軟體定義邊界

軟體定義邊界（software-defined perimeter）簡稱SDP，也稱為黑雲（black cloud），是一種強化電腦安全的方法。軟體定義邊界框架是由雲端安全聯盟開發，依身份控制資源的存取。在軟體定義邊界中，連通是用need-to-know模型來控制，軟體定義邊界使用零信任模型，在允許存取應用基礎措施之前，會先驗證設備狀態和身份^[1]。軟體定義邊界的應用基礎措施是有效的「黑」，這是美國國防部所使用的詞語，用來描述無法偵測的基礎措施，沒有可見的DNS資訊或是IP地址。這些系統的支持者聲稱軟體定義邊界可以減緩網路攻擊，例如伺服器掃描、拒絕服務、SQL注入、作業系統或應用程式的弱點利用、中間人攻擊、傳遞雜湊（英語：Pass the hash）、pass-the-ticket、以及未授權用戶的其他攻擊^[2]。

和傳統邊界的差異

傳統網路安全是靠固定的邊界，一般是受防火牆保護。這可以隔離內部服務和外部環境，但在以下情形下，仍會有弱點：

• 用戶管理設備：這些設備不受傳統的邊界控制所管轄。
• 釣魚攻擊：此攻擊可以讓未授權的使用者進入邊界存取。
• 導入雲端：應用程式可以託管在任何地方，讓邊界控制更加困難。

軟體定義邊界的處理方式，包括讓應用程式隱形，公開網際網路無法看到內部資源，另外也強化存取控制，只有授權的使用者才能連接應用程式。

SDP架構和工作流程

SDP包括兩個主要元素：SDP控制器管理存取政策，以及設備之間的通訊，SDP主機可以初始應用（請求存取）或接受應用（提供存取）。

其工作流程如下：

1. 佈署SDP控制器，連接到認證服務（例如Active Directory、多因素認證等）
2. 讓接受SDP的主機上線，以認證控制器
3. 初始化SDP主機，認證控制器
4. 控制器確認己授權的通訊，建立主機之間的安全通訊。

SDP部署模型

模型部署的方式有許多種，可以配合不同的情境使用：

• Client-to-Gateway：將伺服器放在防火牆後，減緩在網路或是網際網路的橫向移動攻擊。
• Client-to-Server：類似Client-to-Gateway，但是由被保護的伺服器直接運行SDP軟體。
• Server-to-Server：在伺服器提供的API之間建立安全通訊。
• Client-to-Server-to-Client：針對像視訊會議之類的應用程式，建立安全的點對點連線。

SDP應用

SDP可以在不同的情形下提供安全性

• 企業應用程式隔離：保護敏感應用程式，不受網路上未授權的存取。
• 雲端安全性：建立公有雲、私有雲和混合雲的安全性。
• 物聯網（IoT）：保護管理IoT設備的後端應用程式。