疫情反复无常，各行各业复工成为难题，远程办公的需求持续爆发。咱们上回书到，目前市面上主流的远程办公安全方案分别基于VPN技术和零信任技术，我们就二者的区别和差异之处进行了分享。 远程办公安全方案还在用VPN？来试试更in的玩儿法 。本期我们继续为您带来零信任系列内容，并将围绕零信任SDP网络隐身技术的实现方式及带来架构革新进行分享。

作为零信任的最佳实践架构之一，SDP（Software Defined Perimeter）即软件定义边界一直备受市场瞩目，各类基于零信任SDP的解决方案不断被推出，但究其根源，无外乎以下3种实现方式：

01 UDP认证，TCP传输

默认关闭所有TCP端口，拒绝一切TCP连接，UDP端口通过抓包捕获SPA敲门包，验证用户身份，对不合法的信息，丢弃处理；对合法用户的IP暂时放行TCP端口，建立TLS加密传输隧道，然后关闭TCP端口，此时用户连接状态保持，可正常访问内网授权应用。而 TLS加密隧道的问题是传输效率低，这点可通过主流安全厂商的专利技术实现高速加密传输。

02 UDP认证，UDP传输

依旧采用UDP认证原理，但关闭TCP端口。其传输依靠基于UDP协议的网络隧道，其优点是传输效率和安全性高。

03 TCP认证，TCP传输

TCP认证，是以TLS 握手包扩展字段中的 OTP 动态码，采用特定的加密算法，作为客户端与服务端通信的校验码。如果OTP动态码正确，则连接建立成功。如果失败，则拒绝连接。而传输技术，则采用的是TLS加密传输隧道。

无论哪种实现方式，其最终的目的是践行零信任以身份为中心的理念： 先认证，再连接 。零信任SDP基于“零信任”理念，可将企业业务应用从互联网上“隐身”，进而有效减少攻击面，缓解或者彻底消除多种安全威胁、风险和漏洞，具体可参考国际云安全联盟CSA发布的《十二大网络安全威胁》白皮书。

说完零信任的零信任 SDP网络隐身技术的实现方式，再来聊聊零信任SDP在架构上带来了哪些革新。

众所周知，数字化转型不断推动企业IT资源上云，呈现多云、混合云、私有云等多种形态，企业业务移动化进程也在不断加快，企业IT架构正在从“有边界”向“无边界”转变。

此种网络环境下，较传统的VPN相比，零信任SDP可实现管理控制平面与传输数据平面的分离，其天然的可扩展性更适合多云、混合云架构。又因为SDP是软件形态，所以能更加便捷、低成本的提供SaaS服务。

目前市面上的零信任SDP方案，基于不同行业客户的属性和需求，普遍可提供私有化部署以及SaaS服务两种模式，其方案架构表现为：

01 私有化部署模式：

实现企业私有云的安全接入，同时，这种架构也很适合大型企业，满足多数据中心接入的需求，从下面这张架构图可以看到，管控平台集中部署，多个数据中心分别部署零信任安全网关，各安全网关受零信任管控平台统一管理，实现根据用户权限同时访问多中心应用资源。

02 SaaS服务模式：

SDP管控平台和网关部署在公有云上，构建起一个虚拟的安全边界，在企业公有云或者私有云的边界部署连接器，实现接入服务的注册，进而建立用户和数据中心的连接，实现我们的用户对公有云、私有云应用的快速安全接入访问。 美国上市企业、云安全服务商 Zscaler就是用的这个方案

对没有专业安全服务团队的企业来说，选择云安全服务，即可依托于云安全服务商专业的安全专家资源，享受更敏捷、更高效、弹性的享受最专业的安全保障。相信随着企业的业务逐步上云或者大量使用SaaS服务，越来越多的企业会选择零信任安全架构，进而解决数字化转型的安全痛点。

选择零信任方案 仍需擦亮眼睛

最后，随着零信任概念的愈发火热，零信任俨然已经成为网络安全行业的新宠儿，以至于做安全行业的，纷纷推出“零信任安全方案”，新瓶装旧酒的推出了多种零信任产品或者解决方案。甲方朋友们仍需擦亮眼睛，不看广告看“疗效”~

指掌易近年来一直在零信任领域进行深入研究，积极践行“零信任“安全理念，并围绕行业客户应用场景，推出EDTA企业数据可信访问解决方案，为企业在不可信的网络环境中构建新的安全边界。该方案目前已成功落地应用于多个行业头部客户，并获得良好口碑。指掌易凭借在零信任安全市场上先进的技术方案和丰富的落地案例，成功入选《IDC 特殊研究：中国网络安全市场新趋势-零信任市场研究》、《IDC创新者：零信任之软件定义边界与微隔离技术》、《IDC PeerScape：CIO视角-中国零信任市场研究》等多项报告，零信任能力获得IDC高度认可。