基于软件定义边界的服务保护方案

针对在零信任环境下,基于物理边界防护的传统网络安全架构逐渐被瓦解而导致的服务暴露问题,文章提出一种基于软件定义边界的服务保护方案。通过收集请求终端的用户属性和设备属性以对终端进行授权判定;使用单包授权认证机制进行先认证后连接,实现服务隐藏、身份认证及访问控制等功能;基于零信任持续认证的思想,在操作系统启动前基于固件层对访问终端进行初始度量,在操作系统启动后基于服务进行持续度量;最后,基于AHP设计信任评估算法对终端进行安全评估。从性能与安全性两方面进行分析,结果证明该方案能有效提高通信效率并抵御多种网络安全攻击。