传统方法相比，SDP降低了风险。SDP可以抑制威胁并减少攻击面，防止基于网络或者应用程序漏洞被利用的攻击。SDP可以提供并响应GRC系统（例如与SlEM集成），以简化系统和应用程序的合规性活动。通过集中控制从注册设备上的用户到特定应用程序/服务的连接，SDP可以改进合规性数据收集、报告和审计过程。合规范围增加及成本降低SDP可为在线业务提供额外的连接跟踪。SDP提供的网络微隔离经常用于减少合规范围，这可能会对合规报告工作产生重大影响。安全迁移上云通过降低所需安全架构的成本和复杂性，支持公有云、私有云、数据中心和混合环境中的应用程序，SDP可以帮助企业快

11、速、可控和安全地采用云架构。与其他选项相比，新应用程序可以更快地部署，且有更好的安全性。SDP使企业能够快速、安全地实施其优先任务。例如：SDP支持将呼叫中心从企业内部机构转换为在家办公的工作人员业务的敏捷性和创新 SDP支持将非核心业务功能外包给专业的第三方 SDP支持远程第三方网络和位置上用户自助服务的设备 SDP支持将公司资产部署到客户站点，与客户建立更强的集成并创造新的收入SDP主要功能SDP的设计至少包括五层安全性：（1）对设备进行身份认证和验证；（2）对用户进行身份验证和授权；（3）确保双向加密通信；（4）动态提供连接；（5）控制用户与服务之间的连接并且同时将这些连接隐藏。这些和其

12、他组件通常都包含在SDP实现中。信息/基础设施隐藏SDP架构组件减轻或减少安全威胁额外效益SDP组件（控制器、网关）在尝试访问的客户服务器“变黑”所有外部网络攻击和跨域攻击主机通过安全协议（如单包授权（SPA）进行身份验证授权之前，不会响应任何连接请求。带宽和服务器DoS攻击（但请注意，SDP应该通过ISP提供的面向Internet的服务通常位于拒绝所有SDP网减少拒绝服务（DoS）攻击关（充当网络防火墙）后面，因此能够抵御DoS攻击。SPA可以保护SDP网关免受DoS攻击。上游反DoS服务来增强。）从任何其他主机到接受主机（AH）的第一个检测错误包快速检测所有外部网络和跨域攻数据包是SPA数

13、据包（或类似的安全构造）。击。如果AH收到任何其他数据包，则将其视为攻击。双向加密的连接SDP架构组件减轻或减少安全威胁额外效益验证用户和设备身份来自未授权用户和设备的连接所有主机之间的连接必须使用相互身份验证来验证设备和用户是否是SDP的授权成员。不允许伪造证书针对身份被盗的攻击相互身份验证方案将证书固定到由SDP管理的已知且受信任的有效根目录。不允许中间人攻击中间人攻击相互握手技术可以防止在撤销服务器证书之利用在线证书状态协议（OCSP）响应的中间人攻击。“需知（NEEDTOKNOW）”访问模型SDP架构组件缓解或降低的安全威胁额外效益取证简化恶意数据包和恶意连接对所有恶意数据包进行分析和

14、跟踪，以便进行取证行动。细粒度访问控制来自未知设备的外部用户的数据窃取只允许授权用户和设备与服务器建立连接。设备认证来自未授权设备的威胁；证书窃取密匙被证实由请求连接的适当合法设备持有。保护系统免受己被入侵设备的攻击来自被入侵设备的“内网漫游”的威胁用户只能访问授权的应用程序（而非整个网络）,动态访问控制SDP架构组件缓解或降低的安全威胁额外效益动态的、基于会员认证体系的安全隔离区基于网络的攻击通过动态创建和删除访问规则（出站和入站）来启用对受保护资源的访问。应用层访问SDP架构组件缓解或降低的安全威胁额外效益取消广域网接入工方曹St始如亚白田内设备只能访问策略允许的特定主机和服务,不能越权访

