零信任工作组

首页 > 研究 > 工作组 > 零信任工作组

工作组简介

为认真贯彻落实国家网络安全战略，响应党的号召，更好推动网络安全新理念新技术在数字经济中的重大作用，有效帮助企业在数字化转型中遇到的安全问题，有效推广零信任/SDP理念及技术在中国企业的应用，并促进中国的零信任安全市场的发展，CSA（大中华区）于2019年3月成立软件定义边界（SDP）工作组，在2020年升级为零信任工作组。

工作组成员来自于业内顶尖的50多个成员单位，近百名专家，其中就包括腾讯、华为、国家电网、中国移动、中电科、奇安信、中科院、信通院、IBM、埃森哲、启明星辰、天融信、紫光、云深互联、等诸多单位的积极参与。

工作组的原则是：合作共赢、务实、守信、共享

零信任工作组目标

促进零信任理念及相关技术在中国的应用实践，让中国每一家企业了解零信任安全！

推广零信任理念及技术在中国企业的应用，促进中国的零信任安全市场的发展：
1、将国外已有的零信任安全理念和技术转移到国内
2、根据中国本土的企业以及互联网应用情况，制定出符合中国特色的零信任相关技术标准及实践指南
3、将中国的零信任成功实践经验更快分享给中国的其他企业
4、与国际市场交流中国市场的零信任安全实践指南

工作组组长简介

陈本峰，云深互联（北京）科技有限公司创始人 CEO、CSA云安全联盟（大中华区）零信任工作组组长、教授级高工、北京市海外高层次人才（ “海聚人才”）、海淀区“海英人才”、香港特别行政区“优才计划”、中关村“十大海归新星”。曾就职于美国微软总部，专注于互联网底层基础技术研究十五年以上，参与了新一代互联网技术标准HTML5的国际标准制定，就任国际互联网标准联盟W3C中国区HTML5布道官。获得过国内外多项发明专利，以及微软最有价值技术专家（MVP）、微软最佳产品贡献奖等荣誉称号。

加入工作组

已发布成果

《SDP标准规范1.0》

在云环境下，应用系统不断迭代，快速更新，安全边界的防护已不再是- -成不变。在边界内部的移动设备的增长，以及应用程序资源向外部的迁移已经扩展了企业使用的传统安全模型。现有的解决方案涉及将用户回传到数据中心以进行身份验证和数据包检查，无法很好地扩展。因此需要- -种新方法，使应用程序所有者能够保护公共云或私有云中的基础架构，数据中心中的服务器，甚至保护应用程序服务器内部。SDP改变了传统的网络控制模式，原来通过网络TCP/P、路由做寻址，现在通过身份寻址。SDP旨在使应用程序所有者能够在需要时部署边界，以便将服务与不安全的网络隔离开来。可以说，SDP是在网络边界模糊和消失趋势下给资源节点提供的隐身衣，它使网络黑客看不到目标而无法发动攻击。

查看详细

《软件定义边界架构指南》

本白皮书是 CSA 贡献给业界的又一篇重磅白皮书，它是 SDP 规范之后的设计指南与参考架构，适用于企业网络环境、IaaS 云环境、IoT 车联网环境、BYOD 移动互联网环境等，不仅对 SDP 的优势与价值做了阐述，还给出了具体技术设计指导。

查看详细

《软件定义边界（SDP）和零信任》

软件定义边界（Software Defined Perimeter, SDP）是一个能够为OSI七层协议栈提供安全防护的网络安全架构。SDP可实现资产隐藏，并在允许连接到隐藏资产之前使用单个数据包通过单独的控制和数据平面建立信任连接。使用SDP实现的零信任网络使组织能够防御旧攻击方法的新变种，这些新变种攻击方法不断出现在现有的以网络和基础设施边界为中心的网络模型中。企业实施SDP可以改善其所面临的攻击面日益复杂和扩大化的安全困境。

查看详细

《谷歌 BeyondCorp系列论文合集》

随着企业大规模的采用移动互联网和云计算技术，传统的采用防火墙建立的“城堡”安全模式，变得越来越不安全。2014 年 12 月起，Google 先后发表 6 篇BeyondCorp 相关论文，论文提供了一种新的安全模式，设备和用户只能获得经过验证的资源，构建软件定义安全的雏形。另外，论文也介绍了BeyondCorp 的架构和实施情况，为传统网络架构迁移至 BeyondCorp 架构提供依据参考。

查看详细

《软件定义边界在IaaS中的应用》

2017 年 2 月，CSA 正式发布《Software Defined Perimeter for Infrastructure as aService》白皮书。该白皮书全面介绍了当前 IaaS 面临的安全挑战，为什么 SDP 可以改变 IaaS 安全现状，以及 SDP 在 IaaS 中的应用场景，从而为企业了解云安全问题及如何解决问题提供了有价值的参考。

查看详细

《NIST零信任架构》

美国国家标准与技术研究院（NIST）的信息技术实验室（ITL）通过引领国家测量和标准基础，促进美国经济和公共福利。信息技术实验室通过开发测试、测试方法、参考数据、概念证明实施和技术分析，以推进信息技术的发展和生产使用。

