登录
工作组简介
为认真贯彻落实国家网络安全战略,响应党的号召,更好推动网络安全新理念新技术在数字经济中的重大作用,有效帮助企业在数字化转型中遇到的安全问题,有效推广零信任/SDP理念及技术在中国企业的应用,并促进中国的零信任安全市场的发展,CSA(大中华区)于2019年3月成立软件定义边界(SDP)工作组,在2020年升级为零信任工作组。
工作组成员来自于业内顶尖的50多个成员单位,近百名专家,其中就包括腾讯、华为、国家电网、中国移动、中电科、奇安信、中科院、信通院、IBM、埃森哲、启明星辰、天融信、紫光、云深互联、等诸多单位的积极参与。
工作组的原则是:合作共赢、务实、守信、共享
零信任工作组目标
工作组组长简介
为认真贯彻落实国家网络安全战略,响应党的号召,更好推动网络安全新理念新技术在数字经济中的重大作用,有效帮助企业在数字化转型中遇到的安全问题,有效推广零信任/SDP理念及技术在中国企业的应用,并促进中国的零信任安全市场的发展,CSA(大中华区)于2019年3月成立软件定义边界(SDP)工作组,在2020年升级为零信任工作组。
工作组成员来自于业内顶尖的50多个成员单位,近百名专家,其中就包括腾讯、华为、国家电网、中国移动、中电科、奇安信、中科院、信通院、IBM、埃森哲、启明星辰、天融信、紫光、云深互联、等诸多单位的积极参与。
工作组的原则是:合作共赢、务实、守信、共享
零信任工作组目标
| 促进零信任理念及相关技术在中国的应用实践,让中国每一家企业了解零信任安全! 推广零信任理念及技术在中国企业的应用,促进中国的零信任安全市场的发展: 1、将国外已有的零信任安全理念和技术转移到国内 2、根据中国本土的企业以及互联网应用情况,制定出符合中国特色的零信任相关技术标准及实践指南 3、将中国的零信任成功实践经验更快分享给中国的其他企业 4、与国际市场交流中国市场的零信任安全实践指南 |
  |
工作组组长简介
| 陈本峰,云深互联(北京)科技有限公司创始人 CEO、CSA云安全联盟(大中华区)零信任工作组组长、教授级高工、北京市海外高层次人才( “海聚人才”)、海淀区“海英人才”、香港特别行政区“优才计划”、中关村“十大海归新星”。曾就职于美国微软总部,专注于互联网底层基础技术研究十五年以上,参与了新一代互联网技术标准HTML5的国际标准制定,就任国际互联网标准联盟W3C中国区HTML5布道官。获得过国内外多项发明专利,以及微软最有价值技术专家(MVP)、微软最佳产品贡献奖等荣誉称号。 |  |
已发布成果
《零信任指导原则》
零信任(ZT)是一种战略思维模式,对于组织而言,在数字化转型以及其他旨在增强组织安全性与弹性的工作中,采用零信任理念极具价值。然而,由于安全行业内信息混杂且缺乏统一标准,零信任常很容易被误解也容易被过度复杂化。事实上,零信任是基于一些长期存在的原则,随着我们工作和生活方式的改变,这些原则变得愈发关键,例如远程办公、对第三方依赖的增加、云计算的采用,以及机器学习(ML)、自然语言处理(NLP)和大语言模型(LLM)等人工智能(AI)技术的广泛和加速应用。本文档旨在填补这些空白,通过梳理基本原则,包括诸如最小权限原则、职责分离原则和分段原则等既定的信息安全(InfoSec)原则,来阐明零信任理念。这些指导原则将在所有零信任支柱、不同的应用场景、环境和产品中都将保持一致。随着行业的发展,本指南也会不断演进。
查看详细
《零信任可信接口规范》征求意见稿
本标准规定了应用安全领域内,应用系统与零信任安全网关、零信任代理、零信任控制中心之间的通信协议要求、数据传输要求及数据接口规范。本标准适用于但不限于以下场景:
企业级应用系统与零信任系统的集成。
查看详细
《零信任应用安全实施规范》 征求意见稿
本标准规定了应用安全零信任系统实施的通用要求,并给出了应用安全零信任实施的典型场景。本标准适用于车联网、工业互联网行业应用的零信任系统实施。
查看详细
《面向IAM的零信任原则与指南》
零信任是一个技术无关的指导性框架,将访问控制措施更加靠近受保护资产(保护面)。从身份、访问管理的角度来看,它提供了基于风险的决策授权能力,而不是仅基于单一访问控制方法的二元信任来进行授权访问。
查看详细
《零信任安全理念》
本白皮书以基于风险的零信任方法为核心,通过解析以往二元信任的不足,引出新的上下文敏感的安全态势,并指出持续风险监控的重要性,表明了零信任方法的重要特征。
查看详细
《基于零信任架构的医疗设备安全》
医疗保健行业正面临着越来越多针对健康信息、医疗设备和关键系统的网络攻击浪潮。随着医疗设备之间的连接日益增多,漏洞继续增多,攻击面在不断扩大。传统的网络安全已经不再足够应付,因为边界防御可以被突破。
