軟件定義邊界和零信任

軟件定義邊界（Software Defined Perimeter, SDP）是一個能夠為OSI七層協議棧提供安全防護的網絡安全架構。SDP可實現資產隱藏，并在允許連接到隱藏資產之前使用單個數據包通過單獨的控制和數據平面建立信任連接。使用SDP實現的零信任網絡使組織能夠防御舊攻擊方法的新變種，這些新變種攻擊方法不斷出現在現有的以網絡和基礎設施邊界為中心的網絡模型中。企業實施SDP可以改善其所面臨的攻擊面日益復雜和擴大化的安全困境。

從本質上講，零信任是一種網絡安全概念，其核心思想是組織不應自動信任傳統邊界內外的任何事物，并旨在捍衛企業資產。實施零信任需要在授予訪問權限之前驗證所有嘗試連接到資產的事物，并在整個連接期間對會話進行持續評估。

軟件定義邊界和零信任

零信任概念有三個要點：

• 向網絡引入信任的概念，以確保資源永遠可以被安全地訪問，無論是誰創建流量或流量來自何處，無論在任何位置或者使用何種托管模型，無論是在云上、私有部署、或者混合部署的資源。
• 采用最小授權策略（LPS）來實施訪問控制，以消除訪問禁用資源的人性誘惑。
• 持續記錄用戶流量并分析檢查是否存在可疑活動。

由于SDP對于底層的基于IP的基礎架構是透明的，并且基于該基礎架構保證所有連接的安全，而且它可以部署在OSI/TCP/IP傳輸層協議之前的網絡層并在會話層的應用之前，因此它是采用零信任策略的最佳架構。這一點很重要，因為傳輸層可以為應用程序提供主機到主機的通信服務，而會話層是終端應用程序進程之間打開、關閉和管理會話的機制。兩者都有已知的和未發現的弱點，例如TLS漏洞和建立會話時的TCP/IP SYN-ACK 攻擊。