CSA发布| SDP标准规范1.0

随着信息化的不断深入，基于互联网及各种专网部署的业务应用系统已非常普及，如何确保这些业务应用和数据的安全访问是当前网络安全的基础性问题之一。但现有网络条件下难以避免的各种先天缺陷和日趋复杂的应用场景，以及网络协议自身的广泛脆弱性和安全策略配置不严谨所带来的安全隐患成为常态，一味地堵漏洞、打补丁、防病毒等被动式防御和局部式治理、增量式修复的防护策略，已不能适应多变的网络安全形势。基于传统网络安全模型、以边界防护为核心的防护理念和措施也已不能满足应用和数据保护的需求，需要建立强信任、强可控、强防护的全域安全。

软件定义边界（Software Defined Perimeter，SDP）作为新一代网络安全解决理念，最早由云安全联盟（CSA）于2013年提出，其整个中心思想是通过软件的方式，在移动+云时代，构建起一个虚拟的企业边界，利用基于身份的访问控制，来应对边界模糊化带来的控制粒度粗、有效性差问题，以此达到保护企业数据安全的目的。经过多年发展，SDP技术在国际上越来越被广泛应用，Google的BeyondCorp以及美国国防部、中情局都已经采用SDP软件实现了安全办公，同时也催生了一批非常成功的创业公司，例如Zscaler和OKTA，在美国纳斯达克上市后，股票一路高升。

本次发布的《SDP标准规范1.0》描述了“软件定义边界(SDP)协议”，旨在提供按需、动态配置的安全隔离网络。安全隔离网络是与所有不安全网络隔离的可信网络，避免受到网络攻击。SDP 协议基于的工作流程 是由美国国防部(DoD)发明并被一些联邦机构(Federal Agencies)使用。基于这些工作流程的网络提供了更高级别的安全性，但与传统企业网络相比，它们被认为非常难以使用。

软件定义边界(SDP)虽然基于广义的 DoD 工作流程，但已为商业用途而将其修改，使其能与现有的企业安全控制兼容。在适用的情况下，SDP 遵循 NIST 关于加密协议的指南，SDP 可用于政府应用，例如安全访FedRAMP 认证的云网络以及企业应用程序，或实现对公有云的安全移动访问。

《SDP标准规范1.0》报告包括以下内容：

一、SDP架构

SDP 的体系结构由两部分组成:SDP 主机和 SDP 控制器。SDP 主机可以发起连接或接受连接。这些操作通过安全控制通道与 SDP 控制器交互来管理。 因此，在 SDP 中，控制平面与数据平面分离以实现完全可扩展的系统。 此外，为便于扩展与保证正常使用，所有组件都可以是多个实例的。

二、SDP工作流

三、SDP协议实现

客户端—网关模型

客户端—服务器模型

服务器—服务器模型

客户端—服务器—客户端模型

四、SDP应用

企业应用隔离

私有云和混合云

软件即服务（SaaS）

基础设施即服务（IaaS）

平台即服务（PaaS）

五、SDP 协议

六、日志

七、SDP 标准规范

无论你是一个企业、一个服务提供者、还是一个独立的实践者，我们都希望这项研究能够给您带来帮助。该文档将提高您对与IaaS环境相关的特定网络访问所面临的挑战，并通过软件定义边界SDP来帮助您解决这些问题。