15、问网段和子的端口和漏洞扫描阴应用程序和服务访问控制由工壮*SDP控制允许哪些设备和应用程序可访问特定服务,例如应用程接到资源序和系统服务。SDP潜在应用领域因为SDP是一种安全架构，所以它能够很好提供多种不同级别的安全，无法简单把它归类到现有的安全常见类别。下表列出了部分可由SDP实施保护的几种场景。网络场景现有技术的局限性SDP优势基于身份的网络访问控制传统的网络解决方案仅提供粗粒度的网络隔离，并且以IP地址为导向。即使SDN这样的新平台，企业仍然难以及时实现以身份为中心且精确的用户访问控制。SDP允许创建与组织相关的以身份为中心的访问控制，且访问控制是在网络层实施。例如，SDP支持仅允许财

16、务用户只能在公司允许的受控设备上通过Web访问财务管理系统。SDP还允许只有IT用户才能安全地访问IT系统（SSH）o网络微隔离通过传统的网络安全工具，使用微隔离服务来提高网络安全性，是一种劳动密集型工作。SDP能够实现基于用户自定义控制的网络微隔离。通过SDP可以自动控制对特定服务的网络访问，从而消除了手动配置。安全的远程访问（VPN替代）VPN为用户提供安全的远程访问，但范围和功能有限。这种方式不保护本地用户，并且通常仅提供粗粒度访问控制（访问整个网段或子网）。这种安全和遵从风险通常违反最小权限原则。SDP可以保护远程用户和本地用户。公司组织可以使用SDP作为整体解决方案，摒弃VPN解决方

17、案。而且，SDP解决方案还专为细粒度访问控制而设计。用户无法访问所有未经授权的资源，这符合最小权限原则。第三方用户访问安全团队通常尝试通过VPN,NAC和VLAN的组合来控制第三方访问。这些解决方案通常是孤岛式的，无法在复杂环境中提供细粒度或全面的访问控制。保护第三方访问权限使企业能够进行创新和适应。例如，用户可以从公司办公过渡到家庭办公以降低成本或者有时可以远程工作，而且某些功能可以安全地外包给第三方专家。SDP可以轻松控制和保护第三方用户的本地访问。特权用户访问安全特权用户（通常是管理员）访问通常需要更高的安全性、监控和合规性监督。一般特权访问管理（PAM）解决方案通过凭证加密存储来管理访

18、问，但是该凭证加密存储不提供网络安全性、远程访问或敏感对特权服务的访问可以限制为授权用户，并在网络层受到保护，并且可以向未经授权的用户隐藏特权服务，从而限制攻击范围。SDP确保只有在满足特定条件时（例如，在定义的维护窗口期或仅从特定设备）才允许访问，然后可以记录访问日志以进行合规性报告。内容访问。可以通过集成用户/身份感知，网络感知和设备高价值应用的安全访问目前，对具有敏感数据的高价值应用程序提供细粒度授权可能需要对多个功能层进行更杂且耗时的更改。（例如：应用程序、数据外部访问O）感知在不暴露完整的网络的情况下限制对应用程序的访问;并依靠应用程序或应用程序网关进行访问控制。SDP还可以促进应用

19、程序升级，测试和部署，并为DevOpsCl/CD提供所需的安全框架。网络场景现有技术的局限性SDP优势托管服务器的访问安全在托管安全服务提供商（MSSP）和大型IT环境中，管理员可能需要定期对在重叠IP地址范围的网络上对托管服务器进行网络访问。这一点通过传统的网络和安全工具很难实现，并且要求繁琐的合规性报告。可以通过业务流程来控制对托管服务器的访问。SDP可以覆盖复杂的网络拓扑、简化访问，同时记录用户活动以满足合规性要求简化网络集成要求组织定期快速集成之前不同的网络，例如，在并购或灾难恢复方案中借助SDP,网络可以快速无中断地互连，而无需进行大规模更改安全迁移到IaaS云环境采用基础架构即服务

