SDP是一套开放的技术架构，它的理念与零信任理念非常相似。国内国际很多安全大厂都在推出基于SDP技术的零信任产品。可以说SDP是目前最好的实现零信任理念的技术架构之一，使您能够在批准的用户，设备，应用和其他资产之间实施信任。

SDP的解决方案是不再像传统VPN那样将外围设备与数据中心等同起来。取而代之的是，企业希望通过不同的外围设备给予不同的权限的解决方案，这种类型的安全省去了传统VPN授予用户的授权方式。

它给出了零信任网络访问，经过验证的用户及其设备只能访问他们工作所需的权限。因此，对于潜在的攻击者而言，在公司系统之间横向移动的概念变得更加困难。

SDP 安 全 优 势

SDP的安全优势有以下几项：

• SDP 通过最小化攻击面来降低安全风险。

• SDP 通过分离访问控制和数据信道来保护关键资产和基础架构，使其中的每一个都看起来是“黑”(不可见)的，从而阻止潜在的基于网络的攻击。

• SDP 提供了一个集成的安全体系结构，这个体系结构是现有安全产品(如 NAC 或反恶意软件)难以实现的。

• SDP 提供了基于连接的安全架构而不是基于IP 的替代方案，因为当今 IP 环境的爆炸式增长和云环境中的边界缺失使得基于 IP 的安全性变得脆弱。

• SDP 允许根据预先审查谁可以连接(从哪些设备、哪些服务、基础设施和其他参数)来控制所有连接。

SDP 的 主 要 功 能

SDP的设计至少包括五层安全性：

(1)对设备进行身份认证和验证;

(2)对用户进行身份验证和授权;

(3)确保双向加密通信;

(4)动态提供连接;

(5)控制用户与服务之间的连接并且同时将这些连接隐藏。这些和其他组件通常都包含在 SDP 实现中。

SDP的主要功能包括五大方面：

信息/ 基础设施隐藏

1. 服务器“变黑”，减轻或减少所有外部网络攻击和跨域攻击。

2. 减少拒绝服务(DoS)攻击。

3. 检测错误包，快速检测所有外部网络和跨域攻击。

双向加密的连接

1. 验证用户和设备身份，减轻或减少来自未授权用户和设备的连接。

2. 不允许伪造证书。

3. 不允许中间人攻击。

“需知(NEED TO KNOW )”访问模型

1. 取证简化，缓解或降低恶意数据包和恶意连接。

2. 细粒度访问控制，缓解或降低来自未知设备的外部用户的数据窃取。

3. 设备认证，缓解或降低来自未授权设备的威胁，证书窃取。

4. 保护系统免受已被入侵设备的攻击。

动态访问控制

1. 动态的、基于会员认证体系的安全隔离区，缓解或降低基于网络的攻击。

应用层访问

1. 取消广域网接入，攻击面最小化;消除了恶意软件和恶意用户的端口和漏洞扫描。

2. 应用程序和服务访问控制，攻击面最小化;恶意软件和恶意用户无法连接到资源。

SDP 的 潜 在 应 用 领 域

因为SDP是一种安全架构，所以它能够很好提供多种不同级别的安全，无法简单把它归类到现有的安全常见类别。SDP的潜在应用领域包括：

• 基于身份的网络访问控制

SDP允许创建与组织相关的以身份为中心的访问控制，且访问控制是在网络层实施。例如，SDP支持仅允许财务用户只能在公司允许的受控设备上通过Web访问财务管理系统。SDP还允许只有IT用户才能安全地访问IT系统(SSH)。

• 网络微隔离

SDP 能够实现基于用户自定义控制的网络微隔离。通过SDP可以自动控制对特定服务的网络访问，从而消除了手动配置。

• 安全的远程访问(VPN替代)

SDP 可以保护远程用户和本地用户。公司组织可以使用 SDP作为整体解决方案，摒弃VPN 解决方案。而且，SDP解决方案还专为细粒度访问控制而设计。用户无法访问所有未经授权的资源，这符合最小权限原则。

• 第三方用户访问

保护第三方访问权限使企业能够进行创新和适应。例如，用户可以从公司办公过渡到家庭办公以降低成本或者有时可以远程工作，而且某些功能可以安全地外包给第三方专家。SDP 可以轻松控制和保护第三方用户的本地访问。

• 特权用户访问安全

对特权服务的访问可以限制为授权用户，并在网络层受到保护，并且可以向未经授权的用户隐藏特权服务，从而限制攻击范围。SDP 确保只有在满足特定条件时(例如，在定义的维护窗口期或仅从特定设备)才允许访问，然后可以记录访问日志以进行合规性报告。

• 高价值应用的安全访问

可以通过集成用户/身份感知，网络感知和设备感知在不暴露完整的网络的情况下限制对应用程序的访问;并依靠应用程序或应用程序网关进行访问控制。SDP还可以促进应用程序升级，测试和部署，并为 DevOps CI / CD 提供所需的安全框架。

• 托管服务器的访问安全

可以通过业务流程来控制对托管服务器的访问。SDP 可以覆盖复杂的网络拓扑、简化访问，同时记录用户活动以满足合规性要求。

• 简化网络集成

借助 SDP，网络可以快速无中断地互连，而无需进行大规模更改。

• 安全迁移到IaaS云环境

SDP 方案改进了IaaS 安全性。不仅将应用程序隐藏在默认防火墙之外，还会对流量进行加密，并且可以跨异构企业定义用户访问策略。

• 强化身份认证方案

SDP 需要在对特定应用程序授予访问权限之前添加 2FA。并通过部署多因素身份验证(MFA)系统来改善用户体验，并可以添加MFA 以增强遗留应用程序的安全性。

• 简化企业合规性控制和报告

SDP 降低了合规范围(通过微隔离)，并自动执行合规性报告任务(通过以身份为中心的日志记录和访问报告)。

• 防御 DDoS 攻击

SDP 可以(让服务器)对未经授权的用户不可见，并通过使用 default-drop 防火墙，只允许合法的数据包通过。

以上是针对SDP的架构及功能应用进行的分解，让我们清楚的认识到SDP能够为组织机构的安全专业人员提供他们寻求的工具，为稳健的企业开发、操作、安全提供健壮的、可适应的、可管理的基础架构。