CSA GCR发布| 《软件定义边界（SDP）和零信任》（中文版）

2020年8月10日，CSA大中华区在CSA Summit上正式发布《软件定义边界（SDP）和零信任》（中文版），白皮书对如何使用SDP来实现零信任网络（ZTN），为什么将SDP应用于网络连接，以及为什么是最先进的ZTN实现等问题进行了分析解答。

软件定义边界（Software Defined Perimeter, SDP）是一个能够为OSI七层协议栈提供安全防护的网络安全架构，实现资产隐藏，并在允许连接到隐藏资产之前使用单个数据包通过单独的控制和数据平面建立信任连接。使用SDP实现的零信任网络使组织能够更好防御新变种攻击方法，以及改善企业所面临攻击面日益复杂和扩大的安全困境。

从本质上讲，零信任是一种网络安全概念，其核心思想是组织不应自动信任传统边界内外的任何事物，并旨在捍卫企业资产。实施零信任需要在授予访问权限之前验证所有尝试连接到资产的事物，并在整个连接期间对会话进行持续评估。如图1所示，美国国家标准与技术研究院（NIST）描述了使用“信任边界”。

图1：来源：NIST，800-207，零信任架构第二版草案

软件定义边界（SDP）是零信任策略的最高级实现方案。云安全联盟CSA已采用并倡导将以下结构应用于网络连接：

图2：SDP架构（来自CSA SDP规范1.0）

• 将建立信任的控制平面与传输实际数据的数据平面分开。

• 使用动态全部拒绝（deny-all）防火墙（不是完全deny-all，而是允许例外）来隐藏基础架构（例如，使服务器变“黑”，不可见）-丢弃所有未经授权的数据包并将它们用于记录和分析流量。

• 访问受保护的服务之前，通过单包授权（SPA）协议来认证和授权用户以及验证设备。-最小授权在此协议中是自带的。

更多内容，请见白皮书：

在该白皮书中，CSA全球SDP工作组和CSA大中华区SDP工作组的多位专家们对SDP如何实现零信任的战略、价值、实施等内容做了原创和翻译，相信对广大的安全专家、CIO、CISO和公司业务高管在考虑企业的零信任落地时会有启示和帮助。

感谢CSA大中华区对本报告的辛勤付出：

编译组长：陈本峰、郑大义

编译组员：崔泷跃、高巍、靳明星、杨正权、姚凯、

于乐、余晓光

贡献单位：华为、万物安全、易安联、云深互联

(以上按字母拼音排序)

关注本公众号，回复“下载”，获取《软件定义边界（SDP）和零信任》（中文版）下载方式。

相关阅读

重磅| 零信任专家认证CZTP，全球首期公开课开启

BCS 2020：零信任安全已全面落地

实施零信任战略能给企业带来哪些收益？

CSA GCR发布｜零信任架构草案第二版本中文版

CSA零信任十周年峰会圆满召开，零信任专家认证成功发布

CSA发布| SDP标准规范1.0

深云SDP

零信任SDP专业平台

立即试用

立即试用