软件定义边界（SDP）和零信任

©2020云安全联盟-版权所有1软件定义边界(SDP)和零信任 ©2020云安全联盟-版权所有2SDP工作组官网地址：https://www.c-csa.cn/ruanjiandingyibianjieSDP.htmlhttps://cloudsecurityalliance.org/software-defined-perimeter/@2020云安全联盟-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及，或者访问云安全联盟官网（https://cloudsecurityalliance.org）。须遵守以下:（a）本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循美国版权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟。 ©2020云安全联盟-版权所有3致谢主要作者：JuanitaKoilpillaiNyaAlisonMurray贡献者：MichaelRozaMattConranJunaidIslamAdityaBhelkeEitanBremierTinoHirschmannSteveSwiftSamHeuchertJohnMarkhRoupeSahansOscarMongeEspanaGerardoDiGiacomoVladimirKlasnyaJ.LamClaraAndressDanMountstephanManojSharmaCSA分析师：ShamunMahmudCSA全球员工：AnnMarieUlskey(Design) ©2020云安全联盟-版权所有4中文版翻译说明由云安全联盟大中华区（CSAGCR）秘书处组织翻译《软件定义边界和零信任》(Software-Defined-Perimeter-and-Zero-Trust)，云安全联盟大中华区专家翻译并审校。翻译审校工作专家：（按字母顺序排序）组长：陈本峰（云深互联）、郑大义（万物安全）组员：崔泷跃、高巍、靳明星（易安联）、杨正权（易安联）、姚凯、于乐、余晓光（华为）在此感谢以上参与该文档的翻译审校工作的专家及工作人员。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱：info@c-csa.cn;云安全联盟CSA公众号： ©2020云安全联盟-版权所有5序言2010年，原Forrester副总裁兼分析师，现PaloAltoNetworkCTO兼CSA大中华区顾问JohnKindervag以“永不信任，始终验证”思想提出零信任模型ZeroTrustModel，零信任概念开始得到业界关注并被广泛认可。2013年，云安全联盟CSA提出SDP（SoftwareDefinedPerimeter）软件定义边界，成为零信任的第一个解决方案，由组长BobFlores（原美国CIA的CTO）和包括CSA大中华区研究院专家在内的CSASDP工作组制定编写并发布了SDPSpec1.0等研究成果并提出零信任的ABCDE原则，在RSA安全大会上CSASDP挑战赛从未被黑客攻破。2019年，美国国家标准与技术研究院NIST主导，并由包括CSA大中华区研究院专家在内的业界众多安全专家参与，制定、编写并发布了NISTSP800-207ZTA零信任架构草案，被全球业界一致认为是零信任架构的标准。NISTZTA属于参考架构，它明确提出企业实现零信任的解决方案包括软件定义边界SDP，增强的身份治理IAM，及微隔离MSG。本文中，CSA全球SDP工作组和CSA大中华区SDP工作组的多位专家们对SDP如何实现零信任的战略、价值、实施等内容做了原创和翻译，相信对广大的安全专家、CIO、CISO和公司业务高管在考虑企业的零信任落地时会有启示和帮助。李雨航YaleLiCSA大中华区主席兼研究院院长 ©2020云安全联盟-版权所有6目录致谢................................................................................................................................3序言................................................................................................................................5引言................................................................................................................................7目标.........................................................................................................................9读者.........................................................................................................................9零信任网络和SDP.........................................................................................................9为什么需要零信任...............................................................................................10零信任解决哪些问题.........................................................................................12实施零信任战略...................................................................................................14零信任解决方案的优势和价值...........................................................................16安全价值........................................................................................................16商业价值........................................................................................................17SDP零信任战略实施方针和POC概念验证.......................................................18技术组件及架构...................................................................................................21技术风险及问题...................................................................................................22假定.......................................................................................................................22技术分析...............................................................................................................22所需资源...............................................................................................................23关键产业发展.......................................................................................................24交付实施...............................................................................................................24现状分析...............................................................................................................24相关说明...............................................................................................................25引用..............................................................................................................................25 ©2020云安全联盟-版权所有7引言软件定义边界（SoftwareDefinedPerimeter,SDP）是一个能够为OSI七层协议栈提供安全防护的网络安全架构。SDP可实现资产隐藏，并在允许连接到隐藏资产之前使用单个数据包通过单独的控制和数据平面建立信任连接。使用SDP实现的零信任网络使组织能够防御旧攻击方法的新变种，这些新变种攻击方法不断出现在现有的以网络和基础设施边界为中心的网络模型中。企业实施SDP可以改善其所面临的攻击面日益复杂和扩大化的安全困境。最初，零信任网络（ZTN）概念是由美国国防部（DoD）在2000年代初开发的，同时定义了全球信息网格（GIG）网络运营（NetOps）黑核（BlackCore）路由和寻址架构，这是国防部以网络为中心的服务策略的一部分。随着时间的流逝，此概念在DoD情报和安全社区内演变为当前的ZTN/SDP框架和测试实验1。同时，市场咨询公司Forrestrer开始推广ZTN，指出ZTN是企业安全团队值得考虑的技术。如今，零信任在采用率和范围方面都得到了广泛的进步。在题为“Zero-Trust-eXtended-ZTX-Ecosystem”的报告中，Forrester分析师观察到网络边界正在变化的规律，这导致了零信任架构很快从“跨位置和托管模型的网络安全隔离”思想中诞生。Forrester断言，当前模型可应对挑战和消除当前安全策略中固有的信任假设的需求。它还指出应考虑使用各种新的基于自适应软件的方法。但是，它并没有为“扩展的生态系统框架”确定新的方向2。从本质上讲，零信任是一种网络安全概念，其核心思想是组织不应自动信任传统边界内外的任何事物，并旨在捍卫企业资产。实施零信任需要在授予访问权限之前验证所有尝试连接到资产的事物，并在整个连接期间对会话进行持续评估。如图1