零信任三大技術之SDP

sdp概述

sdp software defined perimeter（軟體定義邊界），2013 年由雲安全聯盟 csa提出。

sdp設計基本原則

2、預認證：在連線伺服器之前，先認證使用者和裝置的合法性

3、預授權：使用者只能看到被授權訪問的應用（最小許可權原則）

4、應用級的訪問准入：使用者只有應用層的訪問許可權，無網路級的准入

5、擴充套件性：基於標準協議，可以方便與其他安全系統整合

sdp三大元件

sdp控制器：sdp的大腦，主要進行主機認證和策略下發，還可以用於認證和授權sdp連線發起主機、配置到sdp連線接受主機的連線。

sdp連線發起主機：終端使用者裝置或者可以被稱為sdp客戶端

sdp連線接受主機：sdp閘道器或者邊界

注：為了文章可讀以及比較容易理解，後面的sdp連線發起主機（ih）我將採用sdp客戶端來代替，使用sdp閘道器來代替sdp連線接受主機（ah）

1、sdp 控制器確定哪些sdp客戶端和sdp閘道器可以相互通訊。sdp控制器可以將資訊中繼到外部認證服務，例如認證地理位置和/或身份伺服器。

2、sdp客戶端與sdp控制器通訊用來請求它們可以連線哪些sdp閘道器列表。在提供資訊之前sdp控制器可以向 sdp客戶端請求硬體或軟體之類的資訊。

3、預設情況下sdp閘道器拒絕來自sdp控制器以外的所有主機的所有通訊。只有在sdp控制器下發指令後，sdp閘道器才接受來自sdp客戶端的連線。

sdp主要功能

基礎設施隱藏：終端使用者裝置在通過身份驗證授權之前，sdp控制器和sdp閘道器不會響應任何連線請求。

減少dos攻擊：面向網際網路的服務都處於sdp閘道器的後面，可以抵擋dos攻擊，spa可以保護sdp閘道器免受dos攻擊。

檢測錯誤包：從任何其他主機到sdp客戶端的第乙個資料報是spa 資料報（或類似的安全構造)。如果sdp閘道器收到任何其他資料報，則將其視為攻擊。

防止越權訪問網路：裝置只能訪問策略允許的特定主機和服務，不能越權訪問網段和子網。

應用程式和服務訪問控制：sdp 控制允許哪些裝置和應用程式可訪問特定服務例如應用程式和系統服務。

注：spa：單包授權，使未授權的使用者和裝置無法感知或訪問。

sdp架構圖

sdp工作流程

1、乙個或多個 sdp 控制器上線並連線到身份驗證和授權服務，例如 am、 pki 服務、裝置驗證、地理位置、saml、 openid、oauth、ldap、kerberos、多因子身份驗證、身份聯盟和其他類似的服務。

2、乙個或者多個sdp閘道器上線。它們以安全的方式連線sdp控制器並進行驗證。sdp閘道器不響應來自任何其他主機的通訊，也不會響應任何未許可的請求。

3、每個sdp客戶端會與sdp 控制器連線並進行身份驗證。(單包第一次）

4、sdp客戶端被驗證之後，sdp 控制器確定終端使用者裝置被授權可以連線的sdp閘道器列表。（可以連哪些sdp閘道器）

5、sdp 控制器告知sdp閘道器接受來自sdp客戶端的通訊，並啟動加密通訊所需的任何可選策略。

6、sdp 控制器給sdp客戶端提供sdp閘道器列表，以及加密通訊所需的任何可選策略。

7、sdp客戶端向每個授權的sdp閘道器發起spa，然後sdp客戶端和這些sdp閘道器建立雙向加密連線（雙向tls認證）。（單包第二次）

8、sdp客戶端通過sdp閘道器並使用雙向加密的資料通道與資源通訊。

雙向tls認證

通常 tls 為單向認證，通常都是 client 來校驗server的合法性，server端無法校驗client的合法性，這樣就會存在非法客戶端訪問的情況，無法保證終端裝置針對伺服器端的可信，因此，在 sdp 協議中明確提出需要在通訊開始前使用雙向認證，即相互校驗，server需要校驗每個client，client也需要校驗server。

sdp閘道器-sdp控制器協議及其互動過程

sdp客戶端-sdp控制器協議及其互動過程

sdp客戶端與sdp閘道器建立連線並且互動資料過程

零信任三大技術之SDP

三大快取技術

web前端三大技術介紹之HTML

當今三大技術誤區

零信任三大技術之SDP

三大快取技術

web前端三大技術介紹之HTML

當今三大技術誤區

相關推薦