軟體定義邊界（Software Defined Perimeter，SDP）作為新一代網路安全解決理念，最早由雲安全聯盟（CSA）於2013年提出，其整個中心思想是通過軟體的方式，在移動+雲時代，構建起一個虛擬的企業邊界，利用基於身份的訪問控制，來應對邊界模糊化帶來的控制粒度粗、有效性差問題，以此達到保護企業資料安全的目的。

SDP的應用正在迅速普及，其有效性在許多企業和案例中得到了廣泛的驗證。隨著越來越多的企業戰略性地擁抱雲端計算IaaS平臺，並且迫切需要雲上資源的安全訪問，我們相信，致力於保護雲上資源的安全架構——SDP的時機已經到來。

如今，IT和安全管理者已深刻認識到，企業和雲提供商有責任共同面對IaaS安全挑戰。IaaS與傳統的內網相比，有不同的使用者訪問和安全需求（並且在某些方面更具挑戰），然而，這些需求並不能完全由傳統安全工具或者IaaS供應商提供的安全架構來滿足。

使用軟體定義邊界（SDP）架構，企業使用者可以安全地訪問他們的IaaS資源，且不妨礙業務使用者或IT生產力。事實上，當正確部署時，SDP可以成為改變網路安全在整個企業中實踐的催化劑——無論是在內網還是公有云的環境。有了SDP，企業可以有一個集中管控並且策略驅動的網路安全平臺，覆蓋他們的整個基礎設施（無論是在內網還是公有云環境）和他們的整個使用者群體，這是一個引人注目的願景。近日，中國雲安全聯盟專家委員會專家翻譯並審校CSA報告《軟體定義邊界在IaaS中的應用》（Software Defined Perimeter for Infrastructure as a Service），《軟體定義邊界在IaaS中的應用》報告旨在探索和解釋軟體定義邊界（SDP）部署於IaaS時，對提高安全性、合規性和運維效率的相關優勢。通過本報告，讀者能夠清楚認識到企業IaaS所面臨的安全挑戰（基於共享責任模型），原有的IaaS訪問控制與傳統網路安全工具結合產生的安全問題，以及軟體定義邊界在各種場景中的解決之道。

《軟體定義邊界在IaaS中的應用》報告包括以下內容：

一、 技術原理

本章節重點講述對於安全性更為複雜的IaaS環境，為什麼傳統的網路安全方法不適用。而相比於傳統的安全工具，SDP可以解決哪些安全威脅，具有何種優勢。

二、 IaaS使用場景

本章節的重點是如何將SDP部署於（IaaS）基礎設施的環境中，重點為以下用例：

• 開發人員安全訪問IaaS環境

• 業務使用者安全訪問內部公司應用服務

• 管理員安全訪問公共對外服務

• 在建立新伺服器例項時更新使用者的訪問許可權

• 服務提供商的硬體管理後臺訪問

• 多企業帳戶訪問控制

三、 增強SDP規範的建議

四、 混合雲及多雲的環境

五、 替代計算模型和SDP

六、 容器和SDP

七、 結論和下一步計劃

無論你是一個企業、一個服務提供者、還是一個獨立的實踐者，我們都希望這項研究能夠給您帶來幫助。該文件將提高您對與IaaS環境相關的特定網路訪問所面臨的挑戰，並通過軟體定義邊界SDP來幫助您解決這些問題。