腾讯云T-Sec SDP软件定义边界_内网资源安全访问

腾讯云T-Sec SDP 软件定义边界

软件定义边界（Software Defined Perimeter，SDP）以零信任架构为核心，通过隐身网关与最小授权机制，实现快捷、安全的内网资源访问解决方案。SDP 依靠使应用“隐身”的特色功能，使黑客无法扫描，从而消除各种网络攻击风险；SDP 同时具备多因子身份认证，依托腾讯安全大数据快速评估，阻止高风险用户接入。因此，SDP 适用于远程办公、应用上云、多方授权等业务场景。

立即咨询

产品概述

腾讯T-Sec SDP产品解决方案是一个遵循零信任原则，采用CSA SDP架构设计的新一代安全接入解决方案。T-Sec SDP主要包含五个组件，分别是客户端、隐身安全网关、SDP控制器、SDP安全管控平台、SDP连接器。

T-Sec SDP客户端

T-Sec SDP客户端在终端用户的设备上运行，用于与SDP控制器通信以请求连接，并向控制器发送设备或软件信息等数据，拦截本地目标流量转发至隐身网关。同时，T-Sec SDP客户端实时地对终端设备进行APP安全、网络安全、系统安全的检测以及多重用户身份的验证，以确保用户身份和终端设备可信。

T-Sec SDP隐身安全网关

T-Sec SDP隐身安全网关对访问请求进行验证和过滤，还可以对这些已授权的访问连接进行监视、记录和报告。隐身安全网关对外不开放任何固定端口，使业务服务器仅对授权的设备可见，从而保障企业服务的隐身性。

T-Sec SDP控制器

T-Sec SDP控制器对所有访问请求进行认证和动态授权，是产品架构中策略判定点。SDP控制器对所有的访问请求进行权限判定，这里的权限判定不再是基于简单的静态规则，而是基于上下文属性、信任等级和安全策略进行动态判定。SDP控制器动态权限判定依据是企业身份库、安全策略库、设备信誉库等数据，这些数据来源于T-Sec SDP安全管控平台的分析结果。

T-Sec SDP安全管控平台

管理员可以通过T-Sec SDP安全管控平台对所有的T-Sec SDP客户端和企业应用程序进行管理，创建并定义安全策略，为不同用户或用户组设置权限级别。同时T-Sec SDP安全管控平台还可以与企业已有的身份管理系统对接，管控平台通常与控制器部署在一起。

T-Sec SDP连接器

T-Sec SDP连接器在企业应用程序所在服务器和SDP隐身网关之间提供经过身份验证的安全接口，它们在运行时不需要任何入站开放端口，且企业应用程序仅通过SDP连接器与网关连接，无需对公网开放，以保证业务服务器仅对授权的设备可见。T-Sec SDP连接器可以部署至客户私有云环境或公有云环境中。

工作原理

1．安装在用户设备上的T-Sec SDP客户端使用单数据包授权（SPA）向SDP控制器发出访问请求，并发送设备或软件等信息。 2．T-Sec SDP控制器验证用户信息及设备信息，检查上下文，并将实时授权通过加密的token传递给T-Sec SDP客户端。 3．T-Sec SDP客户端使用SPA技术并带上实时授权信息向T-Sec SDP隐身网关发出请求。隐身网关根据请求信息和安全策略进行验证和匹配，然后允许或拒绝用户的访问请求。 4．T-Sec SDP 隐身网关为被允许的访问请求建立双向加密链接，客户端通过本地网卡拦截目标流量，通过加密隧道，和T-Sec SDP连接器访问隐身网关所指定的企业应用服务或资源。 5．持续动态地监控用户信息和访问行为，实时调整授权状态。

产品功能亮点

简单高效的访问体验

T-Sec SDP是一个统一安全接入产品，对无论内网用户还是外网用户，都提供一致的访问体验，并与企业常用的身份验证服务商集成实现单点登录，简化终端用户操作，进而提高工作效率。

易于部署，无需软硬件升级

T-Sec SDP是通过轻量级软件在用户与企业应用或资源之间建立安全连接，可直接在虚拟机上运行，客户只需在应用服务器之前部署T-Sec SDP连接器、开通连接器访问隐身网关权限，以及在用户终端安装T-Sec SDP客户端，便可快速建立SDP安全访问体系。同时，各个组件支持平行扩展，可快速的扩容。

业务服务隐身，减少业务暴露面，避免遭受攻击

网络隐身

：T-Sec SDP安全隐身网关对外不开放任何固定端口，业务服务器仅对授权的设备可见。企业应用仅通过连接器与网关连接，无需对公网开放，保证企业业务服务的隐身性。

私有DNS

：私有 DNS 功能可以隐藏业务系统的DNS、IP 信息，业务可以不在外网做 DNS 解析，只需在控制中心配置业务系统的域名与 IP 的对应关系，客户端即可做对应解析，因为业务系统的DNS、IP没有暴露在互联网上，黑客也就无从攻击。

多重安全技术实现安全连接

T-Sec SDP采用端口敲门、单包授权（ SPA ）、动态端口及双向加密通信等多重安全策略实现安全连接。其中，T-Sec SDP通过SPA单包认证技术实现 “先认证后连接”模型，弥补了TCP/IP开放且不安全的不足。

端口敲门技术（Port-Knocking）

端口敲门是一种通过服务器上关闭的端口来传输约定信息的方法，从而在用户访问受保护服务之前对用户进行身份验证，主要用于对公网开放的服务如sshd进行安全防护。

单包授权技术

（Single Packet Authorization）SPA把敲门所需要的信息即授权包PA（Authorization Packet），编码在单个数据包内，然后发送给服务器的任意端口。

