1.4.1 國際云安全聯(lián)盟提出SDP技術(shù)架構(gòu)

2014年，國際云安全聯(lián)盟（CSA）的SDP工作組發(fā)布了《SDP標準規(guī)范》。軟件定義邊界是相對于傳統(tǒng)的以物理邊界為中心的網(wǎng)絡(luò)安全模式來說的。SDP主張在每個用戶的設(shè)備上都安裝客戶端軟件，進行身份校驗，只有通過驗證的用戶才能訪問企業(yè)資源。這樣就構(gòu)建了一個軟件的、虛擬的安全邊界。這種理念與零信任理念是非常相似的。

由于SDP的架構(gòu)非常簡單可靠，國內(nèi)外很多安全廠商都在推出基于SDP架構(gòu)的零信任產(chǎn)品?？梢哉fSDP是目前最好的實現(xiàn)零信任理念的技術(shù)架構(gòu)之一。

1.為什么說SDP架構(gòu)好

第一，SDP系出名門。CSA的SDP工作組的組長是原美國中央情報局（CIA）的CTO——Bob Flores。沒錯，就是電影里常常見到的那個特工組織CIA。Bob Flores把CIA、美國國防部（DoD）、美國國家安全局（NSA）里面的很多實用技術(shù)拿出來，放到了SDP架構(gòu)里。所以如果你去翻看SDP的白皮書原文，那么可以看到很多地方寫到，SDP中的這部分技術(shù)源自DoD的某某技術(shù)，是經(jīng)過NSA驗證的。

第二，SDP 不是紙上談兵，自誕生之初，就經(jīng)歷重重考驗。在 SDP 技術(shù)推出之后，CSA曾經(jīng)組織過4次黑客大賽來檢驗SDP的可靠性。來自100多個國家的黑客一共發(fā)起過幾百億次攻擊，卻沒有一個人能攻破SDP的防御。比賽的具體過程會在5.2節(jié)詳細介紹。

2.SDP架構(gòu)

SDP架構(gòu)有3個組件，如圖1-8所示。

SDP客戶端：負責在用戶登錄時，感知設(shè)備安全狀態(tài)，將用戶的業(yè)務(wù)訪問請求轉(zhuǎn)發(fā)到SDP網(wǎng)關(guān)。

SDP網(wǎng)關(guān)：負責執(zhí)行訪問控制策略，只允許合法用戶經(jīng)過網(wǎng)關(guān)，訪問業(yè)務(wù)系統(tǒng)。

SDP管控端：負責驗證用戶的身份，制定并向SDP網(wǎng)關(guān)下發(fā)安全策略。

SDP架構(gòu)的整個工作流程如下。

（1）SDP管控端啟動。

（2）SDP網(wǎng)關(guān)向管控端“報道”，準備接收SDP管控端的控制指令。

（3）用戶在SDP客戶端上進行登錄操作，登錄請求被轉(zhuǎn)發(fā)到SDP管控端進行驗證。

（4）在身份驗證成功后，管控端向客戶端下發(fā)用戶有權(quán)連接的SDP網(wǎng)關(guān)列表，向網(wǎng)關(guān)下發(fā)校驗用戶所需的身份和授權(quán)信息。在下發(fā)信息之前二者不知道對方的存在。

（5）在下發(fā)信息后，SDP客戶端與SDP網(wǎng)關(guān)建立安全加密的數(shù)據(jù)傳輸通道（包括SPA端口敲門過程）。用戶發(fā)起的業(yè)務(wù)訪問請求會被SDP客戶端轉(zhuǎn)發(fā)至SDP網(wǎng)關(guān)。

（6）SDP網(wǎng)關(guān)會根據(jù)訪問請求中包含的用戶信息進行身份和權(quán)限校驗。

（7）校驗成功后，SDP網(wǎng)關(guān)將訪問請求轉(zhuǎn)發(fā)到后方的業(yè)務(wù)系統(tǒng)。此后，用戶即可正常訪問業(yè)務(wù)系統(tǒng)。

