了解零信任-SDP关系

对于零信任，你需要了解的第一件事情是，对于一个强大的概念来说，这个名称并不是很好。这里的重点不是：没有什么可信任。相反，重点是：没有假定的信任。所有信任关系都需要明确说明。

也许最好将零信任表述为零隐式信任—基于隐式信任的所有方面，这包括：

软件定义的边界(SDP)概念源自美国国防信息系统局(DISA)，在过去十年中该概念得到云安全联盟正式认可并普及。

SDP在网络级别体现了零信任的原则。它引入机制来控制对系统的网络级访问、请求访问并授予访问权限。SDP是以端点为中心的虚拟、深度细分的网络，覆盖所有现有物理和虚拟网络。

SDP角色和职责

SDP依赖于网络“外部”的控制器来管理对该网络的访问。

在受保护网络上通信的实体(连接发起主机)必须运行SDP软件，并通过SDP控制器进行身份验证。请注意，这里的身份验证涉及多级别的验证，包括从设备证书到活跃系统运行状况检查，并且始终包括用户身份验证-最好是多重身份验证。
通过身份验证后，连接发起主机会被告知允许与哪些其他实体(接收主机)通信，并告知那些主机允许其与之通信。控制器已经知道接收主机控制器;它们已经通过验证。对控制器当前不可见的主机不在允许的主机列表中。接收主机的列表由背景信息决定，根据发起主机尝试连接的服务以及该服务允许执行的操作。它应仅包括那些对所请求的通信必不可少的接收主机。发起主机直接建立虚拟专用网隧道到给定接收主机。请注意，控制器不是该端到端加密虚拟网络的一部分。
对于不在控制器授权的发起主机列表中的主机，接收主机将拒绝或丢弃这些主机发起的网络通信。
控制器和主机可以在或不在现场;云控制器可以管理任何地方的主机的通信，本地控制器也可以。甚至SaaS选项也可以通过代理或云访问安全代理，置于SDP的保护之下。

各种架构将网关主机放置在环境中，它们充当该环境外的客户端(无论是数据中心还是云)的接收主机，并与提供服务的实际主机进行所有通信。发起主机仅看到网关，而从不直接与提供应用程序服务的基础结构进行通信。

部署SDP的主要好处是，在控制器允许接收主机连接前，该接收主机对网络中其他系统和用户不可见。只有控制器批准的发起主机能看到它;对于其他所有事物，它都不可见。这是一种非常强大的基本安全状态，也是DISA推广此方法的主要原因。

SDP是零信任的一种形式

由于SDP是基于“谁可以与谁连接”的精细管理，并且默认立场是“如果未明确批准，则没有流量传输”，因此SDP显然是零信任的一种形式。

但是，零信任的范围更广，并且包含SDP中认为不是必不可少的概念。例如，零信任要求动态的信任映射来响应行为。SDP允许这样做，但这并不被认为是基础。

SDP还假定，在控制器的指导下，主机是唯一的实体，以决定是否进行网络通信、从未经批准的通信伙伴丢弃数据包。另外，零信任度允许基础架构可以主动参与，从而在流量到达主机之前就将其丢弃。在零信任下，可能包含基于网络的组件用于流量管理，除SDP之外或替代SDP。

那些寻求建立全面、多云安全基础的企业正在拥抱零信任的概念，但他们还应该评估SDP工具以表达该原则。

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：快上网

成都快上网为您推荐相关内容