1.4　SDP的基本概念

SDP能够为OSI模型提供安全防护，可以实现资产隐藏，并在允许连接到隐藏资产前使用单个数据包通过单独的控制与数据平面建立信任连接。使用SDP实现的零信任网络能够防御旧攻击方法的新变种，这些新变种攻击方法不断出现在现有的以网络和基础设施边界为中心的网络模型中。企业实施SDP可以改善其面临的攻击日益复杂的环境。

SDP是零信任理念的最高级实现方案。CSA倡导将SDP结构应用于网络连接，SDP架构如图1-3所示。

（1）将建立信任的控制平面与传输实际数据的数据平面分离。

（2）使用Deny-All防火墙（不是完全拒绝，允许例外）隐藏基础设施（如使服务器变为“不可见”），丢弃所有未授权数据包并将它们用于记录和分析流量。

（3）在访问受保护的服务前，通过单包授权（SPA）协议进行用户与设备的身份验证和授权。

SDP对底层基于IP的基础设施透明，基于该基础设施保证所有连接安全，且其可以部署在OSI与TCP/IP模型中的网络层，不涉及传输层到应用层，因此它是采用零信任战略的最佳架构。这一点很重要，因为传输层可以为应用程序提供主机到主机的通信服务，而会话层是终端应用程序进程之间打开、关闭和管理会话的机制。两者都有已知的和未发现的弱点，如TLS漏洞和建立会话时的TCP/IP SYN-ACK攻击。将开放式系统互联（OSI）模型与互联网工程任务组（IETF）TCP/IP模型关联，得到标准模型参考如表1-1所示。

SDP使应用程序所有者能够在需要时部署安全边界，将服务与不安全的网络隔离。SDP将物理设备替换为在应用程序所有者控制下运行的逻辑组件，在进行设备验证和身份验证后，才允许访问企业应用基础设施。

SDP的原理并不是全新的。美国国防部和情报体系内的多个组织已经实施了类似的在网络访问前进行身份验证和授权的网络架构。通常在分类或高端网络中使用（由美国国防部定义），每个服务器都隐藏在远程访问网关后方，在授权服务可见且允许访问前，用户必须对其进行身份验证。SDP采用分类网络中使用的逻辑模型，并将该模型整合到标准工作流中。

除了具备“权限最小化”优点，SDP还避免了远程访问网关设备。在获得对受保护服务器的网络访问前，要求发起方进行身份验证并获得授权，然后在请求系统和应用程序基础设施之间实时创建加密连接。

SDP由3部分构成：SDP连接发起主机（Initiating Host，IH）、SDP控制器、SDP连接接受主机（Accept Host，AH）。

SDP协议的设计目标是为IPv4和IPv6提供可交互操作的安全控制机制，包括AH使用隐藏和访问控制手段对控制器和服务进行保护，以及从IH到控制器再到AH的通信保密性和完整性保护。

通过将已验证的组件（如数据加密、远程验证、传输层安全、安全断言标记语言等）与其他技术结合，确保SDP可以与企业现有安全系统集成。