20、（IaaS）的组织急剧增加，但许多安全性问题仍待解决。例如，IaaS访问控制可能与企业原有的访问控制无法衔接，范围仅限于云提供商环境内部。SDP方案改进了IaaS安全性。不仅将应用程序隐藏在默认防火墙之外，还会对流量进行加密，并且可以跨异构企业定义用户访问策略。请参考SDP在IaaS中的应用白皮书。强化身份认证方案对已有的应用程序在安全性和合规性上可能需要额外的2FA。但这在非网络应用和不易更改的程序上是很难实现的。SDP需要在对特定应用程序授予访问权限之前添加2FAo并通过部署多因素身份验证（MFA）系统来改善用户体验，并可以添加MFA以增强遗留应用程序的安全性。简化企业合规性控制和报告合规

21、性报告需要IT团队付出极其耗时且成本高昂的工作。SDP降低了合规范围（通过微隔离），并自动执行合规性报告任务（通过以身份为中心的日志记录和访问报告）.防御DDoS攻击传统的远程访问解决方案将主机和端口暴露在Internet,并受到DDoS攻击。所有的完整的数据包都被丢弃，而且低带宽DDoS攻击绕过了传统的DDOS安全控制。SDP可以（让服务器）对未经授权的用户不可见，并通过使用default-drop防火墙，只允许合法的数据包通过。4具体来说，我们正在讨论用于远程企业用户访问的VPN,而不是站点到站点VPN或消费者VPN方案。5在Gartner于2016年9月30日发表的一篇论文中，作者写道：

22、”到2021年，60%的企业将逐步淘汰数字商业通信的网络VPN,转而采用软件定义边界，而2016年不到1%”。软件定义边界架构指南SDP架构SDP架构的主要组件包括客户端/【发起主机 （IH）】，服务端/【接受主机（AH）和【SDP控 制器】，AH和IH都会连接到这些控制器。SDP 机】可以启动连接（发起主机或IH）,也可以接受连 接（接受主机或AH）。IH和AH之间的连接是通过 【SDP控制器】与安全控制信道的交互来管理的。该 结构使得控制层能够与数据层保持分离，以便实现完 全可扩展的安全系统。此外，所有组件都可以是冗余 的，用于扩容或提高稳定运行时间。通过遵循此处概 述的工作流程，可以使用

23、图1中概述的技术来保护这 三个组件之间的连接。工作原理IH上的【SDP客户端软件】启动与SDP的连接。包括笔记本电脑、平板电脑和智能手机在内的IH设 备面向用户，也就是说SDP软件在设备自身上运行。 网络可以是在部署SDP的企业的控制之外。AH设备接受来自小的连接，并提供由SDP安全保护 的一组服务。AH通常驻留在企业控制下的网络（和/ 或直接的代表）。SDP网关为授权用户和设备提供对受保护程序和服务 的访问。网关还可以对这些连接进行监视、记录和报 告。IH和AH设备连接到SDP控制器】，SDP控制器】 可以是一种设备或程序，它确保用户是经过身份验证 和授权、设备经过验证、通信是安全建立的、网

24、络中 的用户流量和管理流量是独立的，来确保对隔离服务 的安全访问。AH和控制器使用单包授权（SPA）进行保护，这样让 未授权的用户和设备无法感知或访问。第21页描述 了单包授权（SPA）的参考实现。3.到控制图的双 向TLSSDP架构SDP控制第 1,控看上线 4.授权接受主机列表 , 定的6.收到接受主 机的IP清单a。5.允许来自于发起主机的通信数据通道图1： SDP架构（已经在SDP标准规范1.0中发布）SDP的安全性遵循以下特定各步骤的工作流程：1 .在SDP中添加并激活一个或多个【SDP控制 器】并连接到身份验证和授权服务，例如AM、 PKl服务、设备验证、地理位置、SAML、 Op

