SDP架构在零信任中的实践

本文分享自天翼云开发者社区《SDP架构在零信任中的实践》，作者：thleen
    CSA《SDP尺度规范1.0》给出的SDP的定义是：“SDP旨在使应用程序所有者能够在需要时部署安全界限，以便将服务与不安全的网络隔离开来，SDP将物理装备更换为在应用程序所有者控制下运行的逻辑组件并仅在装备验证和身份验证后才允许访问企业应用基础架构。”
    SDP架构主要包括三大组件：SDP控制器（SDP Controler）、SDP毗连发起主机（IH，Initial host）、SDP毗连担当主机（AH，Accept host）。SDP控制器确定哪些IH、AH主机可以相互通讯，还可以将信息中继到外部认证服务，例如认证，地理位置和/或身份服务器。IH和AH会直接毗连到SDP控制器，通过控制器与安全控制信道的交互来管理。该结构使得控制层能够与数据层保持分离，以便实现完全可扩展的安全系统。此外，所有组件都可以是冗余的，用于扩容或提高稳固运行时间。
通用零信任架构如下：
 

      此中，零信任安全控制中心组件作为SDP的Controller，零信任安全署理组件作为SDP的AH的抽象。零信任安全控制中心核心是实现对访问哀求的授权决策，以及为决策而开展的身份认证（或中继到已有认证服务）、安全监测、信任评估、策略管理、装备安全管理等功能；零信任安全署理的核心是实现对访问控制决策的执行，以及对访问主体的安全信息采集，对访问哀求的转发、拦截等功能。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。