动态端口技术（Dynamic Ports）

在通过SPA单包授权后，网关会随机基于约定算法开放端口给到客户端，该端口仅对该IP在短时间内开启，建立连接后即失效。

多重认证确保身份可信

T-Sec SDP集成基础的MFA多因子认证能力，移动端支持人脸识别、指纹、图形密码、扫码登录等身份认证方式，同时可对接短信/OTP等MFA能力。

T-Sec SDP支持快速对接第三方身份认证系统，如OpenLDAP、WindowsAD、企业微信身份源及认证，也可以定制支持与其他第三方身份系统。

端安全检测确保设备可信

T-Sec SDP集成基于腾讯安全大数据的终端安全检测能力，利用设备信誉库、智能人机识别、设备环境检测、设备指纹等安全检测能力，多维度且动态地确保企业应用环境、网络环境、系统环境的安全及可信。

更细粒度的访问控制引擎

T-Sec SDP可以使客户获得以身份为中心的更细粒度、更友好的访问控制策略，控制条件包括用户群、地理位置、时间、设备、风险、网络及可访问应用程序等。客户可以根据其特定安全性要求动态地设置个性化网络边界和访问权限。避免了用户过度授权，大大减少攻击面，也减少了员工泄密的可能。

行为安全和态势感知

T-Sec SDP可以汇聚各个T-Sec SDP隐身安全网关以及所有客户端发送过来的日志及审计信息，对汇聚信息进行智能统计分析，如用户登录认证日志、用户访问趋势、资源访问分析、非法请求统计、控制台行为日志等，以满足企业运维及安全需求。

支持多场景安全接入

终端用户可在终端一键切换使用场景，从而执行不同等级安全策略，以满足不同场景要求不同安全访问策略的需求。场景设置灵活、可扩展，客户可以根据业务需要扩展多种场景，终端用户可以根据访问需求选择适合的场景接入。例如，企业财务人员需经常进入财务系统处理事务时，由于该类访问要求较高的安全性，企业可以针对该类访问设置只面向财务人员的高安全要求的访问控制策略，财务人员必须通过此访问策略的安全检测和链路才能访问企业财务系统；而当财务人员进行普通线上办公时，使用普通场景安全接入即可。做到了既细粒度、高安全地保障企业资源，又提高了用户使用效率和使用体验。

可视化资源管理及控制

企业管理员可以在T-Sec SDP安全管控平台上便捷地管理和控制网关、连接器、应用等资源信息，安全管控平台通过可视化的展示和操作帮助管理员更加直观地了解到网络架构及节点运行情况。

产品价值—提升业务系统安全性 icon

T-Sec SDP 通过最小化攻击面来降低安全风险，并通过分离访问控制和数据信道来保护关键资产和基础架构，使其中的每一个都看起来是 “隐身”的，从而阻止潜在的基于网络的攻击。

T-Sec SDP根据预先验证哪些用户和设备可以连接(从哪些设备、哪些服务、基础设施和其他参数)来控制所有连接，如果没有预先认证和预先授权，以及携带正确的SPA数据信息，SDP隐身网关会默认拒绝来自恶意终端的网络连接请求，以防止因账号劫持带来的数据泄露。

综上，T-Sec SDP可以帮助企业建立高安全性网络架构，在边界防护、入侵防范、通信传输、身份鉴别、数据保密等方面，进一步收窄企业业务系统暴露面，更细粒度地保障业务系统的边界安全。

产品价值—降低企业安全成本，提升办公效率 icon

节省企业安全成本及人力

T-Sec SDP为客户提供安全接入云服务。客户原有的应用无需做改造，仅需在业务服务端部署轻量级连接器（私有化则部署几个产品包）实现安全访问；因此使用T-Sec SDP替换传统网络安全组件可降低采购和支持成本。T-Sec SDP 还可以通过减少或替换MPLS和租用线路利用率来降低成本，因此企业可以减少或消除对专用主干网的使用以及降低企业安全管理人员的操作复杂度。

保障企业安全迁移上云

T-Sec SDP通过降低所需安全架构的成本和复杂性，支持公有云、私有云、数据中心和混合环境中的应用程序，T-Sec SDP可以帮助企业快速、可控和安全地采用云架构。

提高企业用户办公效率和体验

-Sec SDP通过一键式的访问操作、集成企业身份认证系统实现单点登录以及主动性安全检测等，降低用户学习成本，提高用户协同办公的效率。

应用场景—替代VPN进行远程办公，实现零信任远程访问 icon

与传统的远程接入方案相比，T-Sec SDP能够解决数据泄漏、内部人员恶意威胁、DDos等应用和身份的安全性问题。同时做到更细粒度的访问控制、更方便的运维管理，以及为终端用户提供更快速、更易用的使用体验。

应用场景—企业内网安全加固 icon

1．隐藏企业内部应用，企业边界无需暴露，自动化解来自外部的全天候的网络漏洞扫描和入侵； 2．企业可以实现统一的的接入用户可视化，应用可视化，威胁可视化； 3．缓解恶意DDOS攻击，防止数据泄漏。

应用场景—分支机构远程接入企业内部系统 icon

1．保障企业合并的员工数量大增，仍然可以平滑快速接入访问企业资源； 2．极大降低企业网络边界重新规划的复杂性和时间成本（数月变为数天）； 3．简化业务合并和管理，统一的安全访问和策略快速扩展到所有企业云端和数据中心的资源； 4．全球多节点接入保障跨地域大量的员工快速和安全接入； 5．审计和分析所有未知流量，识别可信的用户和设备。