软件定义边界和零信任

软件定义边界（Software Defined Perimeter, SDP）是一个能够为OSI七层协议栈提供安全防护的网络安全架构。SDP可实现资产隐藏，并在允许连接到隐藏资产之前使用单个数据包通过单独的控制和数据平面建立信任连接。使用SDP实现的零信任网络使组织能够防御旧攻击方法的新变种，这些新变种攻击方法不断出现在现有的以网络和基础设施边界为中心的网络模型中。企业实施SDP可以改善其所面临的攻击面日益复杂和扩大化的安全困境。

从本质上讲，零信任是一种网络安全概念，其核心思想是组织不应自动信任传统边界内外的任何事物，并旨在捍卫企业资产。实施零信任需要在授予访问权限之前验证所有尝试连接到资产的事物，并在整个连接期间对会话进行持续评估。

软件定义边界和零信任

零信任概念有三个要点：

• 向网络引入信任的概念，以确保资源永远可以被安全地访问，无论是谁创建流量或流量来自何处，无论在任何位置或者使用何种托管模型，无论是在云上、私有部署、或者混合部署的资源。
• 采用最小授权策略（LPS）来实施访问控制，以消除访问禁用资源的人性诱惑。
• 持续记录用户流量并分析检查是否存在可疑活动。

由于SDP对于底层的基于IP的基础架构是透明的，并且基于该基础架构保证所有连接的安全，而且它可以部署在OSI/TCP/IP传输层协议之前的网络层并在会话层的应用之前，因此它是采用零信任策略的最佳架构。这一点很重要，因为传输层可以为应用程序提供主机到主机的通信服务，而会话层是终端应用程序进程之间打开、关闭和管理会话的机制。两者都有已知的和未发现的弱点，例如TLS漏洞和建立会话时的TCP/IP SYN-ACK 攻击。