自从2014年在云安全联盟峰会上提出了软件定义边界（SDP）的初始规范以来，零信任安全/SDP的概念一直在不断发展。它的基本原理是在一个或一组应用程序周围创建基于身份和环境的逻辑访问边界，应用服务器被隐藏在一批SDP代理网关后面。在允许访问之前，代理验证指定参与者的身份，环境和是否遵守政策。这使服务器不用暴露在公网中，并大大降低了被攻击的可能性。

传统的DDoS防御方案，是通过增加入口带宽并在机房部署DDoS防护设备，基于已知的特征库，对访问服务器的流量进行规则匹配检测，并依靠网络带宽进行清洗来实现防御。

SDP架构从设计上就只允许“合法”报文进入，丢弃“非法”报文。在SDP 网络中，主机是被隐藏起来的，SDP客户端和SDP边缘节点配合来识别“合法” 报文。 

缔盟云于 2017 年研发了一款基于零信任理念的 DDoS 防护产品“太极盾”，上市以来，为2500万终端，近200万日活用户提供DDoS防护服务。率先将零信任理念在DDoS防护领域落地并取得成功。缔盟云DDoS防御原理如图1。

 图1：缔盟云DDoS防御原理图

对零信任/SDP原则的遵循

1) 分布式部署SDP网关。

在公有云上部署一系列SDP网关和SDP控制器，将服务器隐藏在后面。

2) 验证设备

要实现零信任安全，就要把控制扩展到设备级。终端用户在请求中需携带唯一的硬件标识码和客户端证书才能获得授权进入。未经过验证的设备不具有可信度，如：使用一台越狱的手机或者模拟器进行登录。相比之下，使用常用的可信设备进行访问，则可信度较高。

3) 验证应用

提取APP证书签名信息和设备指纹，确保仅合法终端和合法APP接入。在客户端App中集成的太极盾SDK与SDP网关之间建立加密的IP隧道，只允许通过SDK接入的合法业务进入。

4) 验证报文

应用创新的报文基因技术，确保每条报文都具备唯一的基因标识，SDP 网关对每条报文进行可信验证，拒绝重放报文通过SDP代理网关进入网络。

5) 自学习和自适应

SDP 控制器收集用户的访问行为信息，形成日志数据库进行机器学习分析，对设备访问策略进行分类。

实践中总结的产品优点

1) 去中心化：采用全云化的分布式架构，云防护节点可以做到自主调度，业务分流，无调度中心，全程无硬抗环节，完全摒弃了传统高防对带宽流量的依赖，防护无上限。

2) 彻底防御CC攻击：通过创新的报文基因技术，在用户与防护节点之间建立加密隧道，准确识别合法报文，阻止非法流量进入，因此能彻底防御CC攻击等资源消耗型攻击。

3) 全网BGP：超16条线路的优质BGP网络环境，网络质量好。

4) 防御 DNS 攻击：客户端通过虚拟防护 IP接入云防护节点，无需通过DNS服务器解析，因此黑客无法通过DNS服务器发起攻击或劫持。

5) 智能主动防御：可以智能识别并屏蔽恶意终端，使攻击处于自耗尽状态；智能调度云防护节点负载分担；基于细胞再生修复原理，云防护节点主动上线，自动接管业务，秒级切换。
 

预告｜零信任十周年峰会将于6月5日举办，报名通道开启