SDWAN/SDSEC/SDP技术
SDWAN技术
在安全SDWAN技术架构中最核心的或SDWAN技术本身,也就是企业网络组网的技术方案。SDWAN是将SDN技术利用到广域网场景中所构成的一种服务,这类服务用于连接广阔地理范围的企业网络、数据中心、互联网利用及云服务。这类服务的典型特点是将网络控制能力通过软件方式“云化”,支持利用可感知的网络能力开放。
SDSEC技术
软件定义安全(SDSEC,SoftwareDefinedSecurity)是从软件定义网络引伸而来的,原理是将物理及虚拟的网络安全装备与其接入模式、部署方式、实现功能进行了解耦,底层抽象为安全资源池里的资源,顶层统一通过软件定义的方式进行智能化、自动化的业务编排和管理,以完成相应的安全功能,从而实现一种灵活的安全防护。
软件定义安全作为一种安全模型,由软件而非硬件实现计算环境中的信息安全和网络安全的控制及管理,软件定义安全的五大优势包括简单、灵活可扩大、自动化、本钱高效和可延续改进。
SDP技术
软件定义边界(SDP,SoftwareDefinedPerimeter)由云安全同盟(CSA)于2013年提出,该技术框架的核心是根据身份控制对资源的访问,即每一个终端在连接服务器前一定要进行验证,确保每台装备都是被允许接入的,这样的话,企业核心网络的资产与设施不直接暴露在互联网下,使得网络资产与设施免受外来安全要挟。
在SDP架构中,首先对用户接入的终端进行多因素认证,认证装备的可靠性等,认证通过以后,才进入用户登录阶段。在这个进程中,用户接入的终端需要与控制器(Controller)进行交互,由控制器进行装备认证和身份认证,并基于认证结果设置用户访问服务的权限,只有认证通过的用户终端才能对利用的基础设施进行访问。因此,SDP通过三种方式对抗基于网络的攻击:透明多因素认证可以抵抗用户凭据丢失,服务器隔离可以抵抗服务器利用,TLS双向认证可以抵抗连接劫持。
