零信任網絡安全

近年來，國內信息與通信技術（ICT）發展迅速，各企業將新技術應用於商業環境，推動了其數字化應用與發展。與此同時，也出現了許多信息安全方面的問題，如用戶信息泄露和盜用、病毒引起的數據丟失、外部攻擊導致的業務停頓等，對企業和社會的發展產生了極大影響。確保企業日益復雜的IT系統能夠長期、安全、可靠運轉成為眾多企業IT決策者面臨的巨大挑戰。另外，隨著以《中華人民***和國網絡安全法》頒布為標誌的壹系列法律法規及各類標準的推出，網絡安全上升為重要國家戰略。網絡安全不僅是企業內部的問題，還是企業合法合規開展業務的重要內容。

隨著雲計算、大數據、移動互聯網、物聯網（IoT）、第五代移動通信（5G）等新技術的崛起，傳統的網絡安全架構難以適應時代發展需求，壹場網絡安全架構的技術革命正在悄然發生，其受到越來越多企業IT決策者的認可。

在傳統安全理念中，企業的服務器和終端辦公設備主要運行在內部網絡中，因此，企業的網絡安全主要圍繞網絡的“墻”建設，即基於邊界防護。然而，物理安全邊界有天然的局限性。隨著雲計算、大數據、移動互聯網、物聯網等技術的融入，企業不可能將數據局限在自己的內部網絡中。例如，企業要上雲，就不能將公有雲裝入自己的防火墻；企業要發展移動辦公、物聯網，防火墻卻無法覆蓋外部各角落；企業要擁抱大數據，就不可避免地要與合作夥伴進行數據交換。因此，傳統安全邊界模型在發展新技術的趨勢下逐漸瓦解，在萬物互聯的新時代成為企業發展的障礙，企業需要建立新的網絡安全模型。

在這樣的時代背景下，基於零信任理念的新壹代網絡安全架構應運而生。它打破了傳統安全邊界，不再默認企業物理邊界內的安全性，不再基於用戶與設備在網絡中的位置判斷是否可信，而是始終驗證用戶的身份、設備的合法性及權限，即遵循“永不信任，始終校驗（Never Trust，Always Verify）”的零信任理念。在零信任理念下，網絡位置變得不再重要，其完全通過軟件來定義企業的安全邊界，“數據在哪裏，安全就到哪裏”。SDP依托自身優勢成為解決新時代諸多安全問題的最佳選項，其安全性和易用性也通過大量企業的實踐得到了驗證。為了推進SDP技術在中國的落地，CSA（大中華區）於2019年成立SDP工作組。

本書基於SDP工作組的若幹成果，對分散在不同文獻中的理論與概念進行匯總和整理，自上而下地對SDP的完整架構進行詳細介紹，並結合大量實踐案例，為讀者提供完整的軟件定義邊界技術架構指南。

（1）企業信息安全決策者。本書為企業信息安全決策者設計基於SDP的企業信息安全戰略提供完整的技術指導和案例參考。

（2）信息安全、企業架構或安全合規領域的專業人員。本書將指導他們對SDP解決方案進行評估、設計、部署和運營。

（3）解決方案供應商、服務供應商和技術供應商將從本書提供的信息中獲益。

（4）安全領域的研究人員。

（5）對SDP有興趣並有誌從事安全領域工作的人。

第1章對SDP的基本概念、主要功能等進行介紹。

第2章對SDP架構、工作原理、連接過程、訪問控制及部署模式等進行介紹。

第3章對SDP架構的具體協議及日誌進行介紹。

第4章對SDP架構部署模式及其適用場景進行介紹，為企業部署SDP架構做技術準備。

第5章對企業部署SDP需要考慮的問題、SDP與企業信息安全要素集成及SDP的應用領域進行介紹。

第6章對技術原理和IaaS使用場景進行分析與介紹，指導企業安全上雲。

第7章通過展示SDP對DDoS攻擊的防禦機制，加強讀者對SDP的認識和理解。

第8章介紹SDP對等保2.0各級要求的適用情況。通過對等保2.0的深入解讀，展示如何通過SDP滿足企業的等保2.0合規要求。

第9章對SDP戰略規劃與部署遷移方法進行介紹，在戰略規劃和部署遷移層面為企業提供指導。

第10章對NIST、Google、微軟及Forrester的零信任架構與實現進行介紹。

第11章精選了國內主要的SDP和零信任實踐案例，對其進行介紹。

（1）本書主要基於公有雲的IaaS產品，如Amazon Web Services、Microsoft Azure、Google Compute Engine和Rackspace Public Cloud等。其相關用例和方法同樣適用於私有化部署的IaaS，如基於VMware或OpenStack的私有雲等。

（2）按照SDP規範實現商業化的廠商與沒有嚴格按照SDP規範進行產品開發的廠商，在構建產品的過程中，有不同架構、方法和能力。本書對廠商保持中立並避免涉及與頭部廠商相關的能力。如果有因為廠商能力產生的差異化案例，本書盡量使用“也許、典型的、通常”等詞語來解釋這些差異，避免減弱本書的可讀性。

（3）高可用性和負載均衡不在本書的討論範圍內。

（4）SDP策略模型不在本書的討論範圍內。本書討論的SDP用例和方法也適用於平臺即服務（PaaS）。

（5）下列內容為引用文字。

零信任網絡又稱軟件定義邊界（SDP），是圍繞某個應用或某組應用創建的基於身份和上下文的邏輯訪問邊界。應用是隱藏的，無法被發現，並且通過信任代理限制壹組指定實體訪問。在允許訪問前，代理會驗證指定訪問者的身份、上下文和策略合規性。該機制將應用資源從公***視野中消除，從而顯著縮小可攻擊面。

（6）下列內容為數據包格式。

IP TCP AID（32位） 密碼（32位） 計數器（64位）

（7）標題帶有“JSON規範格式”字樣的方框中的內容為JSON文件的標準格式。

JSON規範格式

{

“sid”: <256-bit IH Session ID>,

“seed”:<32-bit SPA seed>,

“counter”: <32-bit SPA counter>

[

“id”:<32-bit Service ID>

]

}

上一篇:B2B和B2C有什麽區別？

下一篇:旅行團建&amp;amp;企業團隊遊目的地推薦匯總