零信任网络安全——软件定义边界SDP技术架构指南 – 作者:小术晓术XS

近年来，国内信息与通信技术（ICT）发展迅速，各企业将新技术应用于商业环境，推动了其数字化应用与发展。与此同时，也出现了许多信息安全方面的问题，如用户信息泄露和盗用、病毒引起的数据丢失、外部攻击导致的业务停顿等，对企业和社会的发展产生了极大影响。确保企业日益复杂的IT系统能够长期、安全、可靠运转成为众多企业IT决策者面临的巨大挑战。另外，随着以《中华人民共和国网络安全法》颁布为标志的一系列法律法规及各类标准的推出，网络安全上升为重要国家战略。网络安全不仅是企业内部的问题，还是企业合法合规开展业务的重要内容。

随着云计算、大数据、移动互联网、物联网（IoT）、第五代移动通信（5G）等新技术的崛起，传统的网络安全架构难以适应时代发展需求，一场网络安全架构的技术革命正在悄然发生，其受到越来越多企业IT决策者的认可。

在传统安全理念中，企业的服务器和终端办公设备主要运行在内部网络中，因此，企业的网络安全主要围绕网络的“墙”建设，即基于边界防护。然而，物理安全边界有天然的局限性。随着云计算、大数据、移动互联网、物联网等技术的融入，企业不可能将数据局限在自己的内部网络中。例如，企业要上云，就不能将公有云装入自己的防火墙；企业要发展移动办公、物联网，防火墙却无法覆盖外部各角落；企业要拥抱大数据，就不可避免地要与合作伙伴进行数据交换。因此，传统安全边界模型在发展新技术的趋势下逐渐瓦解，在万物互联的新时代成为企业发展的障碍，企业需要建立新的网络安全模型。

在这样的时代背景下，基于零信任理念的新一代网络安全架构应运而生。它打破了传统安全边界，不再默认企业物理边界内的安全性，不再基于用户与设备在网络中的位置判断是否可信，而是始终验证用户的身份、设备的合法性及权限，即遵循“永不信任，始终校验（Never Trust，Always Verify）”的零信任理念。在零信任理念下，网络位置变得不再重要，其完全通过软件来定义企业的安全边界，“数据在哪里，安全就到哪里”。SDP依托自身优势成为解决新时代诸多安全问题的最佳选项，其安全性和易用性也通过大量企业的实践得到了验证。为了推进SDP技术在中国的落地，CSA（大中华区）于2019年成立SDP工作组。

《零信任网络安全——软件定义边界SDP技术架构指南》基于SDP工作组的若干成果，对分散在不同文献中的理论与概念进行汇总和整理，自上而下地对SDP的完整架构进行详细介绍，并结合大量实践案例，为读者提供完整的软件定义边界技术架构指南。

1. 本书面向的读者

（1）企业信息安全决策者。本书为企业信息安全决策者设计基于SDP的企业信息安全战略提供完整的技术指导和案例参考。

（2）信息安全、企业架构或安全合规领域的专业人员。本书将指导他们对SDP解决方案进行评估、设计、部署和运营。

（3）解决方案供应商、服务供应商和技术供应商将从本书提供的信息中获益。

（4）安全领域的研究人员。

（5）对SDP有兴趣并有志从事安全领域工作的人。

2. 本书的主要内容

第1章对SDP的基本概念、主要功能等进行介绍。

第2章对SDP架构、工作原理、连接过程、访问控制及部署模式等进行介绍。

第3章对SDP架构的具体协议及日志进行介绍。

第4章对SDP架构部署模式及其适用场景进行介绍，为企业部署SDP架构做技术准备。

第5章对企业部署SDP需要考虑的问题、SDP与企业信息安全要素集成及SDP的应用领域进行介绍。

第6章对技术原理和IaaS使用场景进行分析与介绍，指导企业安全上云。

第7章通过展示SDP对DDoS攻击的防御机制，加强读者对SDP的认识和理解。

第8章介绍SDP对等保2.0各级要求的适用情况。通过对等保2.0的深入解读，展示如何通过SDP满足企业的等保2.0合规要求。

第9章对SDP战略规划与部署迁移方法进行介绍，在战略规划和部署迁移层面为企业提供指导。

第10章对NIST、Google、微软及Forrester的零信任架构与实现进行介绍。

第11章精选了国内主要的SDP和零信任实践案例，对其进行介绍。

来源：freebuf.com 2021-07-12 16:29:44 by: 小术晓术XS