25、enlD OAuth LDAP、Kerberos多因子身 份验证、身份联盟和其他类似的服务。2 .在SDP中添加并激活一个或多个AFL它们以 安全的方式连接控制器并进行验证。AH不响 应来自任何其他主机的通信，也不会响应任 何未许可的请求。3 .每个IH会在SDP中添加和激活，并与【SDP 控制器】连接并进行身份验证。4. IH被验证之后，SDP控制器】确定IH被授 权可以连接的AH列表。5. 【SDP控制器】指示AH接受来自IH的通信， 并启动加密通信所需的任何可选策略。6. 【SDP控制器】为IH提供AH列表，以及加 密通信所需的任何可选策略。7. IH向每个授权的AH发起SPA。然后IH

26、和这 些AH创建双向加密连接（例如，双向验证 TLS 或 mTLS） o8. IH通过AH并使用双向加密的数据信道与目标 系统通信。（注意：上一页的图1中未描述 步骤8） oSDP部署模型CSA的SDP标准规范1.0中定义了以下几种在组织机构中部署SDP的可能架构：客户端-网关服务器-服务器客户端-网关-客户端客户端服务器客户端服务器客户端网关-网关【客户端.网关】当一个或多个服务器必须在网关后面受到保护时，无论底层网络拓扑如何，客户端/IH和网关之间的连接都是安全的。网关既可以位于同一位置，也可以跨国的分布。在这个部署模式下，客户端/IH通过mTLS隧道直接连接到网关，并在网关终结mTLS隧

27、道。如果要确保与服务器的连接是安全的，必须采取其他预防措施。【SDP控制器】可以位于云中或受保护服务器附近，因此控制器和服务器使用相同的SDP网关。客户端-同关模型SDP控制1.步9:1.注IB2请求3.连模图2：【客户端-网关】模型：一个或者多个服务/被网关保护既回SDP客户，在图2中，（在一个或多个环境中的）服务器作为AH在SDP网关后受到保护。要确保穿过网关的服务器的连接安全性，服务器所处的环境应由运行SDP的组织控制。网关和控制器被SPA和采用“缺省丢弃（defaultdrop）策略防火墙所保护，除非通信来自于正常的客户端/IH,服务器是不可访问的。因此，服务器对于非授权用户和潜在的攻

28、击者而言，这些服务器是不可见且不可访问的。受保护的服务器是无法访问的，除了来自正常的客户端/IH,并且网关和控制器使用带有默认防火墙的SPA进行保护，因此它们是黑暗的”并且对于未经授权的用户和潜在的攻击者是不可访问的。受保护的服务器可以包含在SDP中，而无需对服务器进行任何更改。但是，它们所在的网络需要配置为仅允许从网关到受保护服务器的入站连接，这将防止未经授权的客户端绕过网关。这种部署模式下，因为可以在SDP网关和受保护服务器之间部署安全组件，从而保留了组织机构使用其现有网络安全组件（如IDS/IPS）的能力。从连接客户端到网关的流量从mTLS隧道中流出之后，可以进流量监控。客户端/IH既可

29、以是终端设备，也可以是服务器。（参考第16页的【服务器服务器】模型）【客户端-网关】模型适用于将其应用程序迁移到云的组织。无论服务器环境位于何处（云、本地或附近），组织机构都希望必须确保网关和应用程序之间的数据安全。此模型还适用于保护本地遗留应用程序，因为IH不需要进行任何更改。【客户端服务器】当组织机构将应用程序移动到IaaS环境并提供程序端到端地保护连接时，此模型将服务器和网关组合在一个主机中。客户端/IH可以位于与服务器相同的位置，也可以是分布式的。在任何一种情况下，客户端/IH和服务器之间的连接都是端到端的。该模型为组织提供了极大的灵活性，因为“服务器-网关组合可以根据需要在多个Iaa

