【2022争霸赛*干货满满】零信任技术之SDP
  

如沐清风 27931人觉得有帮助

{{ttag.title}}
SDP概述
SDP Software Defined Perimeter(软件定义边界),2013 年由云安全联盟 CSA提出
SDP 设计基本原则
1、信息隐身:隐藏服务器地址、端口,使之不被扫描发现
2、预认证:在连接服务器之前,先认证用户和设备的合法性
3、预授权:用户只能看到被授权访问的应用(最小权限原则)
4、应用级的访问准入:用户只有应用层的访问权限,无网络级的准入
5、扩展性:基于标准协议,可以方便与其他安全系统集成
SDP三大组件
SDP控制器:SDP的大脑,主要进行主机认证和策略下发,还可以用于认证和授权SDP连接发起主机、配置到SDP连接接受主机的连接。
SDP连接发起主机:终端用户设备或者可以被称为SDP客户端
SDP连接接受主机:SDP网关或者边界

注:为了文章可读以及比较容易理解,后面的SDP连接发起主机(IH)我将采用SDP客户端来代替,使用SDP网关来代替SDP连接接受主机(AH)

1、SDP 控制器确定哪些SDP客户端和SDP网关可以相互通信。SDP控制器可以将信息中继到外部认证服务,例如认证地理位置和/或身份服务器。
2、SDP客户端与SDP控制器通信用来请求它们可以连接哪些SDP网关列表。在提供信息之前SDP控制器可以向 SDP客户端请求硬件或软件之类的信息。
3、默认情况下SDP网关拒绝来自SDP控制器以外的所有主机的所有通信。只有在SDP控制器下发指令后,SDP网关才接受来自SDP客户端的连接。
SDP 主要功能
基础设施隐藏:终端用户设备在通过身份验证授权之前,SDP控制器和SDP网关不会响应任何连接请求。
减少Dos攻击:面向互联网的服务都处于SDP网关的后面,可以抵挡DOS攻击,SPA可以保护SDP网关免受DOS攻击。
检测错误包:从任何其他主机到SDP客户端的第一个数据包是SPA 数据包(或类似的安全构造)。如果SDP网关收到任何其他数据包,则将其视为攻击。
防止越权访问网络:设备只能访问策略允许的特定主机和服务,不能越权访问网段和子网。
应用程序和服务访问控制:SDP 控制允许哪些设备和应用程序可访问特定服务例如应用程序和系统服务。
注:SPA:单包授权,使未授权的用户和设备无法感知或访问。

SDP 架构图

SDP 工作流程
1、一个或多个 SDP 控制器上线并连接到身份验证和授权服务,例如 AM、 PKI 服务、设备验证、地理位置、SAML、 OpenID、OAuth、LDAP、Kerberos、多因子身份验证、身份联盟和其他类似的服务。
2、一个或者多个SDP网关上线。它们以安全的方式连接SDP控制器并进行验证。SDP网关不响应来自任何其他主机的通信,也不会响应任何未许可的请求。
3、每个SDP客户端会与SDP 控制器连接并进行身份验证。(单包第一次)
4、SDP客户端被验证之后,SDP 控制器确定终端用户设备被授权可以连接的SDP网关列表。(可以连哪些SDP网关)
5、SDP 控制器告知SDP网关接受来自SDP客户端的通信,并启动加密通信所需的任何可选策略。
6、SDP 控制器给SDP客户端提供SDP网关列表,以及加密通信所需的任何可选策略。
7、SDP客户端向每个授权的SDP网关发起SPA,然后SDP客户端和这些SDP网关创建双向加密连接(双向TLS认证)。(单包第二次)
8、SDP客户端通过SDP网关并使用双向加密的数据信道与资源通信。

双向TLS认证
       通常 TLS 为单向认证,通常都是 client 来校验server的合法性,server端无法校验client的合法性,这样就会存在非法客户端访问的情况,无法保证终端设备针对服务器端的可信,因此,在 SDP 协议中明确提出需要在通信开始前使用双向认证,即相互校验,server需要校验每个client,client也需要校验server。
SDP网关-SDP控制器协议及其交互过程
SDP客户端-SDP控制器协议及其交互过程
SDP客户端与SDP网关建立连接并且交互数据过程

964466346c3d54365e.png (90.1 KB, 下载次数: 252)

964466346c3d54365e.png

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

七嘴八舌bar 发表于 2022-10-19 14:29
  
专家点评:感谢楼主分享!文章详细的介绍了SDP技术,图文并茂,期待楼主带来更多有价值的案例分享
平凡的小网工 发表于 2022-11-3 09:52
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
干货满满
社区新周刊
每日一问
新版本体验
技术盲盒
技术咨询
产品连连看
纪元平台
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

25
14
5

发帖

粉丝

关注

本版达人