欢迎访问等保测评网!

等保服务热线:18122425657

当前位置:主页 > 等保资讯 > 等保快讯 >

零信任SDP × 等保2.0的结合及实践应用

2020-06-04 17:52

IMG_256

 

今年5月,由云安全联盟CSA策划发起,中国电信研究院应用安全研究所、华为、深信服、天融信、易安联、字节云智、云深互联联合承办的《零信任SDP X 等保2.0应用分享会》如期举行,众多专家就零信任SDP与等保2.0的结合与应用展开畅谈。

 

一、零信任SDP

 

软件定义边界(SDP),也被称为“黑云(Black Cloud)”,是一种新的计算机安全方法。

 

SDP要求在获得对受保护服务器的网络访问之前,先对端点进行身份验证和授权。然后,在请求系统和应用程序基础设施之间实时创建加密连接。SDP将用户的数据和基础设施等关键IT资产隐藏在用户自己的黑云里,无论这些资产位于公有云或者私有云,位于DMZ区或者数据中心,使得这些关键IT资产对外是不可见的。

 

SDP对外提供零可见性和零连接,只有在端点证明他们可以被信任之后才可以建立连接,允许合法流量通过,这种方法基本上可以预防所有基于网络的攻击。

 

SDP基于策略创建安全边界,用于将服务与不安全的网络隔离开。它的设计目的是提供按需、动态的气隙网络(安全隔离网络),在授权之前首先对用户和设备进行身份验证,以便于安全连接到被隔离的服务。未经授权的用户和设备无法连接到受保护的资源。SDP广泛使用加密,包括用于组件间通信的mutual TLS,以及SPA授权数据包内的HMACSDP被设计用来抵御基于网络的攻击。(来源:CSDN

 

二、零信任与等保2.0的天然结合是大势所趋

 

云深互联创始人兼CEO ,国际云安全联盟CSA(大中华区)SDP工作组组长陈本峰认为,零信任SDP技术与等保2.0合规要求具有天然的结合点。传统的网络是基于防火墙的物理边界防御,然而由于云计算、移动互联网、物联网的新趋势,企业的物理边界瓦解,由此产生了新的安全模型,即软件定义边界SDP。零信任SDP的安全的理念和架构是适应整个云大物移新的发展趋势的。而等保2.0相比等保1.0,也是针对云大物移的趋势做了改进,加入了移动互联、云计算、物联网、工业控制系统等相应的安全扩展要求。一个是新趋势产生的新安全技术,一个是新趋势产生的新合规要求,所以两者刚好是很好的结合和实践。”

 

提及零信任SDP ,云深互联陈本峰认为,零信任SDP从根本上对网络安全的模型进行了颠覆,过去基于防火墙的物理边界防御;未来的零信任安全是基于身份为核心,打破物理边界的局限,然后让服务器可以在任何云、任何数据中心,让员工可以在任何时间任何地点都可以安全访问业务系统。零信任SDP打破了完全物理边界的束缚,让数据可以无边界地自由流动,从而让整个社会产生更高的生产力,尤其是现在国家在重点推行的新基建,任何场景应该都需要网络安全。

 

对于等保2.0,为了配合《中国人民共和国网络安全法》的实施,其针对共性安全保护需求提出了安全通用要求;针对移动互联、云计算、物联网、工业控制系统等技术,也提出了相应的安全扩展要求,已达到网络安全等级保护的标准要求。而且,等保2.0在合规建设方面,强调基于4A的统一身份认证、统一用户授权、统一账户管理、统一安全审计等相应的安全建设合规。

 

所以说SDP、等保2.0都是这种云大物移新趋势下的产物,显然零信任对于满足等保2.0 的合规要求,具有天然的结合点。

 

三、零信任SDP在等保2.0的实践应用

 

众所周知,等保2.0将等保1.0的被动式传统防御思路转变为主动式防御,覆盖工业控制系统、云计算、大数据、物联网等新技术新应用,为落实信息系统安全工作提供了方向和依据。而SDP将基于传统静态边界的被动防御转化为基于动态边界的主动防御,与等保2.0的防御思路非常吻合,成为满足等保2.0合规要求的优选解决方案。

 

那么,SDP又是如何应用于云计算、大数据、物联网等新技术新应用中的呢?

 

SDP以用户身份为中心,没有基于预设的发起方(IH)和接受方(AH)的网络地址等信息,因而能够在内外部环境,尤其是网络地址和拓扑都持续发生变化的情况下,提供可靠的隔离和访问控制手段。可以解决在云计算环境中,由于计算、存储和网络等元素的资源池化,业务所在的物理位置和网络位置的频繁变化而产生的安全防护问题。

 

SDP强化移动互联网应用的安全机制,利用动态信任评估、网络隐藏、双向验证、网络微隔离、安全远程访问等技术手段实现增强移动互联网安全的目的。

 

SDP通过“零信任”框架,重构物联网系统的安全机制,并利用强化身份验证、身份与设备的双向验证、网络微隔离、安全远程访问等技术手段实现增强物联网安全,实现对于等保2.0的满足或部分满足。

 

依据《网络安全等级保护基本要求》工业控制系统安全扩展要求,结合SDP技术,从网络架构、通信传输、访问控制、无线使用等方面提供安全使用建议,覆盖二、三、四级的工业控制系统安全防护,力助各单位利用SDP技术做好工业控制系统安全防护与合规。

 

近年来,零信任作为一种理念和新架构,能很好的指导从业者进行安全规划和访问控制,而且能对数据和应用起到高强度的安全保护作用,也是云时代的发展趋势。

 

Gartner2019年发布行业报告《零信任网络访问市场指南》预测:2023,将有60%的企业淘汰VPN而转向使用ZTNA。而Gartner2020年发表的《软件定义边界(SDP)市场增长指南报告中》也显示,SDP的市场占有率呈明显上升趋势。

 

等保2.0标准作为我国网络安全领域的基本国策、基本制度和基本方法,可以更好的保障信息系统安全、满足新态势下的网络安全需求。零信任与等保2.0的结合与实践应用,将更好的为网安的健康发展提供更好的技术支撑。