30、S提供商之间移动。此模型也适用于保护无法升级的本地遗留应用程序。在此模型中，客户端/IH通过mTLS隧道直接连接到安全服务器，并终结于安全服务器。SDP控制器可以位于服务器上（因此控制器和服务器使用相同的网关）或者位于云中。图3：【客户端服务器】模型：服务器上直接运行网关软件服务器受SDP网关保护（作为AH）o通过网关连接到服务器（在服务器环境中）的安全连接可以在服务器上的应用程序/服务的所有者控制下，使所有者完全控制这些连接。因为网关和控制器通过使用默认丢弃（defaultdrop）策略的防火墙以及SPA进行保护，因此除了来自被允许的客户端/IH的请求之外，受保护的服务器是不可访问的。这意味

31、着服务器对于内部、外部攻击者以及未经授权的用户是无法访问的，这可以提供对内部威胁的卓越保护。使用此模型，受保护的服务器将需要配备网关。服务器所在的网络不需要配置为限制到受保护服务器的入站连接。这些服务器上的网关（执行点）使用SPA来防止未经授权的连接。此模型可以更轻松地使用现有的网络安全组件，例如IDS/IPS或SIEM。可以通过分析来自SDP网关/受保护服务器的丢弃数据包来监控流量，从而保留客户端/IH与服务器之间的mTLS连接。（另请注意，客户端/IH虽然描述为用户设备，但它本身可能是服务器。在这种情况下，请参阅下面的服务器到服务器模型。）【客户端-服务器】模型非常适合将应用程序迁移到云的

32、组织。无论服务器环境位于何处（云或本地），组织都可以完全控制与云中应用程序的连接。【服务器-服务器】此模型最适合物联网（IoT）和虚拟机（VM）环境，并确保服务器之间的所有连接都加密，无论底层网络或IP基础结构如何。服务器到服务器模型还确保组织的SDP白名单策略明确允许通信。跨不受信任的网络的服务器之间的通信是安全的，并且服务器使用轻量级SPA协议保持对所有未授权连接保持隐藏。此模型类似于上一页中的客户端到服务器模型，除了IH本身是服务器，并且还可以充当SDPAHo与【客户端-服务器】模型一样，【服务器-服务器】模型要求在每个服务器上安装SDP网关或类似的轻量级技术,并使得所有【服务器服务器】

33、的流量相对整个环境中其他元素而言不可见。基于网络的IDS/IPS需要配置从SDP网关而不是从外部获取数据包。此外，组织可能依赖基于主机的IDS/IPSo务8多谷筷二m声E1.注青2/双/3名学图示4：【服务器-服务器】模型：任何通信包括了APl调用和系统服务SDP控制器可以位于服务器上，以便控制器和服务器使用相同的SDP网关。【SDP控制器】也可以保留在云端。服务器在作为AH的SDP网关后面而受到保护。通过网关的服务器（在服务器环境中）的安全连接默认由服务器上的应用程序/服务的所有者控制，这使得所有者可以完全控制这些连接。受保护的服务器除了来自其他白名单服务器外是不可访问的，网关和控制器由SP

34、A通过防火墙“默认丢弃”（default-drop）模式进行保护，因此服务器是不可见的（Dark）,攻击者和未经授权的用户（内部和外部）无法访问这些服务器，从而提供了额外的保护免受内部威胁。使用此模式，受保护的服务器将需要配备网关或轻量级SPA协议。受保护的服务器所在的网络不需要配置为限制inbound（流量）连接。这些服务器上的网关（执行点）利用SPA协议防止内部和外部未经授权的连接。该模式使应用IDS/IPS和SIEMs等网络安全组件变得更加容易。可以通过分析来自SDP网关/受保护服务器的所有丢弃包来监控流量，从而保持受保护服务器之间的mTLS连接。该模式非常适合所有组织将物联网和VM环境

