SDP 软件定义边界
3.3.1 SDP 控制器(Controller)
SDP 控制器确定哪些 SDP 主机可以相互通信。SDP 控制器可以将信息中继到外部认证服务,例如认证,地理位置和/或身份服务器。
3.3.2 SDP 连接发起主机(Initiating Host,即 IH)
SDP 连接发起主机(IH)与 SDP 控制器通信以请求它们可以连接的 SDP 连接接受方(AH)列表。 在提供任何信息之前,控制器可以从 SDP 连接发起主机请求诸如硬件或软件清单之类的信息。
3.3.3 SDP 连接接受主机(Accpeting Host,即 AH)
默认情况下,SDP 连接接受主机(AH)拒绝来自 SDP 控制器以外的所有主机的所有通信。 只有在控制器指示后,SDP 连接接受主机才接受来自 SDP 连接发起主机的连接。
SDP 协议实现
虽然所有 SDP 实施方案都保持相同的工作流,但是针对不同的应用场景会有不同的实现方式。
3.5.1 客户端—网关模型
在客户端—网关的实施模型中,一个或多个服务器在 SDP 连接接主机(AH)后面受到保护,这样,SDP 连接接受主机(AH)就充当客户端和受保护服务器之间的网关。此实施模型可以在企业网络内执行,以减轻常见的横向移动攻击,如服务器扫描、操作系统和应用程序漏洞攻击、中间人攻击、传递散列和许多其他攻击。或者,它可以在 Internet 上实施,将受保护的服务器与未经授权的用户隔离开来,并减轻诸如拒绝服务(DoS)、SQL 注入、操作系统和应用程序漏洞攻击、中间人攻击、跨站点脚本(XSS)、跨站点请求伪造(CSRF)等攻击。
3.5.2 客户端—服务器模型
客户机到服务器的实施在功能和优势上与上面讨论的客户机到网关的实施相似。然而,在这种情况下,受保护的服务器将运行可接受连接主机(AH)的软件,而不是位于运行该软件的服务器前面的网关。客户机到网关实施和客户机到服务器实施之间的选择通常基于受保护的服务器数量、负载平衡方法、服务器的弹性以及其他类似的拓扑因素。
3.5.3 服务器—服务器模型
在服务器到服务器的实施模型中,可以保护提供代表性状态传输(REST: Representational State Transfer)服务、简单对象访问协议(SOAP)服务、远程过程调用(RPC)或 Internet 上任何类型的应用程序编程接口(API)的服务器,使其免受网络上所有未经授权的主机的攻击。例如,对于 REST 服务,启动 REST 调用的服务器将是 SDP 连接发起主机(IH),提供 REST 服务的服务器将是可以接受连接的主机(AH)。
为这个用例实施一个软件定义边界可以显著地减少这些服务的负载,并减轻许多类似于上面提到的攻击。这个概念可以用于任何服务器到服务器的通信。
3.5.4 客户端—服务器—客户端模型
客户端到服务器到客户端的实施在两个客户端之间产生对等关系,可以用于 IP 电话、聊天和视频会议等应用程序。在这些情况下,软件定义边界会混淆连接客户端的 IP 地址。作为一个微小的变化,如果用户也希望隐藏应用服务器,那么用户可以有一个客户端到客户端的配置
。
软件定义边界(SDP)架构由客户端、管控平台、应用网关三个主要组件组成。
SDP 软件定义边界相关推荐
- 开源SDP 软件定义边界环境的安装和搭建
搭建Waverley Labs的开源sdp项目 一.前言 二.架构 三.环境搭建 1.SDP controller 2.SDP gateway 3.SDP client 三.最后 参考连接: 一.前言 ...
- 解读 | CSA 软件定义边界(SDP)标准规范 2.0 VS 1.0
关注微信公众号,回复关键词"SDP标准" 即可阅读下载白皮书 2013年,国际云安全联盟CSA率先提出基于零信任理念的新一代网络安全模型-软件定义边界SDP,并于2014年发布了S ...
- 零信任网络安全——软件定义边界SDP技术架构指南
基本原理+应用场景+落地实施,结合国内特点进行零信任架构技术指导. 近年来,国内信息与通信技术(ICT)发展迅速,各企业将新技术应用于商业环境,推动了其数字化应用与发展.与此同时,也出现了许多信息安全 ...
- 软件定义边界(SDP)
软件定义边界(SDP Software Defined Perimeter) 参考文章:软件定义边界SDP.基于SDP技术构建零信任安全 参考视频:Zero trust and SDP details ...
- SDP(软件定义边界)让SDN更安全,你的对面可不能是一条狗!
编者按:近年来,软件定义网络(SDN)如同海藻一样疯狂地席卷全球.但火热的SDN真的安全吗?Gartner分析师Neil MacDonald表示"SDN创建了一个抽象层,这将带来很多新的攻击 ...
- 零信任安全和软件定义边界
01. 零信任安全(zero trust security) 零信任安全是一种IT安全模型.零信任安全要求对所有位于网络外部或网络内部的人和设备,在访问专用网络资源时,必须进行严格的身份验证.零信任安 ...
- 零信任|软件定义边界(SDP)功能及应用
SDP是一套开放的技术架构,它的理念与零信任理念非常相似.国内国际很多安全大厂都在推出基于SDP技术的零信任产品.可以说SDP是目前最好的实现零信任理念的技术架构之一,使您能够在批准的用户,设备,应用 ...
- 出“圈”的信域安全云网 重定义安全边界
关注我们牛年牛气冲天 几年前,一家国外大牌的安全厂商在故宫里的某个庭院举办了一场战略发布会.就像故宫依靠其高墙深院保护着内部至高无上的皇权一样,传统的网络安全也是凭借由防火墙等筑起的安全边界,保护着内 ...
- Gartner: 2017年11大信息安全技术(解读版)
在2017年6月份举办的第23届Gartner安全与风险管理峰会上,Gartner的Fellow--Neil McDonald发布了2017年度的11个最新最酷的信息安全技术,比往年的10大技术多了一 ...
最新文章
- 企业信息化中常见决策点应对
- mysql json匹配key为数值_干货篇:一篇文章让你——《深入解析MySQL索引原理》
- SE16N新改表内容方法!!!
- cmenu 隐藏子项中的一个子项_QML中的模型-视图-代理
- wxWidgets:命令行参数
- java线程——什么是线程?
- VS2010 RTM
- stc8g1k08程序范例_通过WiFi对STC单片机程序下载和调试
- Query Ajax 实例 ($.ajax、$.post、$.get)
- ios服务器需要开启ipv6的支持,针对iOS审核要求为应用兼容IPv6
- label里面的文字换行_如何在JLabel中自动换行文本?
- docker export import后,导入镜像,启动时的错误,Error response from daemon: No command specified...
- 类、匿名类、静态、构造、单例
- Win10修改EFI分区文件
- MAC设置JDK环境变量
- 仿直播礼物涂鸦/屏幕礼物涂鸦动画
- 用c++编程六子棋游戏
- 使用VMware Workstation安装FusionCompute CNA和VRM
- WeaveSocket框架-Unity太空大战游戏-客户端-3
- 在vue中使用unity3D实现webGL将要呈现的效果