为了应对这些风险,医疗机构需要重新思考其安全方案。本文讨论了零信任架构如何增强医疗设备的安全性。零信任消除了对用户、设备和网络流量的隐式信任。相反,它根据细粒度的策略验证和授权每一个访问的尝试。
查看详细
《中国零信任神兽方阵分析报告》(2022年)
中国神兽方阵(China Mythical Creatures Matrix)是在联合国科学技术促进发展委员会和联合国数字安全联盟指导下,由云安全联盟大中华区基于中国传统文化创立的分析模型,是适用于各领域的通用分析模型。模型以“四象”即青龙、白虎、朱雀、玄武为基础,“四象”又称“天之四灵”,分别是镇守东西南北四方的神兽,其中青龙为东方之神、是四灵之首,白虎为西方之神、也是战斗之神,朱雀为南方之神、有浴火重生之职能,玄武为北方之神、以防守见长。模型的创立旨在为数字安全领域树立具有中国特色的行业分析品牌。
查看详细
《SDP标准规范1.0》
在云环境下,应用系统不断迭代,快速更新,安全边界的防护已不再是- -成不变。在边界内部的移动设备的增长,以及应用程序资源向外部的迁移已经扩展了企业使用的传统安全模型。现有的解决方案涉及将用户回传到数据中心以进行身份验证和数据包检查,无法很好地扩展。因此需要- -种新方法,使应用程序所有者能够保护公共云或私有云中的基础架构,数据中心中的服务器,甚至保护应用程序服务器内部。SDP改变了传统的网络控制模式,原来通过网络TCP/P、路由做寻址,现在通过身份寻址。SDP旨在使应用程序所有者能够在需要时部署边界,以便将服务与不安全的网络隔离开来。可以说,SDP是在网络边界模糊和消失趋势下给资源节点提供的隐身衣,它使网络黑客看不到目标而无法发动攻击。
查看详细
《软件定义边界架构指南》
本白皮书是 CSA 贡献给业界的又一篇重磅白皮书,它是 SDP 规范之后的设计指南与参考架构, 适用于企业网络环境、IaaS 云环境、IoT 车联网环境、BYOD 移动互联网环境等,不仅对 SDP 的优势 与价值做了阐述,还给出了具体技术设计指导。
查看详细
《软件定义边界(SDP)和零信任》
软件定义边界(Software Defined Perimeter, SDP)是一个能够为OSI七层协议栈提供安全防护的网络安全架构。SDP可实现资产隐藏,并在允许连接到隐藏资产之前使用单个数据包通过单独的控制和数据平面建立信任连接。使用SDP实现的零信任网络使组织能够防御旧攻击方法的新变种,这些新变种攻击方法不断出现在现有的以网络和基础设施边界为中心的网络模型中。企业实施SDP可以改善其所面临的攻击面日益复杂和扩大化的安全困境。
查看详细
《谷歌 BeyondCorp系列论文合集》
随着企业大规模的采用移动互联网和云计算技术,传统的采用防火墙建立的“城堡”安全模式,变得越来越不安全。2014 年 12 月起,Google 先后发表 6 篇BeyondCorp 相关论文,论文提供了一种新的安全模式,设备和用户只能获得经过验证的资源,构建软件定义安全的雏形。另外,论文也介绍了BeyondCorp 的架构和实施情况,为传统网络架构迁移至 BeyondCorp 架构提供依据参考。
查看详细
《软件定义边界在IaaS中的应用》
2017 年 2 月,CSA 正式发布《Software Defined Perimeter for Infrastructure as aService》白皮书。该白皮书全面介绍了当前 IaaS 面临的安全挑战,为什么 SDP 可以改变 IaaS 安全现状,以及 SDP 在 IaaS 中的应用场景,从而为企业了解云安全问题及如何解决问题提供了有价值的参考。
查看详细
《NIST零信任架构》
美国国家标准与技术研究院(NIST)的信息技术实验室(ITL)通过引领国 家测量和标准基础,促进美国经济和公共福利。信息技术实验室通过开发测试、 测试方法、参考数据、概念证明实施和技术分析,以推进信息技术的发展和生产 使用。
查看详细
《NIST零信任架构》(正式版)
零信任(Zero Trust,缩写 ZT)是一组不断演进的网络安全范式,它将网络防御的重心从静态的、基于网络的边界转移到了用户、设备和资源上。零信任架构(ZTA)使用零信任原则来规划企业基础设施和工作流。零信任取消了传统基于用户的物理或网络位置(即,相对公网的局域网)而授予用户帐户或者设备权限的隐式信任。认证和授权(用户和设备)是与企业资源建立会话之前执行的独立步骤。零信任顺应了企业网络发展的趋势:位于远程的用户和基于云的资产,这些资产都不位于企业拥有的网络边界内。零信任的重心在于保护资源,而不是网段,因为网络位置不再被视为资源安全与否的主要依据。本文档包含零信任架构(ZTA)的抽象定义,并给出了零信任可以改进企业总体信息技术安全状况的通用部署模型和使用案例。
查看详细
《SDP实现等保2.0合规技术指南》
