원클릭으로
deploying-software-defined-perimeter
部署软件定义边界(Software-Defined Perimeter,SDP),围绕各个资源创建动态配置的、以身份为中心的边界,通过"暗云"方法实现零信任访问控制。
Codex 또는 Claude로 설치 이 Prompt를 복사해 Codex, Claude 또는 다른 어시스턴트에 붙여 넣으면 Skill 페이지를 검토하고 설치를 진행할 수 있습니다.
메뉴
部署软件定义边界(Software-Defined Perimeter,SDP),围绕各个资源创建动态配置的、以身份为中心的边界,通过"暗云"方法实现零信任访问控制。
Codex 또는 Claude로 설치 이 Prompt를 복사해 Codex, Claude 또는 다른 어시스턴트에 붙여 넣으면 Skill 페이지를 검토하고 설치를 진행할 수 있습니다.
SOC 직업 분류 기준
| name | deploying-software-defined-perimeter |
| description | 部署软件定义边界(Software-Defined Perimeter,SDP),围绕各个资源创建动态配置的、以身份为中心的边界,通过"暗云"方法实现零信任访问控制。 |
| domain | cybersecurity |
| subdomain | security-operations |
| tags | ["cybersecurity"] |
| version | 1.0 |
| author | mahipal |
| license | Apache-2.0 |
domain: cybersecurity subdomain: zero-trust-architecture author: mahipal tags: [zero-trust, sdp, software-defined-perimeter, network-access, ztna] difficulty: advanced estimated_time: 4-6 hours prerequisites:
软件定义边界(Software-Defined Perimeter,SDP)通过围绕各个资源创建动态配置的、以身份为中心的边界来实现零信任。由云安全联盟(CSA)定义,SDP 通过"暗云"方法使未授权用户无法看到应用基础设施,即在认证和授权之前服务处于隐藏状态。与传统 VPN 不同,SDP 在经过验证的用户与特定应用之间建立一对一加密连接。
本技能涵盖使用 CSA v2.0 规范部署 SDP、实施单包授权(Single Packet Authorization,SPA)、配置 SDP 控制器和网关,以及根据 NIST SP 800-207 要求验证部署。
┌─────────────────────┐
│ SDP 控制器 │
│ - 认证 │
│ - 授权 │
│ - 策略管理 │
│ - 密钥管理 │
└──────────┬──────────┘
│
┌──────┴──────┐
│ │
v v
┌────────┐ ┌────────────┐
│ IH │ │ AH │
│(客户端)│ │(网关) │
│ │ │ │
│ SPA │──│ 受保护 │
│ mTLS │ │ 资源 │
└────────┘ └────────────┘
IH = 发起主机(Initiating Host,用户设备)
AH = 接受主机(Accepting Host,应用网关)
SPA = 单包授权(Single Packet Authorization)
SPA 是一种网络安全机制,SDP 网关默认丢弃所有 TCP/UDP 数据包。在建立任何连接之前,必须发送经过密码签名的单个数据包。网关验证 SPA 数据包后,才为经过身份验证的会话临时开放端口。这使网关对端口扫描器不可见。
SPA 验证后,客户端和服务器使用 X.509 证书相互认证。这种双向认证防止中间人攻击,确保两个端点都经过验证。
SDP 连接基于实时策略评估按需配置。不存在持久性网络隧道;每个会话都单独授权和加密。
部署 SDP 控制器
配置认证
定义访问策略
部署接受主机(网关)
配置应用定义
部署发起主机(客户端)
验证端到端流程
安全测试
监控与维护
通过分析 Zeek dns.log 中的高熵子域名查询、超量查询量、超长查询长度以及异常 DNS 记录类型,检测 DNS 隧道和数据外泄中的隐蔽通道通信。适用于:当需要狩猎基于 DNS 的 C2 或数据外泄通道、调查异常 DNS 查询模式、或响应涉及 DNS 隧道工具(iodine、dnscat2、DNSExfiltrator)的威胁情报时使用。
实施 Google 的 BeyondCorp 零信任访问模型,通过 IAP、Access Context Manager 和 Chrome Enterprise Premium,消除网络边界的隐式信任,强制执行基于身份的访问控制,实现无 VPN 的安全应用访问。适用于将传统 VPN 替换为零信任架构、部署 Identity-Aware Proxy、配置设备信任策略、或为远程办公实施上下文感知访问控制时使用。
在授权的安全评估过程中,使用 Burp Suite 的扫描器、Intruder 和 Repeater 工具识别和验证跨站脚本(XSS)漏洞。适用于 Web 应用渗透测试中检测反射型、存储型和 DOM 型 XSS,验证自动化扫描器报告的 XSS 发现,以及评估 CSP 和 XSS 过滤器的有效性时使用。
攻击活动溯源归因分析涉及系统性地评估证据,以确定哪个威胁行为者或组织对某次网络行动负责。本技能涵盖使用 Diamond Model 和 ACH(竞争假设分析)收集并加权溯源归因指标、分析基础设施重叠、TTP 一致性、恶意软件代码相似性、操作时序模式和语言痕迹,以构建置信度加权的溯源归因评估。
从 PE 文件和内存转储中提取并分析 Cobalt Strike beacon 配置,以识别 C2 基础设施、Malleable C2 配置文件和攻击者操作惯例。
使用 Ghidra 及专用脚本对 Go 编译的恶意软件进行逆向工程,包括函数恢复、字符串提取和去符号表 Go 二进制文件的类型重建。