3.SPA網(wǎng)絡(luò)隱身

單包授權(quán)（Single Packet Authorization，SPA）是SDP的特色技術(shù)。在默認情況下，SDP不對外開放端口。只有在客戶端通過SPA敲門技術(shù)通過身份驗證之后，才暫時對其開放端口。具體的隱身技術(shù)原理會在4.1節(jié)詳細介紹。這就像進入一個秘密基地，平時基地的大門是緊閉的，打不開，外面的人也不知道里面有沒有人。秘密基地的成員來了之后，看到大門緊閉，就會敲門。敲門的節(jié)奏是三長兩短，門里面的人聽到了暗號，知道是自己人來了，自然就把門打開了。SPA技術(shù)就是讓客戶端向SDP網(wǎng)關(guān)發(fā)送一個“敲門”的數(shù)據(jù)包，包里攜帶用戶的身份信息。SDP網(wǎng)關(guān)接收之后，不做回應(yīng)，而是解析包中的身份，如果校驗成功，就向該用戶的IP開放端口。

4.SDP與VPN的區(qū)別

乍一看，SDP與VPN在架構(gòu)上有幾分相似，但其實SDP架構(gòu)中有很多安全考慮是VPN不具備的。

SPA網(wǎng)絡(luò)隱身就是VPN不具備的安全技術(shù)。有了SPA之后，SDP網(wǎng)關(guān)在互聯(lián)網(wǎng)上是隱身的，黑客完全掃描不到。黑客發(fā)現(xiàn)不了，自然就不會發(fā)起攻擊。在近年來VPN漏洞頻發(fā)的情況下，SDP的網(wǎng)絡(luò)隱身能力的價值更加明顯。

SDP 架構(gòu)強調(diào)控制面與數(shù)據(jù)面分離，這與 VPN 有明顯區(qū)別。從架構(gòu)圖上可以看出，SDP將管控端和網(wǎng)關(guān)在邏輯上進行分離，數(shù)據(jù)的流動與控制指令的流動互不干擾。SDP管控端和SDP網(wǎng)關(guān)在專門的控制面網(wǎng)絡(luò)上進行通信，數(shù)據(jù)面網(wǎng)絡(luò)用于業(yè)務(wù)訪問的通信。這么做的好處是，避免黑客攻陷一點就波及整個網(wǎng)絡(luò)。

另外，管控端分離便于對“多個網(wǎng)關(guān)”的場景進行集中管理。例如，企業(yè)有兩個數(shù)據(jù)中心，一個在機房，另一個在云端。SDP 可以在每個環(huán)境下都部署一個 SDP 網(wǎng)關(guān)，然后由一個 SDP管控端進行統(tǒng)一管理。SDP管控端會向客戶端下發(fā)SDP網(wǎng)關(guān)與其業(yè)務(wù)系統(tǒng)的對應(yīng)關(guān)系。用戶在訪問這兩個環(huán)境中的業(yè)務(wù)系統(tǒng)時不用切換賬號，可以直接進行訪問。這是VPN做不到的。

5.SDP適用場景

SDP架構(gòu)需要用戶安裝客戶端，所以SDP對終端的安全控制更強，客戶端和網(wǎng)關(guān)聯(lián)動能產(chǎn)生更嚴密的防護效果。但客戶端也限制了SDP的應(yīng)用場景。一些公開的網(wǎng)站無法用SDP保護。

SDP特別適用于合作伙伴、供應(yīng)商、第三方人員、分支機構(gòu)等特定人群訪問業(yè)務(wù)系統(tǒng)的場景。這些系統(tǒng)需要在互聯(lián)網(wǎng)上開放，以便第三方人員訪問。但是又不需要向所有人開放，不會引來黑客攻擊。在這種場景下，SDP能保證合法用戶正常連接，對未知用戶“隱形”。