首页   >  研究   >  工作组   >  软件定义边界工作组
返回
软件定义边界工作组简介

SDP是由云安全联盟(CSA)于2014年提出新一代网络安全模型,主张网络隐身、最小授权,是更适用于云和移动时代的企业访问控制方案。
CSA GCR SDP工作组旨在根据中国本土环境,加速SDP在中国的落地,推广SDP技术在中国企业的应用,促进中国的SDP市场的发展:


 
SDP工作组目标

将国外已有的SDP相关技术和理念转移到国内
• 根据中国本土的企业以及互联网应用情况,制定出符合中国特色的SDP技术标准及实践指南
• 将中国的SDP成功实践经验更快分享给中国的其他企业
• 与国际市场交流中国市场的实践指南
    

工作组组长简介
陈本峰,云深互联创始人兼CEO,国际云安全联盟CSA(大中华区)SDP工作组组长,国际互联网标准联盟W3C中国区HTML5布道官,中国企业级HTML5产业联盟主席,专注浏览器内核技术研究及国际互联网标准制定超过十四年。曾就职于微软美国总部IE浏览器核心研发团队,成功发布了IE8、IE9、IE10,参与了下一代互联网标准HTML5国际标准制定以及IE中HTML5引擎的设计。全球IE 404页面开发者。  
已发布成果
NIST零信任架构
美国国家标准与技术研究院(NIST)的信息技术实验室(ITL)通过引领国 家测量和标准基础,促进美国经济和公共福利。信息技术实验室通过开发测试、 测试方法、参考数据、概念证明实施和技术分析,以推进信息技术的发展和生产 使用。
查看详细
软件定义边界在IaaS中的应用
2017 年 2 月,CSA 正式发布《Software Defined Perimeter for Infrastructure as a Service》白皮书。该白皮书全面介绍了当前 IaaS 面临的安全挑战,为什么 SDP 可以改变 IaaS 安 全现状,以及 SDP 在 IaaS 中的应用场景,从而为企业了解云安全问题及如何解决问题提供了有价 值的参考。
查看详细
谷歌 BeyondCorp系列论文合集
随着企业大规模的采用移动互联网和云计算技术,传统的采用防火墙建立的 “城堡”安全模式,变得越来越不安全。2014 年 12 月起,Google 先后发表 6 篇 BeyondCorp 相关论文,论文提供了一种新的安全模式,设备和用户只能获得经 过验证的资源,构建软件定义安全的雏形。另外,论文也介绍了 BeyondCorp 的 架构和实施情况,为传统网络架构迁移至 BeyondCorp 架构提供依据参考。
查看详细
软件定义边界和零信任
软件定义边界(Software Defined Perimeter, SDP)是一个能够为OSI七层协议栈提供安全防护的网络安全架构。SDP可实现资产隐藏,并在允许连接到隐藏资产之前使用单个数据包通过单独的控制和数据平面建立信任连接。使用SDP实现的零信任网络使组织能够防御旧攻击方法的新变种,这些新变种攻击方法不断出现在现有的以网络和基础设施边界为中心的网络模型中。企业实施SDP可以改善其所面临的攻击面日益复杂和扩大化的安全困境。
查看详细
SDP架构指南
软件定义边界 Software Defined Perimeter (SDP) 是一种具有创新性的网络安全解决方案,这种解 决方案又称零信任网络 Zero Trust Network (ZTN)。 SDP 或 ZTN 是基于云安全联盟 CSA 提出的理念,用安全隐身衣取代安全防弹衣保护目标,使攻 击者在网络空间中看不到攻击目标而无法攻击,从而使企业或服务商的资源受到保护。 SDP 的灵感来源于中央情报局情报社区和美国国防部高度安全网络设计,因此 CSA 聘请了 CIA 原 CTO 为联盟 SDP 研究工作组组长。ZTN 灵感的最早发明者与实践者是美国微软公司,2007 年由比 尔盖茨在 RSA 大会发布的微软 Anywhere Access 安全战略就是 ZTN 的实现,微软通过这项技术使公 司员工甚至 Windows 使用者可以在互联网直接访问公司内网,摈弃了传统的网络边界、VPN、 Firewall。 本白皮书是 CSA 贡献给业界的又一篇重磅白皮书,它是 SDP 规范之后的设计指南与参考架构, 适用于企业网络环境、IaaS 云环境、IoT 车联网环境、BYOD 移动互联网环境等,不仅对 SDP 的优势 与价值做了阐述,还给出了具体技术设计指导。 我代表 CSA 对大中华区参与此项翻译工作的专家们表示由衷的感谢,特别是工作组组长陈本峰 投入的大量精力,及 CSA 志愿工作者们的支持。
查看详细
SDP标准规范1.0
在云环境下,应用系统不断迭代,快速更新,安全边界的防护已不再是- -成不变。 在边界内部的移动设备的增长,以及应用程序资源向外部的迁移已经扩展了企业使用的传统安全模型。现有的解决方案涉及将用户回传到数据中心以进行身份验证和数据包检查,无法很好地扩展。因此需要- -种新方法,使应用程序所有者能够保护公共云或私有云中的基础架构,数据 中心中的服务器,甚至保护应用程序服务器内部。SDP改变了传统的网络控制模式,原来通过网络TCP/P、路由做寻址,现在通过身份寻址。SDP旨在使应用程序所有者能够在需要时部署边界,以便将服务与不安全的网络隔离开来。可以说,SDP是在网络边界模糊和消失趋势下给资源节点提供的隐身衣,它使网络黑客看不到目标而无法发动攻击。 在中国云安全联盟支持下,CSA大中华区完成《SDP标准规范1.0》的翻译工作。规范描述了云安全联盟(CSA) 提议的软件定义边界(SDP) 初始协议规格,旨在让更多终于从业者、供应商、推广者能够更进- 步了解SDP的架构规范,指导日常生产工作。在此,感谢CSA大中华区研究院与C-CSA专家委员会的专家们把白皮书翻译成中文,供大家学习。
查看详细
软件定义边界安全架构技术指南
软件定义边界Software Defined Perimeter SDP) 是一种具有创新性的网络安全解决方案,这种解决方案又称零信任网络Zero Trust Network (2TN). SDP 或ZIN是基于云安全联盟CSA提出的理念,用安全隐身衣取代安全防弹衣保护目标,使攻击者在网络空间中看不到攻击目标而无法攻击,从而使企业或服务商的资源受到保护。SDP的灵感来源于中央情报局情报社区和美国国防部高度安全网络设计,因此CSA聘请了CIA原CI0为联盟SDP研究工作组组长。ZIN灵感的最早发明者与实践者是美国微软公司, 2007年由比尔盖茨在RSA大会发布的微软Anywhere Access安全战略就是ZTN的实现,微软通过这项技术使公司员工甚至Windows使用者可以在互联网直接访问公司内网,摈弃了传统的网络边界、VPN、 Firewall. .
查看详细
工作组动态
新闻动态
更多动态
传统的网络安全侧重于边界防御,如果被允许进入网络边界内部,用户通常可以广泛访问边界内部许多资源,而实际上恶意的行为来自网络内部或外部。云计算和远程办公的增加,比以往存在更多的网络出入口和数据访问点,组织对数字资源的保护工作更加复杂。新的信息技术环境下,我们不得不重新思考,是否继续基于传统的网络安全边界来判断安全。零信任(ZT)理论尝试解决这一难题,零信任理论是默认不可信,先认证再访问,持续信任评估,打破了原有的边界安全思维。零信任架构(ZTA)通过重点保护资源(数据源、计算机服务)而不是网络边界来应对存在
2020.06.09