安全边界—零信任系统

软件定义边界 (SDP) 产品，在终端上安装客户端后，能够实现管控终端、跨网联 通、应用隐身、物理单向、逻辑双向等诸多功能。通过实现人和应用一一对应认证授 权，把流量收束在指定的隧道中，更好的减少南北向对外暴露面和东西向内网横向移 动的问题，实现应用和应用之间的微隔离，确保用户在访问应用和数据的时候更加安全。

软件定义边界架构以用户为中心基于零信任构建身份认证体系，将架构分成控制 平面和数据平面两个逻辑域，架构由客户端、控制器和网关组成，构成了四个可信元 素：

可信身份：确保所有资源安全访问，基于身份实行严格的访问权限控制；

可信终端：确保入网的所有设备安全可控，满足且的安全基线（不论终端类型）；

可信网络：应用级隧道、基于应用“按需授权”，最小授权原则；

可信应用：用用白名单，杜绝违规的应用访问企业资源，保证所有接入安全。

软件定义边界架构优势：

端口隐藏：通过SPA单包授权技术，关闭互联网上的所有TCP端口，不为潜在的攻击者 提供任何扫描和攻击机会，让企业服务从互联网上“隐身”； 持续的信任评估：在使用过程中，SDP仍会对终端安全及用户使用行为进行持续的风险 与信任评估，根据不同安全等级的要求，灵活动态的调整访问权限。 软件定义边界架构的核心理念是零信任，即永不信任，始终校验。随着企业上云/移动 办公导致的网络边界的模糊，SDP摆脱了传统的防火墙/VPN边界的局限，保证了用户 安全，从而保证数据的安全。