1、背景

今天在杭州跟一個金融客戶交流網路安全方面的需求，結合他們公司的安全標準，給他們推薦了SDP產品。下面稍微給大家介紹下SDP產品的一些細節內容。

2019年底國家推出了《資訊保安技術網路安全等級保護基本要求 GB/T 22239-2019》標準，也就是大家常說的“安全等級保護2.0”簡稱“等保2.0”，其中明確規定了降低網際網路暴露面的要求。就是要求儘量減少暴露在網際網路上的埠、IP地址等網路資訊。從而降低政府、事業單位等被駭客攻擊的風險。

2、SDP理念

隨著資訊保安行業中攻防技術的不斷升級，安全攻防技術升級，世界範圍內越來越多的安全公司開始將人工智慧、機器學習、自然語言處理等技術運用到安全產品中，加強自己的安全防禦能力。

隨著網際網路技術不斷地發展，傳統行業的資訊化逐漸向移動化轉變，使得企業資訊、人員和服務等都與網路深度繫結，從過去相對獨立、分散的網路轉變為深度融合、相互依賴的整體。

隨著企業的業務系統逐步遷移到雲端，業務逐漸接入終端移動端，網路的架構更加複雜，使得傳統的網路邊界日益模糊。傳統的安全邊界不再堅固，企業網路架構轉向“無邊界”化。企業的網路安全也正遭受嚴重的威脅。常見的幾種威脅：APT攻擊、DDoS攻擊、常見病毒攻擊等。

3、SDP安全架構

SDP全稱是Software Defined Perimeter，即軟體定義邊界，是由國際雲安全聯盟CSA於2013年提出的基於零信任(Zero Trust)理念的新一代網路安全技術架構。SDP的設計理念是“零信任”架構設計。就是對未取得安全策略認可的一切裝置、資訊都置為“不可信”，直至透過設定好的策略後取得資訊後方可執行。零信任架構建議圍繞業務系統建立一種以身份為中心的全新邊界，而不是像VPN一樣建立一條“基於網路邊界的信任機制”。傳統的VPN是以授權給每個人一個可供登入的賬號密碼，建立了一條加密的虛擬通道，直接連線到企業的內網。至於連線後在內網作了哪些操作動作以及是否存在違規風險操作是無法監控的。而SDP的理念是先由客戶端發起一個連線請求，透過SPA（單包授權），首先接入到的是控制器服務，由控制器服務認證鑑權，認證通過後會將需要連線的內網地址、埠等下發給客戶端，並且連線的隧道是加密的。透過認證後客戶端才會知道真正自己要連線的內網伺服器的IP和埠。在沒有取得授權之前客戶端是無法知道真正的內網接入的IP和埠的。

控制器的作用不只是認證授權，還會配置一系列的安全接入的策略。以賬號密碼等多因子認證，實現了“預認證”“預授權”並下發單次接入通道，下發“最小化許可權原則”不會將所有內網的操作許可權和資源都公開。後續會根據設定的安全策略，逐步地“持續信任評估”，如根據使用者所處的網路環境、連線工具、常用的IP、操作習慣等因素判斷信任程度。在零信任模型中，所有業務系統都隱藏在安全閘道器後面。

SDP的通訊加密隧道可以採用臨時金鑰機制，週期性地更新認證的臨時金鑰，保障了加密隧道的安全性。並且資料在傳輸過程中使用金鑰簽名，可以有效地防止在傳輸過程中被駭客模擬篡改，資料一旦校驗失敗，SDP安全網路會丟棄異常的資料包。一般的SDP隧道的資料以UDP包形式傳輸，一旦被丟棄會自動重發。資料包傳輸成功後會動態變更請求頭資訊，做到防重放攻擊，即使駭客拿到了之前的正確請求訊息並向隧道重放請求，安全閘道器也會自動丟棄。

SDP架構設計圖

4.CZSP 認證

2020年國際雲安全聯盟大中華區組織了第一屆的CZSP的專業認證考試，透過考試的人員授予國際認可的證書。

5.SDP產品

各個廠商的SDP產品實現的邏輯大不相同，有的是基於已有的VPN技術改造，如：深信服，有的基於簡單的零信任理念設計，如：安恆、華安網信、深雲互聯、指掌易、易安聯、聯軟等