登录
首页
会员
活动
研究
培训
评测认证
解决方案
关于我们
新闻详细
安诠|零信任SDP X 等保2.0应用分享会直播回顾
2020.05.12
4185
零信任SDP X等保2.0应用分享会是云安全联盟大中华区对近日发布的《软件定义边界(SDP)实现等保2.0安全架构指南》(以下简称“指南”)而策划发起的一场线上圆桌分享活动。此次吸引了2000+观众在线观看,热议不断,备受好评。
本次活动,由来自云安全联盟大中华区研究院副院长贾良玉、中国电信研究院应用安全研究所所长何国锋、华为高级安全专家余晓光、云深互联联合创始人兼CEO陈本峰、易安联副总经理兼CTO秦益飞、深信服解决方案主管刘鹏、天融信资深安全顾问汪云林、字节云智CEO高巍共8位专家在线分享,针对零信任SDP、等保2.0在通用领域、云计算、移动互联安全、物联网、工业控制系统领域的实践应用深度解析。为了给大家分享更多内容,原定90分钟的直播分享延长到130分钟,着实是一场干货满满的分享。
“众所周知,相对于物理定义边界,今天的互联网边界日益模糊,由此产生了新的安全模式:软件定义边界SDP,SDP从根本上颠覆了过去网络安全的模型。过去基于物理边界,在未来它是基于以身份为核心,让所有的服务器和办公设备在任何云上,也可以在任何一个数据中心。SDP打破了完全传统边界的束缚,这种无边界的数据流动,可以让整个社会产生更高的生产力,包括现在国家重点强调的新基建。显然未来很多产品也要基于这种软件定义边界的安全模式来做,所以零信任、SDP的安全理念,还有安全的架构,它是适应整个云大物移的发展趋势。而且,等保2.0里面加入了云计算、移动互联网、物联网、工控安全等网络空间扩展要求,等保的要求也是跟随这个时代,向云大物移去发展。所以 SDP、等保2.0都是云大物移新趋势下的产物。” 陈本峰提到。
上面我们提到了云大物移几个方向,接下来,我们就云计算、移动互联网安全、物联网、工控系统安全等领域的对话内容与大家分享解析,供大家阅读。
当我们谈到物联网,它面临的传统安全问题,SDP的优势有哪些?
余晓光:目前物联网领域面临的问题及SDP优势如下:
问题:
1. 物联网的终端特别多,现网的暴露也非常多,所以暴露的攻击面非常大,安全保障难度更大。
2. 终端本身的厂家,他的安全能力和意识,包括成本、承受能力都不一样,所以厂家的安全能力是参差不齐的。
3. 海量终端,管理难度大。
4. 数据众多,存在容易被篡改的问题。
SDP优势:
1.攻击面被隐藏,减少了互联网上的攻击面;而且认证访问的机制,对特定用户授权,确保了数据的安全性。
2.SDP的控制面和数据面是分离的。对所有接入的感知终端和网关,控制面都能够感知到他们相应的位置和安全状况,可以对所有的接入点进行管控,而且能够知道他们相应的一个实时状态,对海量终端进行全面的监控和保护。
云计算领域如何发挥SDP优势,降低风险?
秦益飞:SDP不是为了等保2.0而生,但它却是为了云计算而生。
1. 以用户身份为中心的隔离方式,结合网关代理技术以及隔离技术,可以把我们应用访问的边界不局限于物理边界,而是以用户为一个边界。
SDP的应用中有三种部署方式:
1)内嵌式。
2)虚机的方式。
3)传统的物理化的部署方式。
2.控制和转发的分离。它有了一个统一的鉴权中心,统一的网络设备管理中心,统一的策略中心。强调对区域的保护、边界的保护、访问的控制,实际上是可以减缓,或者部分减缓,从而达到这方面的一个保护目标。
SDP在工控领域有哪些方面的应用?
汪云林:目前SDP在传统工业控制系统上使用比较困难,由于工业控制系统的特性(高稳定性),对传统工业控制系统实现SDP架构改造不现实。但是随着工业互联网的发展,SDP在工业互联网中应用是非常完美的一个安全解决方案。
1.首先,工业互联网意味着很多工业设备或服务面向互联网,如何防范互联网安全威胁攻击,是工业互联网面临重要问题,SDP通过隐身技术,可以使工业互联网在面向互联网层各类传统(如黑客、APT等)安全威胁得以规避,减少互联网安全风险。
2.工业互联网涉及通过互联网传输工业数据及业务,SDP可以动态构建加密的网络,并且可以和国密算法相结合,保证了工业互联网传输安全。
3.在工业互联网的系统中,人员、设备、应用等会跨工厂、跨网络、跨地域,其安全管理面临较大挑战,SDP采用零信任、安全准入、最小资源授权等安全措施,能更好的解决工业互联网中人员、设备、应用/资源的安全管理,降低工业互联网安全风险等等。
如何利用SDP去进行移动互联安全领域的防范? 在这个领域是不是也有一些它擅长和不擅长的方面?
何国锋:安全是没有绝对的,也没有一个技术可以解决所有安全问题,而且,SDP不仅仅适用云环境,像移动互联网的场景也是适合的。尤其是在疫情期间,移动办公、远程办公会更深刻感受到需要一种技术来保障安全。
移动办公、远程办公导致网络边界的消失,按照习惯思维,将网络不断划小,形成不同的安全域,也就是常说的微分段模式,但是如果用硬件来实施,成本非常高,这时候比较适合软件来做,也就是软件定义边界SDP。SDP的最终目标是做到安全跟应用的深度融合。SDP将作为一个安全的模块内嵌在应用里头,它不再是一个独立的网元或者软件,也是现在常说的内生安全。
SDP有三个比较大的优势:
1. 以身份认证为核心,先鉴权后连接。
2. 动态信任评估,但这块的性价比还值得探索。
3. 单包认证,最小化攻击面,降低风险。通过分离控制、访问控制和数据通信能够保护关键的资产和基础架构。
零信任和SDP关系?
