站長資訊網(wǎng)近日,《SDP標準規(guī)范1.0》正式發(fā)布。此規(guī)范由中國云安全聯(lián)盟(C-CSA)秘書處組織CSA大中華區(qū)SDP工作組專家進行翻譯,包括華云數(shù)據(jù)在內(nèi)的多家企業(yè)代表與行業(yè)專家參與了本次《SDP標準規(guī)范1.0》的編寫工作。
2019年初,依托自己多年來在云計算安全領域技術的積累,華云數(shù)據(jù)正式加入中國云安全聯(lián)盟,成為聯(lián)盟理事單位。這與華云多年來堅持的“自主、安全、可控”的研發(fā)理念密不可分。
中國云安全聯(lián)盟(C-CSA)是CSA大中華區(qū)的合作伙伴,得到國務院和各部委認可,是中國第一個在安全行業(yè)全面對接國際產(chǎn)業(yè)和標準組織的非盈利性組織。C-CSA致力于將國際安全標準、技術、課程及優(yōu)秀實踐引入中國,服務中國企業(yè),并協(xié)助網(wǎng)信辦、信安標委等機構(gòu)將國內(nèi)安全政策、安全標準和實踐成果介紹到國外,在國際上為中國安全發(fā)聲。
當前,隨著信息化的不斷深入,基于互聯(lián)網(wǎng)及各種專網(wǎng)部署的業(yè)務應用系統(tǒng)已非常普及,如何確保這些業(yè)務應用和數(shù)據(jù)的安全訪問是當前網(wǎng)絡安全的基礎性問題之一。但現(xiàn)有網(wǎng)絡條件下難以避免的各種先天缺陷和日趨復雜的應用場景,以及網(wǎng)絡協(xié)議自身的廣泛脆弱性和安全策略配置不嚴謹所帶來的安全隱患成為常態(tài),一味地堵漏洞、打補丁、防病毒等被動式防御和局部式治理、增量式修復的防護策略,已不能適應多變的網(wǎng)絡安全形勢。基于傳統(tǒng)網(wǎng)絡安全模型、以邊界防護為核心的防護理念和措施也已不能滿足應用和數(shù)據(jù)保護的需求,需要建立強信任、強可控、強防護的全域安全。
軟件定義邊界(Software Defined Perimeter,SDP)作為新一代網(wǎng)絡安全解決理念,最早由云安全聯(lián)盟(CSA)于2013年提出,其整個中心思想是通過軟件的方式,在移動+云時代,構(gòu)建起一個虛擬的企業(yè)邊界,利用基于身份的訪問控制,來應對邊界模糊化帶來的控制粒度粗、有效性差問題,以此達到保護企業(yè)數(shù)據(jù)安全的目的。經(jīng)過多年發(fā)展,SDP技術在國際上越來越被廣泛應用,Google的BeyondCorp以及美國國防部、中情局都已經(jīng)采用SDP軟件實現(xiàn)了安全辦公。
本次發(fā)布的《SDP標準規(guī)范1.0》描述了“軟件定義邊界(SDP)協(xié)議”,旨在提供按需、動態(tài)配置的安全隔離網(wǎng)絡。安全隔離網(wǎng)絡是與所有不安全網(wǎng)絡隔離的可信網(wǎng)絡,避免受到網(wǎng)絡攻擊。SDP 協(xié)議基于的工作流程 是由美國國防部(DoD)發(fā)明并被一些聯(lián)邦機構(gòu)(Federal Agencies)使用。基于這些工作流程的網(wǎng)絡提供了更高級別的安全性,但與傳統(tǒng)企業(yè)網(wǎng)絡相比,它們被認為非常難以使用。
軟件定義邊界(SDP)雖然基于廣義的 DoD 工作流程,但已為商業(yè)用途而將其修改,使其能與現(xiàn)有的企業(yè)安全控制兼容。在適用的情況下,SDP 遵循 NIST 關于加密協(xié)議的指南,SDP 可用于政府應用,例如安全訪FedRAMP 認證的云網(wǎng)絡以及企業(yè)應用程序,或?qū)崿F(xiàn)對公有云的安全移動訪問。
《SDP標準規(guī)范1.0》報告包括以下內(nèi)容:
一、SDP架構(gòu)
SDP 的體系結(jié)構(gòu)由兩部分組成:SDP 主機和 SDP 控制器。SDP 主機可以發(fā)起連接或接受連接。這些操作通過安全控制通道與 SDP 控制器交互來管理。 因此,在 SDP 中,控制平面與數(shù)據(jù)平面分離以實現(xiàn)完全可擴展的系統(tǒng)。 此外,為便于擴展與保證正常使用,所有組件都可以是多個實例的。
二、SDP工作流
三、SDP協(xié)議實現(xiàn)
客戶端—網(wǎng)關模型;客戶端—服務器模型;服務器—服務器模型;客戶端—服務器—客戶端模型。
四、SDP應用
企業(yè)應用隔離、私有云和混合云、軟件即服務(SaaS)、基礎設施即服務(IaaS)、平臺即服務(PaaS)。
五、SDP 協(xié)議
六、日志
七、SDP 標準規(guī)范
無論是一個企業(yè)、一個服務提供者、還是一個獨立的實踐者,這項研究都能夠給您帶來幫助。該文檔將提高您對與IaaS環(huán)境相關的特定網(wǎng)絡訪問所面臨的挑戰(zhàn),并通過軟件定義邊界SDP來幫助您解決這些問題。
未來,華云數(shù)據(jù)將在堅持自主研發(fā)安全可控的產(chǎn)品技術,積極參加聯(lián)盟的安全技術標準的制定,在中國云安全聯(lián)盟的支持下開展國際網(wǎng)絡治理,探索與新一代云計算,人工智能,物聯(lián)網(wǎng),區(qū)塊鏈,5G等新興技術的研究,并加強與聯(lián)盟、政府、合作伙伴的協(xié)同合作,在云時代加速前行,致力于為我國云計算安全貢獻力量。
