什么是软件定义边界SDP? #8211 Hotspot Shield VPN
作为一种概念,软件定义周边 (SDP) 有望解决 IT 部门面临日益严峻的信息安全挑战。但在充斥著流行术语的行业中,我们该如何区分现实与炒作呢?第一步是了解 SDP 实际上是什么,以及它如何使网络比传统的 VPN 系统更安全。
什么是 SDP?
过去企业用来保护网络的城堡与护城河框架太过脆弱,无法应对当今模糊的安全边界。曾经局限于内部网络的专有资源,如今已经在云端上托管。而许多专有资源则被 XasaService 供应商所取代。
业务工作队伍的演变进一步加剧了安全问题。自带设备的政策创造了新的潜在入侵路径。而不断变动的承包商和第三方合作伙伴使得访问管理变得更加困难。
蘑菇加速器官网软件定义周边提供了一个更加灵活的框架,完全消除了信任的概念。与其防守一个对受信任用户自由可访问的网络,SDP则以零信任访问政策来保护每一个资源无论是专有的、云端托管的还是 XasaService 的。
无论是来自 CEO 管理设备的连接,还是来自专有网络的另一个资源,这些连接请求都被当做来自随机互联网咖啡馆的计算机来处理。
SDP 如何运作?
一个软件定义周边由三个要素组成:SDP 控制器、SDP 接入节点和 SDP 客户端。这些要素实施需要知道和不信任的政策,以防止未经授权的访问所有资源。
SDP 控制器与身份资源如 Okta协作,来认证进来的连接请求。访问政策是基于每个设备、每个用户和每个会话为每个资源单独确定的。只有当用户和设备满足所有访问控制要求时,连接才会被授权。
SDP 接入节点位于每个资源和公司的特权网络或公共互联网之间。资源无法广播其存在,而 SDP 接入节点会拒绝所有未来自 SDP 控制器的连接请求。在授权后,SDP 接入节点和 SDP 客户端之间会建立一条安全的加密隧道,所有数据都通过这条隧道传输。
SDP 客户端本身对任何特定资源的存在或网络上资源的部署位置一无所知。与 SDP 接入节点的安全隧道是一个瞬时连接,仅在会话期间存在。验证、网络路由信息及其他与连接相关的信息都会随之消失。即使 SDP 客户端几秒钟后尝试重新连接,SDP 控制器也会将其视为新的请求。
为啥企业选择 SDP?
软件定义周边使得网络管理和信息安全比城堡与护城河的框架更简单、更高效且更具可扩展性。
例如,传统的 VPN 系统会造成性能瓶颈,因为 VPN 网关同时处理访问控制和数据传输。无论远程用户与资源的物理距离有多近,所有在两者之间流动的数据都必须经由网关回传。SDP 客户端与 SDP 控制器之间的数据交互时间非常短,而 SDP 客户端与 SDP 接入点之间的连接则可以遵循最有效的路径。
SDP 也通过去掉对安全边界的整体概念来增强安全性。鉴于 VPN 网关仅为边界外的人提供访问,那么它对边界内的设备并无任何安全保障。一个带有恶意载荷的 USB 密钥可能会越过安全边界并获取网络上的所有内容。在这种情况下,SDP 使得恶意软件无处可去。所有资源都由 SDP 接入节点隐藏在网络下,而在没有 SDP 控制器授权的情况下,任何恶意软件试图连接资源的行为都会被当场拒绝。
转向 SDP 的安全框架为企业创造了其他好处。整个组织的安全政策和基础设施可以变得更加统一,更容易根据每个用户、每个设备和每个资源实施细致的访问控制政策。此外,托管的、基于云的和 XasaService 的资源的安全性可以在单一架构内整合。
虽然 SDP 对企业的吸引力很大,但从城堡与护城河框架转型是一个重大的商业变革过程。不过,企业内部的组织比如 DevOps 团队可以立刻获得 SDP 带来的安全好处。
Twingate 的无摩擦 SDP 增强 DevOps 安全性
Twingate是软件定义周边框架的一个全新实现,专门设计了便于用户和管理员无摩擦地部署 SDP 安全性。与一般框架一样,Twingate 由客户端、控制器和接入节点组成。
Twingate 控制器与您现有的安全堆栈集成,为用户和设备提供精细的访问控制。单键加入和离开使得动态项目团队的管理变得简单许多。
您只需一条命令即可安装 Twingate 接入节点,并将其置于资源前面。由于接入节点可以处理任何 TCP 或 UDP 流量,因此资源无需进行任何修改。
此外,最终用户及其设备并不能看到您网络上的资源。只有获得控制器授权,接入节点才会与客户端建立端到端加密的瞬时隧道。
配置 Twingate 客户端无需管理员的任何操作。最终用户以类似消费者的方式下载并安装客户端,无需改造设备的操作系统或软件负载。安装完成后,总是在线的客户端只有在每次会话得到控制器的批准下才能访问资源。
在 DevOps 团队的背景下,Twingate 的 SDP 解决方案比传统 VPN 更加灵活和高效。当员工和承包商加入或离开项目时,对权限的更改可以通过一次点击来完成。部署 SDP 不需要对您的网络基础设施、现有安全堆栈或资源进行任何更改。而且,全球分布的 DevOps 团队可以更高效地工作,而不会因为基于 VPN 的安全性而影响网络性能。
联系我们以了解更多有关 Twingate 的软件定义周边如何改善您开发运营安全性的资讯。