네트워크 장치와 단말의 상태, ID를 확인해 권한 있는 사용자와 기기만 인프라에 액세스 권한을 부여하는 모델
인터넷에 연결된 인프라(서버, 라우터 등)를 숨겨 외부 당사자와 공격자가 볼 수 없도록 하는 방법
SDP 접근 방식의 목표는 HW 대신 SW를 기반으로 네트워크 계층에서 가상 경계를 설정하는 것
SDP 컨트롤러
모든 SDP 구성요소(SDP 게이트웨이 및 클라이언트)와 통신하며 관리자 역할을 수행 가장 중요한 역할은 정책에 따른 구성요소 간의 연결가능 여부의 결정
클라이언트의 접속 요청에 따라 신원 및 상태 등을 확인하고 접근제어 정책을 각 구성요소에 전달
SDP 클라이언트
컨트롤러와 통신하여 접속이 가능한 목록을 요청
컨트롤러는 클라이언트에게 인증 및 상태 등의 추가정보를 요청할 수 있으며, 이 응답에따라 접근 가능한 게이트웨이 또는 호스트의 목록을 전달 받음
SDP 게이트웨이
컨트롤러를 제외한 모든 접속 요청을 거부(reject)
컨트롤러에 의해 신원이 확인된 사용자 및 어플리케이션에 대한 연결 기능을 제공
컨트롤러는 RADIUS, PKI, OpenID, OAuth, LDAP 등의 다양한 인증방법과 연동될 수 있으며 추가적인 상태 정보 등을 요청할 수 있음
단말과 서버 사이 연결을 데이터 채널과 제어 채널로 분리하고, 인증 받지 못한 단말은 어떠한 서비스 연결 정보도 얻지 못하게 된다.
인증과 인가(허가)가 되기 전에는 DNS 정보나 IP 주소를 알 수 없는 블랙 클라우드 네트워크로 동작하며, 온프레미스, 하이브리드, 클라우드 환경에서 제로 트러스트 구현을 위한 완벽한 네트워크 보안을 제공한다.
SDP는 단일 패킷 인증, 장치 검증, 상호 전송 계층 보안, 동적 방화벽과 애플리케이션 바인딩의 5개 계층의 보안제어로 구성되며, 이러한 프로토콜들은 공격자가 보호된 응용프로그램에 접근하는 것을 어렵게 만든다.
민첩성(Agility)
MPLS, SD-WAN, VPN등의 네트워크와 보안 환경 변경 시 위치, 장비, 서비스 제공자 등의 제약조건이 발생
SDP는 사용자는 ID 중심으로, 서버 부분은 애플리케이션 중심으로 구성돼 민첩하게 보안 환경을 변경하고 관리·유지할 수 있게 한다.