SDP即软件定义边界一种以身份为中心实施对资源访问控制的安全框架，是零信任模型的一种实现方式。下面易安联给大家介绍一下SDP 设计基本原则及主要功能有哪些？该框架基于美国国防部的“Need-to-Know”模型，每个终端在连接服务器前必须进行验证，确保每台设备都是被允许接入的。其核心思想是通过SDP架构隐藏核心网络资产与设施，使之不直接暴露在互联网下，使得网络资产与设施免受外来安全威胁。

SDP 设计基本原则

1、信息隐身：隐藏服务器地址、端口，使之不被扫描发现

2、预认证：在连接服务器之前，先认证用户和设备的合法性

3、预授权：用户只能看到被授权访问的应用（最小权限原则）

4、应用级的访问准入：用户只有应用层的访问权限，无网络级的准入

5、扩展性：基于标准协议，可以方便与其他安全系统集成

SDP主要功能

基础设施隐藏：终端用户设备在通过身份验证授权之前，SDP控制器和SDP网关不会响应任何连接请求。

减少Dos攻击：面向互联网的服务都处于SDP网关的后面，可以抵挡DOS攻击，SPA可以保护SDP网关免受DOS攻击。

检测错误包：从任何其他主机到SDP客户端的第一个数据包是SPA 数据包（或类似的安全构造)。如果SDP网关收到任何其他数据包，则将其视为攻击。

防止越权访问网络：设备只能访问策略允许的特定主机和服务，不能越权访问网段和子网。

应用程序和服务访问控制：SDP 控制允许哪些设备和应用程序可访问特定服务例如应用程序和系统服务。