35、迁移到云上的环境。无论服务器环境位于何处（云环境还是本地环境），企业组织都可以完全控制到云环境的连接。【客户端服务器客户端】在某些情况下，点对点通信通过中介服务器，例如IP电话、聊天和视频会议服务。在这些情况下，SDP连接客户端的IP地址，组件连接通过加密网络，并通过SPA保护服务器/AH免受未经授权的网络连接。客户端到服务器到客户端模型控制器环境/ 步骤：1.注册2.请求3.连接这将导致客户机之间的逻辑连接（每个客户机都充当IH、AH或两者的角色，具体取决于应用程序协议）。注意，应用程序协议将决定客户端如何进行彼此连接，SDP网关充当它们之间的防火墙。未来将发布更多的关于这个模式的信息。【网

36、关到网关】网关到网关模式没有包含在SDP规范1.0的初始发布中。该模式非常适合于某些物联网环境。在此场景中，一个或多个服务器位于AH后面，因此AH充当客户端和服务器之间的网关。与此同时，一个或多个客户端位于IH后面，因此IH也充当网关。图7:网关到网关模式:一个或多个服务器或客户端在网关后面受到保护在这个模型中，客户端设备不运行SDP软件。这些设备可能包括那些不需要或不可能安装SDP客户机的设备，例如打印机、扫描仪、传感器和物联网设备。在这个模型中，网关作为防火墙，也可能作为路由器或代理，具体取决于实现部署方式。特权用户访问安全YNYYNSDP部署模式和相应的场景F表显示了哪些部署模式可以对应

37、到哪些SDP场景。每种类型的部署都需要保护不同的连接。网络场景客户端到网关客户端到服务器服务器到服务器客户端到服务器到客户端客户端到网关到客户端网关到网关基于身份的网络访问控制YY根据需要保护的连接，SDP支持对所有场景的第三方访问。第三方可能是远程或现场，也可以有一个独立的身份提供程序对其进行身份验证。 SDP模式为，提供保护连接从第三方应用对内部应用程序的访问，第三方应用程序作为客户端。YYYY*所有的SDP模式都支持身份驱动的网络访问控制。* 此模式提供到网络和服务的安全连接。* *此模式为，SDP识别设备的程度取决于特定的SDP实现执行设备识别和验证的方式。例如,MAC地址提供的身份验

38、证比802.1x更弱。网络微隔离Y*Y*Y*YYY所有的SDP模式都通过保护单个连接来提供网络微隔离。* 此模式通过保护客户端和网关之间的连接来提供微隔离，但不提供到网关后面服务器的微分隔连接。* *该模式通过保护到服务器的所有连接来提供网络微隔离。此外，承载网关的服务器是隐藏的。* *该模式通过保护到指定服务器的所有连接来提供网络微隔离。止匕外，承载网关的服务器是隐藏的。安全远程访问（VPN替代）SDP是传统VPN的替代品。在所有情况下，控制器和网关/AH必须能够被远程设备访问他们可以使用SPA启动连接。第三方用户访问YYY，丫SDP保护来自客户端特权用户的访问连接。通常，特权用户访问指的是

39、访问服务器的客户机（身份或权限），但可以应用于所有模式，具体取决于所涉及的应用程序。高价值应用的安全访除了网关到网关模式以外，所有保护模式都提供特定的方式来进行高价值应用程序的访问保护。托管服务器的访问安人YY*YYNY此场景用于服务提供者访问托管服务器。服务器可以完全由网关隐藏，或者在托管服务环境中，只有管理界面由网关隐藏。* 在该模型中，SDP网关软件部署在服务器上。服务器被隐藏，MSSP/托管服务被检测和控制服务进行连接。简化网络集成YY*Y*YYY所有SDP部署模式都支持此场景，不同模式有不同的安全连接。* 对于这些模式，另一个优点是服务器上的服务可以通过网关隐藏。安全迁移到IaaS云

