SDP和VPN的区别,SDP改变了传统的网站连接方式

admin

目前，虚拟专用网络（VPN）是很多公司远程访问的解决方案之一。但是，VPN用户一旦获得授权就可以广泛访问公司网络上的资源。这种广泛访问的方法使潜在的敏感资源和信息暴露给VPN用户和攻击者。因此，围绕软件定义的边界解决方案（SDP）成为安全远程访问的一个更具吸引力的替代方案。
传统的VPN具有过度信任、访问广泛、复杂等问题。首先传统VPN遵循以网站为中心的拓扑结构，具有广泛的信任度。其次在传统的VPN网络访问中，一旦用户登陆了VLAN，他们的主机就可以广播地址解析协议（ARP），以检查是否有其他东西连接到这个网段。由于地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这最终会创建一个相当大的攻击界面，供黑客使用。最后，在企业迁移到云时，VPN管理变得复杂。IT管理员必须在不同的地理位置配置和协调VPN、防火墙策略。这反过来又很难拦截未经授权的访问。

SDP和VPN之间的差异概述如下：

与受 VPN 网关保护的服务器相比，创建受 SDP 保护的服务器需要不同的工作量。在 SDP 情况 下，一旦 SDP 控制器上线，用户可以通过软件设置，根据需要创建尽可能多的受保护服务器， 并且可以通过 LDAP 关联区分授权用户和未授权用户。
与 SDP 相比，设置 VPN 网关以保护单个服务器的资本和运营成本更高。 SDP 是可以部署在云环境中的软件架构。
SDP 可以同时用于安全和远程访问，而 VPN 网关则不能。如果要尝试在企业内使用 VPN 客户端和 VPN 网关来保护某个服务器，则用户无法使用远程访问 VPN 来访问服务器（因为 VPN 客户端已连接到远程访问 VPN 网关）然而 SDP 通信则可以在远程访问 VPN 之上进行。
SDP 可防止 DDoS 攻击，而 VPN 网关则不会。 SDP 连接接受方可以部署在与其保护的应用服务器不同的拓扑不同的位置，甚至从而对授权用户隐藏真实位置

SDP带来的改变
SDP改变了传统的网站连接方式。在传统的连接中，首先，客户端需要建立与服务器端的连接，这一步骤使服务端暴露在公网中，若服务端有漏洞，则有可能被利用；其次，用户通过登录页面输入用户名和密码，这一步骤有可能使得用户名和密码被窃取；最后，除用户名和密码外还可使用多因素认证，通过多因素认证，可以抵抗用户名和密码的丢失，但是多因素认证对于用户而言不是很友好。而在SDP中，首先，客户端进行多因素认证，认证设备的可靠性等，这一步对用户而言是透明的。认证通过之后，才进入用户登录阶段。这两步均是客户端与Controller进行交互，不涉及对于具体服务的访问。当认证通过后，客户端才能够与可访问的服务建立连接。

因此，SDP通过三种方式对抗基于网络的攻击：透明多因素认证可以抵抗用户凭据丢失、服务器隔离可以抵抗服务器利用、TLS双向认证可以抵抗连接劫持。
SDP可以提供对于网络系统、服务和应用的以人为中心、可管理的、普遍存在的、安全的和敏捷的访问。它解决了TCP/IP中的一个设计漏洞（在认证之前即对报文进行处理）。由于SDP的部署代价更低，因此，SDP可能颠覆网络防火墙和VPN技术。SDP同样有可能颠覆传统的网络安全技术部署，如NAC，Switch-to-Switch加密，内部的VPN能力。这是因为SDP的软件Agent技术可以部署在任何其支持的操作系统上，从而创建一个及时的和动态的网络边界。