SDP(Software Defined Perimeter)即“软件定义边界”，是国际云安全联盟CSA于2013年提出的基于零信任（Zero Trust）理念的新一代网络安全模型。

SDP全称是Software Defined Perimeter，即软件定义边界，是由国际云安全联盟CSA于2013年提出的基于零信任(Zero Trust)理念的新一代网络安全技术架构。

众所周知，传统的网络安全是基于防火墙的物理边界防御，也就是我们所熟知的“内网”。随着云计算、移动互联网、AI大数据、IoT物联网等新兴技术的不断兴起，传统安全边界在瓦解，企业IT架构正在从“有边界”向“无边界”转变。过去服务器资源和办公设备都在内网，现在随着迁移上云、移动办公、物联网等应用，网络边界越来越模糊，业务应用场景越来越复杂，传统物理边界安全无法满足企业数字化转型的需求，因此，更加灵活、更加安全的软件定义边界SDP技术架构顺势而生。

2019年4月，国际知名IT咨询机构Gartner发表ZTNA《零信任网络访问市场指南》行业报告，报告指出“零信任网络访问ZTNA也称为软件定义边界（SDP），是围绕某个应用或某一组应用创建的基于身份和上下文的逻辑访问边界。应用是隐藏的，无法被发现，并且通过信任代理限制一组指定实体访问。在允许访问之前，代理会验证指定访问者的身份，上下文和策略合规性。这个机制将把应用资源从公共视野中消除，从而显著减少可攻击面。”。同时报告中预测了：“到2023年，60%的企业会用SDP方案代替VPN。”

SDP安全模型由3大组件构成，分别是：

(1)Initiating SDP Host，即IH；

(2)Accepting SDP Host，即AH；

(3)SDP Controller，即控制器。

3大组件的关系分成两个平面：

(1)控制平面和

(2)数据平面。AH 和 IH 都会连接到Controller。IH和AH 之间的连接是通过Controller与安全控制信道的交互来管理的。该结构使得控制平面能够与数据平面保持分离，以便实现完全可扩展的安全系统。此外，所有组件都可以是集群的，用于扩容或提高稳定运行时间。

云安全联盟CSA是一个国际的非盈利组织，有10多年的历史，从开始成立之初的专注于云安全到今天的覆盖cybersecurity的整个方方面面，特别是在安全可信方面。 CSA于2013年发布了《SDP标准规范1.0》白皮书，SDP标准规范吸引了来自全球各个国家以及国际互联网巨头公司参与开发，由国际知名安全专家Bob Flores领导编写，Bob Flores退休前曾任美国CIA的CTO，在CIA工作了30余年。

随着零信任安全理念以及SDP技术在在国内各个行业领域的不断应用。2019年3月，云安全联盟大中华区(CSA GCR)成立SDP工作组。工作组成员的参与单位有：阿里云、腾讯云、华为、京东云、 Ucloud、华云数据、奇安信、 360、深信服、启明星辰、绿盟科技、天融信、亚信安全、云深互联、中国电信、中国移动、国家电网、IBM、安永、顺丰科技、金拱门、吉大正元、中宇万通、三未信安、有云信息、上元信安、安全狗、易安联、联软科技、上海云盾、缔盟云等50多家行内优秀企业。云深互联CEO陈本峰担任SDP工作组组长。

《软件定义边界（SDP）标准规范文档1.0》、

《软件定义边界（SDP）安全架构指南》、

《SDP实现等保2.0合规技术指南》、

《软件定义边界SDP 帮助企业安全迁移上云(IaaS)》、

《软件定义边界作为分布式拒绝服务（DDoS）攻击的防御机制》

1、SDP的“网络隐身”技术，可以最小化攻击面，极大程度降低安全风险;

2、SDP的“按需授权”安全模型，可以最小化被攻击后的安全风险。

3、SDP通过分离访问控制和数据信道，保护关键资产和基础架构，从而阻止潜在的基于网络的攻击;

4、SDP提供了整个集成的安全体系结构，这一体系结构是现有的安全设备难以实现的;

5、SDP提供了基于连接的安全架构，而不是基于IP的替代方案。因为整个IT环境爆炸式的增长，云环境中的边界缺失使得基于IP的安全性变得脆弱。

6、SDP允许预先审查控制所有连接，从哪些设备、哪些服务、哪些设施可以进行连接，所以它整个的安全性方面是比传统的架构是更有优势的。

SDP商业优势:

　　1、节省成本及人力

　　2、提高IT运维的灵活性

　　3、GRC好处：与传统方法相比，SDP 降低了风险。 SDP 可以抑制威胁并减少攻击面，防止基于网络或者应用程序漏洞被利用的攻击。SDP可以提供并响应 GRC 系统(例如与 SIEM 集成)，以简化系统和应用程序的合规性活动。

　　4、合规范围增加及成本降低

　　5、安全迁移上云

　　6、业务的敏捷性和创新

SDP的潜在应用领域：

　　1、零信任安全，基于身份的网络访问控制

　　2、网络微隔离

　　3、安全的远程访问(VPN 替代)

　　4、第三方用户访问

　　5、特权用户访问安全

　　6、高价值应用的安全访问

　　7、托管服务器的访问安全

　　8、简化网络集成

　　9、安全迁移到IaaS 云环境

　　10、强化身份认证方案

　　11、简化企业合规性控制和报告

　　12、防御 DDoS 攻击