软件定义安全边界 (SDP) 深度系列
1. 核心综述
传统的“边界防御”模式(防火墙+VPN)正在失效。现代主流做法是 SDP (Software Defined Perimeter),其核心逻辑是“先验证身份,后建立连接”。
2. 范式转移:从“堡垒模式”到“隐身模式”
2.1 架构图示对比
graph LR subgraph "Traditional: Castle-and-Moat" U1[User] --> VPN[VPN/Firewall] VPN --> Internal[Internal Network] Internal --> App1[App A] style Internal fill:#f96,stroke:#333 end subgraph "Modern: SDP (Black Cloud)" U2[User] -- "Authenticate" --> Ctrl[SDP Controller] Ctrl -- "Sync Policy" --> GW[SDP Gateway] U2 -- "Encrypted Tunnel" --> GW GW --> App2[App A] style GW fill:#69f,stroke:#333 end
3. 深度洞察:为什么 SDP 是东西向安全的终极武器?
SDP 的核心价值在于彻底解决了数据中心内部的东西向 (East-West) 流量安全。
- 扼杀横向移动:通过“黑云”架构使资源隐身。
- 微隔离实现:结合 Consul Connect 实现身份级授权。
- 联动观测:通过 DeepFlow eBPF 实时监控内部拓扑。