理解SDP软件定义边界--概念、架构、流程

本文主要是介绍理解SDP软件定义边界--概念、架构、流程，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

目前，虚拟专用网络（VPN）是很多公司远程访问的解决方案之一。但是，VPN用户一旦获得授权就可以广泛访问公司网络上的资源。这种广泛访问的方法使潜在的敏感资源和信息暴露给VPN用户和攻击者。因此，围绕软件定义的边界解决方案（SDP）成为安全远程访问的一个更具吸引力的替代方案。

1. SDP简介

虚拟专用网 (VPN) 面世二十多年，为我们提供了加密的安全通信信道与数据传输渠道。虽然 VPN 类型很多，比如常见的 SSL VPN 和 IPSec，但无论实现方式如何，其基本理念都是一样的：创建安全 IP 传输隧道，以加密访问的方式保障数据安全。

构建并部署 VPN 的基本前提就是存在企业边界，表面上受到 IDS/IPS 和防火墙等边界安全设备保护。远程用户或商业合作伙伴可通过 VPN 隧道穿透企业网络边界，访问企业内部资源，即使不在企业内部也能享有本地访问权限。

然而，现代 IT 企业的现实是边界已不复存在，员工、承包商和合作伙伴遍布全世界，在本地、远程和云端完成作业。这就是促使 SDP 诞生的环境及其将要解决的问题。

软件定义边界 (SDP) 的概念相对较新，出现于 2013 年，最初受云安全联盟 (CSA) 指导。SDP 模型没有默认信任假设，不会因为采用了传输层安全 (TLS) 就认为加密隧道是安全的，所以很多供应商在与 SDP 相关的产品上采用了 “零信任” 这一术语。

SDP的安全模型融合了设备身份验证、基于身份的访问和动态配置连接三大组件，虽然SDP中的安全组件都很常见，但这三者的集成却是相当创新的。

SDP架构主要包括三大组件：

SDP主机可以发起连接也可以接受连接，IH和AH会直接连接到SDP控制器，通过控制器与安全控制信道的交互来管理。该结构使得控制层能够与数据层保持分离，以便实现完全可扩展的安全系统。

在 SDP 中添加并激活一个或多个【SDP 控制器】并连接到身份验证和授权服务，例如 AM、 PKI 服务、设备验证、地理位置、SAML、 OpenID、OAuth、LDAP、Kerberos、多因子身份验证、身份联盟和其他类似的服务。
在 SDP 中添加并激活一个或多个 AH。它们以安全的方式连接控制器并进行验证。 AH不响应来自任何其他主机的通信，也不会响应任何未许可的请求。
每个 IH 会在 SDP 中添加和激活，并与【SDP 控制器】连接并进行身份验证。
IH 被验证之后，【SDP 控制器】确定 IH 被授权可以连接的 AH 列表。
【SDP 控制器】指示 AH 接受来自 IH 的通信，并启动加密通信所需的任何可选策略。
【SDP 控制器】为 IH 提供 AH 列表，以及加密通信所需的任何可选策略。
IH 向每个授权的 AH 发起 SPA（SPA，单包授权，使未授权的用户和设备无法感知或访问）。然后 IH 和这些 AH 创建双向加密连接(例如，双向验证 TLS 或 mTLS)。
IH 通过 AH 并使用双向加密的数据信道与目标系统通信。