阿里云的應(yīng)用身份服務(wù)(IDaaS)中的身份定義邊界 SDP，幫助企業(yè)實(shí)現(xiàn)更安全、高效的云端身份管理和訪問控制，支持多種復(fù)雜企業(yè)應(yīng)用場景的解決方案。

　　IDaaS 提供的身份定義邊界 (SDP) 產(chǎn)品借鑒了阿里云終端和網(wǎng)絡(luò)管理的經(jīng)驗(yàn)，在終端上安裝客戶端后，能夠?qū)崿F(xiàn)管控終端、跨網(wǎng)聯(lián)通、應(yīng)用隱身、物理單向、邏輯雙向等諸多功能。通過實(shí)現(xiàn)人和應(yīng)用一一對應(yīng)認(rèn)證授權(quán)，把流量收束在指定的隧道中，更好的減少南北向?qū)ν獗┞睹婧蜄|西向內(nèi)網(wǎng)橫向移動(dòng)的問題，實(shí)現(xiàn)應(yīng)用和應(yīng)用之間的微隔離，確保用戶在訪問應(yīng)用和數(shù)據(jù)的時(shí)候更加安全。

　　軟件介紹：

　　1. 一個(gè)中心

　　身份定義邊界 SDP 基于零信任的理念，以身份認(rèn)證為中心，通過強(qiáng)大的 IDaaS 身份認(rèn)證能力，提供對用戶訪問業(yè)務(wù)過程中的持續(xù)認(rèn)證和動(dòng)態(tài)授權(quán)，確保僅向授權(quán)用戶開放授權(quán)的應(yīng)用和數(shù)據(jù)。

　　2. 兩層應(yīng)用

　　針對應(yīng)用的不同類型，Web 和 TCP， SDP 可以分層處理。 既遵循了相同的安全理念， 又保證了性能，支持上萬TPS的并發(fā)。針對 L7 的 Web 和 API， 可以在 HTTP 的頭部植入 id_token，針對 L4 的 SSH 和 RDP 應(yīng)用，可以在 TCP/UDP 隧道上綁定 id_token，從而實(shí)現(xiàn)對業(yè)務(wù)的細(xì)粒度的訪問控制。

　　3. 三重隱身

　　身份定義邊界(SDP)提供三重網(wǎng)絡(luò)隱身能力。網(wǎng)關(guān)隱身：網(wǎng)關(guān)默認(rèn)關(guān)閉所有端口，客戶端通過單包敲門與網(wǎng)關(guān)建立連接。應(yīng)用隱身：授權(quán)用戶僅能看到授權(quán)應(yīng)用，無法看到非授權(quán)應(yīng)用。內(nèi)網(wǎng)隱身：通過應(yīng)用連接器，實(shí)現(xiàn)物理單向，邏輯雙向。內(nèi)網(wǎng)防火墻上不需要開放任何入方向端口，不暴露任何內(nèi)網(wǎng)服務(wù)。

　　4. 四類終端

　　支持Windows、macOS、Android、iOS四類終端，在各類設(shè)備上都可以順暢使用。同時(shí)，提供SDK，簡單幾步即可與企業(yè)現(xiàn)有的業(yè)務(wù)應(yīng)用無縫集成，提供安全高效的接入能力。

　　5. 五個(gè)可信身份

　　以泛身份的理念，將用戶訪問業(yè)務(wù)過程中的各種因素都身份化，構(gòu)建可信用戶、可信設(shè)備、可信網(wǎng)絡(luò)、可信應(yīng)用、可信連接器五個(gè)可信身份。通過對可信身份進(jìn)行的逐一檢查，持續(xù)校驗(yàn)，保障業(yè)務(wù)安全。