了解零信任-SDP关系

对于零信任,你需要了解的第一件事情是,对于一个强大的概念来说,这个名称并不是很好。这里的重点不是:没有什么可信任。相反,重点是:没有假定的信任。所有信任关系都需要明确说明。

也许最好将零信任表述为零隐式信任—基于隐式信任的所有方面,这包括:

  • 没有人拥有访问网络的隐式权利-只有显式权利,可通过网络访问特定系统;
  • 没有人拥有保留在网络上的隐式权利-只有使用网络的显式权利,前提是他们没有表现不好并且系统保持良好状态

软件定义的边界(SDP)概念源自美国国防信息系统局(DISA),在过去十年中该概念得到云安全联盟正式认可并普及。

SDP在网络级别体现了零信任的原则。它引入机制来控制对系统的网络级访问、请求访问并授予访问权限。SDP是以端点为中心的虚拟、深度细分的网络,覆盖所有现有物理和虚拟网络。

SDP角色和职责

SDP依赖于网络“外部”的控制器来管理对该网络的访问。

  • 在受保护网络上通信的实体(连接发起主机)必须运行SDP软件,并通过SDP控制器进行身份验证。请注意,这里的身份验证涉及多级别的验证,包括从设备证书到活跃系统运行状况检查,并且始终包括用户身份验证-最好是多重身份验证。
  • 通过身份验证后,连接发起主机会被告知允许与哪些其他实体(接收主机)通信,并告知那些主机允许其与之通信。控制器已经知道接收主机控制器;它们已经通过验证。对控制器当前不可见的主机不在允许的主机列表中。接收主机的列表由背景信息决定,根据发起主机尝试连接的服务以及该服务允许执行的操作。它应仅包括那些对所请求的通信必不可少的接收主机。 发起主机直接建立虚拟专用网隧道到给定接收主机。请注意,控制器不是该端到端加密虚拟网络的一部分。
  • 对于不在控制器授权的发起主机列表中的主机,接收主机将拒绝或丢弃这些主机发起的网络通信。
  • 控制器和主机可以在或不在现场;云控制器可以管理任何地方的主机的通信,本地控制器也可以。甚至SaaS选项也可以通过代理或云访问安全代理,置于SDP的保护之下。

各种架构将网关主机放置在环境中,它们充当该环境外的客户端(无论是数据中心还是云)的接收主机,并与提供服务的实际主机进行所有通信。发起主机仅看到网关,而从不直接与提供应用程序服务的基础结构进行通信。

部署SDP的主要好处是,在控制器允许接收主机连接前,该接收主机对网络中其他系统和用户不可见。只有控制器批准的发起主机能看到它;对于其他所有事物,它都不可见。这是一种非常强大的基本安全状态,也是DISA推广此方法的主要原因。

SDP是零信任的一种形式

由于SDP是基于“谁可以与谁连接”的精细管理,并且默认立场是“如果未明确批准,则没有流量传输”,因此SDP显然是零信任的一种形式。

但是,零信任的范围更广,并且包含SDP中认为不是必不可少的概念。例如,零信任要求动态的信任映射来响应行为。SDP允许这样做,但这并不被认为是基础。

SDP还假定,在控制器的指导下,主机是唯一的实体,以决定是否进行网络通信、从未经批准的通信伙伴丢弃数据包。另外,零信任度允许基础架构可以主动参与,从而在流量到达主机之前就将其丢弃。在零信任下,可能包含基于网络的组件用于流量管理,除SDP之外或替代SDP。

那些寻求建立全面、多云安全基础的企业正在拥抱零信任的概念,但他们还应该评估SDP工具以表达该原则。

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/127412.html<

(0)
管理的头像管理
上一篇2025-02-24 16:14
下一篇 2025-02-24 16:16

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注