CSA GCR发布| 《软件定义边界（SDP）和零信任》（中文版）

新闻详细

2020.08.19
8553

2020年8月10日，CSA大中华区在CSA Summit上正式发布《软件定义边界（SDP）和零信任》（中文版），白皮书对如何使用SDP来实现零信任网络（ZTN），为什么将SDP应用于网络连接，以及为什么是最先进的ZTN实现等问题进行了分析解答。

软件定义边界（Software Defined Perimeter, SDP）是一个能够为OSI七层协议栈提供安全防护的网络安全架构，实现资产隐藏，并在允许连接到隐藏资产之前使用单个数据包通过单独的控制和数据平面建立信任连接。使用SDP实现的零信任网络使组织能够更好防御新变种攻击方法，以及改善企业所面临攻击面日益复杂和扩大的安全困境。

从本质上讲，零信任是一种网络安全概念，其核心思想是组织不应自动信任传统边界内外的任何事物，并旨在捍卫企业资产。实施零信任需要在授予访问权限之前验证所有尝试连接到资产的事物，并在整个连接期间对会话进行持续评估。如图1所示，美国国家标准与技术研究院（NIST）描述了使用“信任边界”。

图1：来源：NIST，800-207，零信任架构第二版草案

软件定义边界（SDP）是零信任策略的最高级实现方案。云安全联盟CSA已采用并倡导将以下结构应用于网络连接：

图2：SDP架构（来自CSA SDP规范1.0）

• 将建立信任的控制平面与传输实际数据的数据平面分开。

• 使用动态全部拒绝（deny-all）防火墙（不是完全deny-all，而是允许例外）来隐藏基础架构（例如，使服务器变“黑”，不可见）-丢弃所有未经授权的数据包并将它们用于记录和分析流量。

• 访问受保护的服务之前，通过单包授权（SPA）协议来认证和授权用户以及验证设备。-最小授权在此协议中是自带的。

更多内容，请见白皮书：

在该白皮书中，CSA全球SDP工作组和CSA大中华区SDP工作组的多位专家们对SDP如何实现零信任的战略、价值、实施等内容做了原创和翻译，相信对广大的安全专家、CIO、CISO和公司业务高管在考虑企业的零信任落地时会有启示和帮助。

上一篇：CSA推出零信任专家认证CZTP，助力新型网络安全人才培养

下一篇：CSA GCR发布|《云计算的11类顶级威胁》（中文版）

本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站，您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息，或不希望当您使用网站时出现cookies，请阅读我们的Cookies声明和隐私声明。

全部接受

拒绝