网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法,由公安部牵头的网络安全等级保护制度2.0标准于2019年12月1日实施,等保2.0将等保1.0的被动式传统防御思路转变为主动式防御,覆盖工业控制系统、云计算、大数据、物联网等新技术新应用,为落实信息系统安全工作提供了方向和依据。
云安全联盟提出的SDP软件定义边界是实施零信任安全架构的解决方案,SDP将基于传统静态边界的被动防御转化为基于动态边界的主动防御,与等保2.0的防御思路非常吻合,成为满足等保2.0合规要求的优选解决方案。
查看详细
《CISO研究报告:零信任的部署现状及未来展望》
为了帮助业界分析零信任研究和实践过程中遇到的问题,CSA组织了本次调研,通过广泛的意见收集和统计,尝试揭示零信任方案落地过程中的障碍。期望通过这些分析,帮助业界找到解决问题的方案。
查看详细
《基于SDP与DNS融合的零信任安全增强策略模型》
DNS作为互联网重要的基础服务之一,承担着将域名指向可由计算机识别的IP地址的重要作用,堪称互联网的“导航系统”,同时在企业的内网环境也承担着同等重要的职责。DNS的安全是保障网络畅通的核心和基础,也是数据安全的底层基石。
查看详细
《SDP抗DDos攻击》
云安全联盟CSA的“Anti-DDoS: Software-Defined Perimeter as a DDoS Prevention Mechanism” 《抗DDoS攻击:软件定义边界SDP作为分布式拒绝服务(DDoS)攻击的防御机制》的发布正好是一场及时雨,对防护DDoS攻击带来了更新颖与更有效的方法。CSA的研究成果表明,SDP软件定义边界可以有效地防护多种典型DDoS攻击手段,包括HTTP Flood, TCP SYN, and UDP Reflection等。产业界和学术界的一些安全实验室也验证了在拒绝服务攻击实验中,SDP可以允许合法用户机构的访问流量通过,并通知上游路由器区分恶意流量包以迅速对合法网址开绿灯。
CSA全球(创作)与大中华区(翻译)SDP工作组的这篇文章为软件定义边界作为防DDoS攻击的新工具打开了天窗,希望读者们通过这篇文章能够认识到SDP对防御DDoS的作用,并在相关工作中加以应用。
查看详细
《软件定义边界(SDP)标准规范2.0》
SDP为网络运营者提供动态灵活的边界功能部署能力,聚焦于保护关键的组织资产,可实现精准授权,降低网络攻击的可能性。SDP是零信任原则不可分割的一部分,它帮助零信任安全实现最小授权原则,隐蔽网络和资源。
信息安全是动态发展的,新技术不断推陈出新,SDP就是在传统的技术生态中迭代形成的一套技术架构,它是多种网络安全技术的整合,包括密码技术、网络技术、访问控制技术和软件开发技术等,SDP适用场景也非常广泛,包括云计算、物联网、大数据、工业互联网、移动互联网等,为SDP体系架构的发展提供了更多的可能。
在“后疫情时代”的背景下,网络资源快速开发和利用,远程办公、线上教育、勒索病毒、网络攻击、网络诈骗等对我们管理能力提出了严峻挑战,面对网络环境的复杂变化,SDP2.0体系的应用将为网络空间的健康发展起到重要的支撑作用。
本规范通过通俗易懂的语言向大家介绍了SDP2.0的体系架构、部署模型、访问流程等,希望你在读完本规范后可对SDP有更为清晰的理解,并帮助你更快完成应用实践。
查看详细
《软件定义边界(SDP)标准规范2.0》(试读本)
查看详细
《实战零信任架构》
企业利益相关者必须考虑与日俱增的实时系统复杂度所带来的挑战、新网络安全策略带来的需求,以及在复杂和混合世界中安全地运行系统所需的强大文化支持。零信任等新兴技术解决方案和方法对于满足美国总统拜登的第14028号行政令《改善国家网络安全》中的要求至关重要。本文探讨了新兴的、丰富的、多元化的解决方案格局的影响以及组织机构最终交付零信任架构(ZTA)的能力所面临的挑战。对行业如何改善关键利益相关者群体之间的协作以加速企业领导者和安全从业者在其环境中采用零信任提出了建议。
查看详细
《2021中国零信任全景图》分析报告
为了更好地体现各单位擅长的领域,根据各单位的申报材料,基于零信任相关项目的实际落地情况,云安全联盟大中华区编制了《2021中国零信任全景图》(第二版)。
查看详细
工作组动态
新闻动态
更多动态
CSA GCR 零信任工作组就《零信任工作组2021年度规划》举行了线上会议,对2020年的工作进行了简单总结,并确定了2021年的工作计划,以推动零信任的继续发展与创新,共促产业发展。
2021.02.25
会员
活动
研究
教育认证
评估认证
关于我们
联系我们
微信号:csagcr
手机:19925407556
邮箱:info@c-csa.cn
手机:19925407556
邮箱:info@c-csa.cn