产品概述

最近更新时间:2021-09-14 11:45:06

什么是软件定义边界

腾讯软件定义边界(Software Defined Perimeter,SDP)产品解决方案是一个遵循零信任原则,采用 云安全联盟(CSA) SDP 架构设计的新一代安全接入解决方案。SDP 主要包含六个部分,分别是 SDP 客户端、SDP 隐身网关、SDP 控制器、SDP 连接器、SDP 安全管控平台及安全数据大脑。

  • SDP 客户端
    • SDP 客户端在终端用户的设备上运行,用于与 SDP 控制器通信以请求连接,并向控制器发送设备或软件信息等数据。
    • SDP 客户端实时地对终端设备进行 App 安全、网络安全及系统安全检测以及多重用户身份验证,以确保用户身份和终端设备可信。
  • SDP 隐身安全网关:SDP 隐身安全网关可对访问请求进行验证和过滤,还可以对已授权的访问连接进行监视、记录和报告。隐身安全网关对外不开放任何固定端口,使业务服务器仅对授权的设备可见,从而保障企业服务的隐身性。
  • SDP 控制器
    • SDP 控制器可对所有访问请求进行认证和动态授权,是产品架构中策略判定点。
    • SDP 控制器可对所有的访问请求进行权限判定,且不再是基于简单的静态规则,而是基于上下文属性、信任等级和安全策略进行动态判定。
    • SDP 控制器动态权限判定依据企业身份库、安全策略库、设备信誉库等数据,这些数据来源于 SDP 安全管控平台或安全数据大脑的分析结果。
  • SDP 连接器
    • SDP 连接器在企业应用程序所在服务器和 SDP 隐身网关之间,提供经过身份验证的安全接口。它们在运行时不需要任何入站开放端口,且企业应用程序仅通过 SDP 连接器与网关连接,无需对公网开放,以保证业务服务器仅对授权的设备可见。
    • SDP 连接器可以部署至客户私有云环境或公共云环境中。
  • SDP 安全管控平台
    • 管理员可以通过 SDP 安全管控平台对所有的 SDP 客户端和企业应用程序进行管理,创建并定义安全策略,为不同用户或用户组设置权限级别。
    • SDP 安全管控平台还可以与企业已有的身份管理系统对接。
  • 安全数据大脑
    • 安全数据大脑基于腾讯安全大数据库,持续接收 SDP 访问控制的日志信息,结合身份库、策略库及数据,基于大数据和人工智能技术,对身份进行持续画像,并对访问行为和信任等级进行持续评估,最终生成和维护信任库,为 SDP 控制器及网关提供决策依据。
    • 安全数据大脑汇聚各个隐身安全网关以及所有 SDP 客户端发送过来的日志及审计信息,对汇聚信息进行大数据智能统计分析,以满足企业运维及安全需求。
    • 安全数据大脑也可以接收外部安全分析平台的分析结果,包括:终端可信环境感知、持续威胁检测等安全分析平台,这些外部风险源可以很好的补充身份分析所需的场景数据,从而进行更精准的风险识别和信任评估。

工作原理

SDP 工作原理如下:

  1. 安装在用户设备上的 SDP 客户端,使用 单数据包授权(SPA)向 SDP 控制器发出访问请求,并发送设备或软件等信息。
  2. SDP 控制器验证用户信息及设备信息,检查上下文,并将实时授权通过加密的 Token 传递给 SDP 客户端。
  3. SDP 客户端使用 SPA 技术并附带实时授权信息,向 SDP 网关发出请求,SDP 网关根据请求信息和安全策略进行验证和匹配,然后允许或拒绝用户的访问请求。
  4. SDP 网关为被允许的访问请求建立双向加密连接,客户端通过加密隧道和 SDP 连接器访问 SDP 网关所指定的企业应用服务或资源。
  5. 持续动态地监控用户信息和访问行为,实时调整授权状态。
目录