何国锋:零信任是一种理念,核心是对网络的不信任。SDP是一个技术方案、技术框架,SDP落地不仅是网络层控制,更多是应用层的安全保障。
SDP如何落地?
刘鹏:软件定义边界SDP的本质是一套访问控制的策略体系,核心思想是构建身份为中心的,对于网络传输进行动态访问的控制。其以网络为实施范围,以实体身份作为抓手,最终实现数据层面的安全,和“一个中心,三重防护”的等级保护的理念不谋而合。但是二者并不能一一对标,主要的切合点还是集中在安全区域边界和安全网路通信以及安全计算环境的要求。比如在安全计算环境当中的身份鉴别、访问控制、安全审计和入侵防范数据完整性等方向都有着一定的适用。
但在落地过程中,一方面如何结合零信任的理念,通过信任和风险的反馈控制,实现“精确而足够”的信任,另一方面和现有的网络安全充分融合发挥更大的效果,满足国内等级保护2.0的要求都是需要纳入考虑范畴的,换句话说要符合中国的国情。
所以我认为落地主要应分为两个阶段,第一阶段为信任建立阶段:信任建立前,默认任何用户、设备都不可信。依据身份、设备、环境的多源上下文信息,在信任控制中心对用户、设备进行信任的评估,依据评估结果确定信任等级,建立信任。基于信任等级和资源安全等级,确定访问控制规则,下发安全接入网关,开展业务访问。
第二阶段为信任和风险控制阶段:访问过程中,通过检测分析中心、终端管理中心、身份认证中心,对访问行为、设备状态、环境态势、资源安全等级进行持续的风险和信任评估。依据评估结果,调整信任等级以及访问控制规则。持续循环反馈,实现信任和风险的有效控制。
SDP有哪些不适合的领域?
秦益飞:认为以下几块是不适合的领域:
1.云计算领域:数据本身的安全保护,比如数据的加密、存储、备份,还有备份恢复、容灾,类似这方面的一个保护。SDP实际上是不涉及的。
2.主机安全这块也是没有涉及的。
3.控制器上面,需要与SDP做结合,才能达到目标。
刘鹏:针对于等级保护2.0,SDP在安全通信网络和安全区域边界及安全计算环境部分的可信验证,安全区域边界当中的恶意代码防范,安全计算环境中的数据备份恢复,个人信息保护等等都有些缺失。针对安全管理中心部分的系统管理,审计管理,安全管理也基本没有涉及到。也就是说,SDP本身是个很好的框架,但是肯定没法满足等级保护中的全部安全技术要求。
何国锋:从场景的角度,SDP可能更适合于内部办公,远程办公的场景,或者合作企业之间的互访可能会比较合适; 现阶段还是不合适针对公众的互联网。
SDP如何应对反向代理反向攻击?
余晓光:零信任跟传统的VPN不一样,就在于它并不仅仅是打开一个通道,它还是有一个持续性的身份和行为以及策略的控制在里面的。所以这个是它跟VPN的一个最主要的区别。如果是个传统的VPN,通道打开,基本上你就可以做正向代理,反向代理都没有问题的。
但如果是用零信任的这种架构,是无法这样做的,因为它有这种细粒度的控制,不可能做到随意访问,而且客户端这一侧也不一定支持这种路由或者网桥的模式去支持你这种代理。这从几个方面的话,我觉得这个威胁相对来说是可以消除掉的,相对来说没有那么大。
目前来讲,国外 SDP领域它的发展是一个什么样的状况?相对于我们国内来讲,我们是一个什么样的状况?
陈本峰:零信任和SDP在国外其实是有一个非常好的参考,那就是美国国家标准委员会NIST,这个算是美国国家级标准了。这里面定义了零信任它本身其实是一个理念。而真正落地的话,目前有几个比较重要的技术方案,其中一个就是SDP,然后还有微隔离、IAM。
今天美国云厂商跟安全厂商,可能基本上也可以说90%都有零信任的产品,可以说是一个非常遍地开花的结局。我们也注意到一点,这里面已经产生了一些就做零信任或者是SDP就上市的公司。
国内相对来说,云方面应用的普及,相比美国稍微落后几年,所以现在在中国还没有看到它大规模普及的一个现象,但是随着中国云化、整个移动化,包括工业物联网这些大的趋势的往前推进,我相信很快就能看到 SDP在整个行业的普及。
活动伊始,云安全联盟大中华区研究院副院长贾良玉做开场讲话并介绍云安全联盟,云安全联盟CSA是一个国际非盈利的行业组织,拥有10多年的历史,从开始成立之初的专注于云安全到今天覆盖Cybersecurity的整个方方面面,特别是在安全可信方面,目前国际安全联盟已经成立有60多个工作组,包括云安全、零信任SDP工作组、数据安全,还有物联网安全、人工智能、区块链、量子通讯等等。
SDP工作组是2019年3月份成立的,大概有60多位专家,来自于行业里面都是非常顶尖的公司,比如腾讯、阿里、华为、京东等等这些云厂商,以及像著名的一些安全厂商,如深信服、奇安信、360、天融信。
同时,贾院长就零信任的发展历程和一些趋势做了深度讲解,并就SDP工作组的成果予以肯定:在组长陈本峰的带领下,SDP工作组引领和推动了国内零信任的发展和落地,发表了很多白皮书。随着国家对网络信息安全的重视,特别是等保2.0的发布,工作组SDP工作组又再一次协同其他的工作组发布了SDP等保合规指南,进一步推动了零信任在国内的落地和实施。