什么是软件定义边界 (SDP)？

最初，网络的创建是为了构建与外部世界隔离开的内部部分，由一个固定的边界隔开。内部网络被认为是可靠的，而外部网络则被认为是敌对的。尽管自设计创建以来发生了很多变化，但大多数网络专业人员仍然以此为基础。

固定的边界通常由多个网络和安全设备组成，导致服务链式堆栈和设备激增。用户必须通过不同的要求才能访问内部局域网。堆栈将构成全局负载均衡器、外部防火墙、DDoS 设备、VPN 集线器、内部防火墙和局域网段。

什么是软件定义边界？

软件定义边界 (SDP) 通过集成的安全架构方法，在连接到互联网的资产和人为行为周围创建虚拟屏障。无论资产是在本地还是在云中，无论用户是在现场还是远程工作，SDP 都能发挥作用。SDP 并非依赖于网络边界处的硬件，例如防火墙或 VPN，而是使用软件默认阻止访问和查看虚拟边界内的资源。

这种拒绝所有技术只允许授权用户和经过验证的设备通过强大的相互身份验证进行连接。所有其他人员（和所有事物）都被蒙在鼓里，无法了解由 SDP 架构保护的连接到互联网的资源。

边界策略的创建考虑了可见性和可访问性。如果网络外部的实体无法看到内部资源，则将拒绝访问。因此，外部实体被拒绝访问，而内部实体则被允许离开。但是，它只在一定程度上有效。很可能，固定的网络边界会在某个时间点被突破；这只是时间问题。最终，拥有足够能力的人会成功。

SDP 是一种安全架构，它可以防止外部人员监听您的路由器和服务器基础设施，同时允许您的员工安全地访问他们所需的资源。

由于传统公司中的所有员工都集中在一个地点，因此 IT 管理员必须保护“边界”并阻止攻击者。现在，员工可能分散在多个地点——甚至是多个大陆——这对跨国公司提出了额外的安全挑战。

在对人员及其设备进行身份验证后，SDP 会在用户的设备和公司的服务器之间建立连接。员工连接到其网络，而不是连接到更大的公司范围网络，并且只能访问特定资源。即使恶意行为者获得了用户的帐户访问权限，他们也只能访问一组有限的资源。

要创建软件定义边界，您必须首先验证用户的身份。可以使用多因素身份验证 (MFA)、单点登录 (SSO) 和其他技术，例如安全断言标记语言 (SAML)，来实现此目的 (SAML)。下一步是检查设备的安全性。最后，设备及其服务之间的安全隧道用于确保在连接期间交换的数据得到保护。

SDP 降低了拒绝服务 (DoS) 攻击、中间人 (MitM) 攻击、暴力攻击、端口扫描、服务器漏洞以及诸如 SQL 注入和跨站点脚本 (XSS) 之类的横向移动攻击等成功网络威胁的可能性。

以下是 SDP 的一些用例：

SDP 与各种设备兼容。可以通过虚拟边界对笔记本电脑和个人电脑 (PC) 以及移动设备和物联网 (IoT) 设备进行身份验证。SDP 防止未经授权或无效的设备建立连接。
SDP 将网络访问限制为特定用户子集。各个实体无权广泛访问网络段或子网；因此，设备只能连接到策略允许的服务和主机。这减少了网络上的攻击面，并防止未经授权的个人或软件搜索端口和漏洞。
SDP 支持更全面的基于风险的方法。SDP 系统使用威胁情报、病毒爆发和新软件等风险标准来确定访问决策。
任何东西都可以与 SDP 连接。员工可以使用 SDP 技术关联他们所需的 IT 资源，无需繁琐的管理和高昂的硬件支出。
SDP 使控制服务、应用程序和访问成为可能。SDP 可以控制哪些应用程序和设备可以访问特定服务。这通过阻止恶意个人或病毒访问资源来减少攻击面。
应用程序隔离严重依赖 SDP。当在公司数据中心内部署 SDP 时，未经授权的用户将无法访问关键任务应用程序基础设施和数据。由于 SDP 会隐藏这些程序，因此黑客无法识别或渗透它们。
SDP 有助于混合云和私有云的安全。企业可以使用 SDP 来隐藏公共 SaaS、IaaS 和 PaaS 云实例以及混合云系统（结合了公共和私有云资源）。

Pranav Bhardwaj

更新于：2022年3月23日

201 次浏览

完成课程获得认证