查看详细

《NIST零信任架构》（正式版）

零信任（Zero Trust，缩写 ZT）是一组不断演进的网络安全范式，它将网络防御的重心从静态的、基于网络的边界转移到了用户、设备和资源上。零信任架构（ZTA）使用零信任原则来规划企业基础设施和工作流。零信任取消了传统基于用户的物理或网络位置（即，相对公网的局域网）而授予用户帐户或者设备权限的隐式信任。认证和授权（用户和设备）是与企业资源建立会话之前执行的独立步骤。零信任顺应了企业网络发展的趋势：位于远程的用户和基于云的资产，这些资产都不位于企业拥有的网络边界内。零信任的重心在于保护资源，而不是网段，因为网络位置不再被视为资源安全与否的主要依据。本文档包含零信任架构（ZTA）的抽象定义，并给出了零信任可以改进企业总体信息技术安全状况的通用部署模型和使用案例。

查看详细

《SDP实现等保2.0合规技术指南》

网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法，由公安部牵头的网络安全等级保护制度2.0标准于2019年12月1日实施，等保2.0将等保1.0的被动式传统防御思路转变为主动式防御，覆盖工业控制系统、云计算、大数据、物联网等新技术新应用，为落实信息系统安全工作提供了方向和依据。云安全联盟提出的SDP软件定义边界是实施零信任安全架构的解决方案，SDP将基于传统静态边界的被动防御转化为基于动态边界的主动防御，与等保2.0的防御思路非常吻合，成为满足等保2.0合规要求的优选解决方案。

查看详细

《CSA GCR 2021零信任落地案例集》

查看详细

《SDP抗DDos攻击》

云安全联盟CSA的“Anti-DDoS: Software-Defined Perimeter as a DDoS Prevention Mechanism” 《抗DDoS攻击：软件定义边界SDP作为分布式拒绝服务（DDoS）攻击的防御机制》的发布正好是一场及时雨，对防护DDoS攻击带来了更新颖与更有效的方法。CSA的研究成果表明，SDP软件定义边界可以有效地防护多种典型DDoS攻击手段，包括HTTP Flood, TCP SYN, and UDP Reflection等。产业界和学术界的一些安全实验室也验证了在拒绝服务攻击实验中，SDP可以允许合法用户机构的访问流量通过，并通知上游路由器区分恶意流量包以迅速对合法网址开绿灯。 CSA全球（创作）与大中华区（翻译）SDP工作组的这篇文章为软件定义边界作为防DDoS攻击的新工具打开了天窗，希望读者们通过这篇文章能够认识到SDP对防御DDoS的作用,并在相关工作中加以应用。

查看详细

《软件定义边界(SDP)标准规范2.0》

SDP为网络运营者提供动态灵活的边界功能部署能力，聚焦于保护关键的组织资产，可实现精准授权，降低网络攻击的可能性。SDP是零信任原则不可分割的一部分，它帮助零信任安全实现最小授权原则，隐蔽网络和资源。信息安全是动态发展的，新技术不断推陈出新，SDP就是在传统的技术生态中迭代形成的一套技术架构，它是多种网络安全技术的整合，包括密码技术、网络技术、访问控制技术和软件开发技术等，SDP适用场景也非常广泛，包括云计算、物联网、大数据、工业互联网、移动互联网等，为SDP体系架构的发展提供了更多的可能。在“后疫情时代”的背景下，网络资源快速开发和利用，远程办公、线上教育、勒索病毒、网络攻击、网络诈骗等对我们管理能力提出了严峻挑战，面对网络环境的复杂变化，SDP2.0体系的应用将为网络空间的健康发展起到重要的支撑作用。本规范通过通俗易懂的语言向大家介绍了SDP2.0的体系架构、部署模型、访问流程等，希望你在读完本规范后可对SDP有更为清晰的理解，并帮助你更快完成应用实践。

查看详细

《软件定义边界（SDP）标准规范2.0》（试读本）

为了更好地体现各单位擅长的领域，根据各单位的申报材料，基于零信任相关项目的实际落地情况，云安全联盟大中华区编制了《2021中国零信任全景图》（第二版）。

查看详细

工作组动态

新闻动态

更多动态

CSA GCR发布｜零信任架构草案第二版本中文版

传统的网络安全侧重于边界防御，如果被允许进入网络边界内部，用户通常可以广泛访问边界内部许多资源，而实际上恶意的行为来自网络内部或外部。云计算和远程办公的增加，比以往存在更多的网络出入口和数据访问点，组织对数字资源的保护工作更加复杂。新的信息技术环境下，我们不得不重新思考，是否继续基于传统的网络安全边界来判断安全。零信任（ZT）理论尝试解决这一难题，零信任理论是默认不可信，先认证再访问，持续信任评估，打破了原有的边界安全思维。零信任架构（ZTA）通过重点保护资源（数据源、计算机服务）而不是网络边界来应对存在

2020.06.09