40、这个场景涉及到将服务从本地迁移到云。强化身份验证方案YYY*YYY所有SDP模式都提供增强身份验证的能力，通常通过多因素/逐步验证。* 此模式下没有用户，无法提示输入一次性密码。但是，它可以支持多因素身份验证，比如使用PKI或基于服务器的HSMo身份管理系统可以（也应该）用于系统或设备，而不仅仅是用户。简化企业合规性控制和报告YYYYYY所有SDP模式都通过集成控制方式帮助企业简化合规性。防御DDoS攻击YYYYYY因为所有的SDP模型都在网关中使用SPA,它们提高了组织对DDoS攻击的弹性。在这种情况下,我们不使用拒绝网关服务，与内部托管服务相比，面向互联网的服务更频繁的受到DDOS攻击。S

41、DP连接安全SDP架构提供的协议在网络栈所有层都对连接提供保护。图8描述了被各种SDP部署模式保护的连接。通过在关键位置部署网关和控制器，实施人员能够专注于保护对组织最关键的连接，并保护这些连接免受网络攻击和跨域攻击。单包授权SDP技术最关键的组成部分之一是要求并强制实施“先认证后连接”模型，该模型弥补了TCP/IP开放且不安全性质的不足。SDP通过单包授权(SPA)实现这一点。SPA是一种轻量级安全协议，在允许访问控制器或网关等相关系统组件所在的网络之前先检查设备或用户身份。包括请求方的IP地址等在内的连接请求的信息，在单一的网络消息中被加密和认证。SPA的目的是允许服务被防火墙隐藏起来并被

42、默认丢弃。该防火墙系统应该丢弃所有TCP和UDP数据包，不回复那些连接尝试，从而不为潜在的攻击者提供任何关于该端口是否正被监听的信息。在认证和授权后，用户被允许访问该服务。SPA对于SDP不可或缺，用于在客户端和控制器、网关和控制器、客户端和网关等之间的连接中通信。尽管各种SPA的实现可能有轻微差别，这些实现都应该能满足以下原则：1 .数据包必须被加密和认证2 .数据包必须自行包含所有必要的信息：单独的数据包头不被信任3 .生成和发送数据包必须不依赖于管理员或底层访问权限；不允许篡改原始数据包4 .服务器必须尽可能无声地接收和处理数据包；不发送回应或确认SPA的好处客户耀网关模式国国mTLSi

43、(MSOPfilF)7X(XStS)客户然-留务器模式4晕图8：被各种SDP部署模式保护的连接SPA在SDP中起很大作用。SDP的目标之一是克服TCP/IP开放和不安全的基本特性。TCP/IP的这个特性允许“先连接后认证”。鉴于今天的网络安全威胁形势，允许恶意行为人员扫描并连接到我们的企业系统是不可被接受的。与SDP组合的SPA通过两种方式应对这个弱点。使用SDP架构的应用被隐藏在SDP网关/AH后面，从而只有被授权的用户才能访问。另外，SDP组件自身，如控制器和网关也被SPA保护。这允许它们被安全地面向互联网部署，确保合法用户可以高效可靠地访问，而未授权用户则看不到这些服务。SPA提供的关键好处是服务隐藏。防火墙的Defaultdrop(默认丢弃)规则缓解r端口扫描和相关侦查技术带来的威胁。这种防火墙使得SPA组件对未授权用户不可见，显著减小了整个SDP的攻击面。相比与VPN的开放端口以及在很多实现中都存在的已知弱点，SPA更安全。SPA相对于其他类似技术的另一个优势是零日亿ero-day）保护。当一个漏洞被发现时，如果只有被认证的用户才能够访问受影响的服务，使该漏洞的破坏性显著减小。SPA也可以抵御分布式拒绝服务（DDOS）攻击。如果一个HTTPS服务暴