软件定义边界（SDP）和零信任.pdf

2 0 2 0 云 安 全 联 盟 - 版 权 所 有 1 软 件 定 义 边 界 ( S D P ) 和 零 信 任2 0 2 0 云 安 全 联 盟 - 版 权 所 有 2 S D P 工 作 组 官 网 地 址 ： h t t p s : / / w w w . c - c s a . c n / r u a n j i a n d i n g y i b i a n j i e S D P . h t m l h t t p s : / / c l o u d s e c u r i t y a l l i a n c e . o r g / s o f t w a r e - d e f i n e d - p e r i m e t e r / 2 0 2 0 云 安 全 联 盟 - 保 留 所 有 权 利 。 你 可 以 在 你 的 电 脑 上 下 载 、 储 存 、 展 示 、 查 看 、 打 印 及 ， 或 者 访 问 云 安 全 联 盟 官 网 （ h t t p s : / / c l o u d s e c u r i t y a l l i a n c e . o r g ） 。 须 遵 守 以 下 : （ a ） 本 文 只 可 作 个 人 、 信 息 获 取 、 非 商 业 用 途 ； ( b ) 本 文 内 容 不 得 篡 改 ; ( c ) 本 文 不 得 转 发 ; ( d ) 该 商 标 、 版 权 或 其 他 声 明 不 得 删 除 。 在 遵 循 美 国 版 权 法 相 关 条 款 情 况 下 合 理 使 用 本 文 内 容 ， 使 用 时 请 注 明 引 用 于 云 安 全 联 盟2 0 2 0 云 安 全 联 盟 - 版 权 所 有 3 致 谢 主 要作 者： J u a n i t a K o i l p i l l a i N y a A l i s o n M u r r a y 贡 献者 ： M i c h a e l R o z a M a t t C o n r a n J u n a i d I s l a m A d i t y a B h e l k e E i t a n B r e m i e r T i n o H i r s c h m a n n S t e v e S w i f t S a m H e u c h e r t J o h n M a r k h R o u p e S a h a n s O s c a r M o n g e E s p a n a G e r a r d o D i G i a c o m o V l a d i m i r K l a s n y a J . L a m C l a r a A n d r e s s D a n M o u n t s t e p h a n M a n o j S h a r m a CSA 分 析师 ： S h a m u n M a h m u d CSA 全 球员 工： A n n M a r i e U l s k e y ( D e s i g n2 0 2 0 云 安 全 联 盟 - 版 权 所 有 4 中 文版 翻译 说 明 由云 安全 联盟大 中华 区（ C S A G C R ）秘 书处 组织翻 译 软件 定义边 界和 零 信 任 ( S o f t w a r e - D e f i n e d - P e r i m e t e r - a n d - Z e r o - T r u st ) ， 云 安全 联 盟 大中 华 区专 家 翻译并审校。 翻 译 审 校 工 作 专 家 ： （ 按 字 母 顺 序 排 序 ） 组长：陈本峰（云深互联）、郑大义（万物安全） 组员： 崔泷跃、 高巍、 靳明星 （易安联） 、 杨正权 （易安联） 、 姚凯、 于乐、 余晓光（华为） 在此感谢以上参与该文档的翻译审校工作的专家及工作人员。 如译文有不妥 当之处， 敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮箱： infoc-; 云 安全联盟 CSA 公众号2 0 2 0 云 安 全 联 盟 - 版 权 所 有 5 序 言 2 0 1 0 年， 原 F o r r e s t e r 副总裁兼分析师， 现 P a l o A l t o N e t w o r k C T O 兼 C S A 大 中华区顾问 J o h n K i n d e r v a g 以“ 永不信任，始终验证 ” 思想提出零信任模型 Z e r o T r u s t M o d e l ，零信任概念开始得到业界关注并被广泛认可。2 0 1 3 年，云安全联 盟 C S A 提出 S D P （S o f t w a r e D e f i n e d P e r i m e t e r ）软件定义边界，成为零信任的第 一个解决方案，由组长 B o b F l o r e s （原美国 C I A 的 C T O ）和包括 C S A 大中华区研 究院专家在内的 C S A S D P 工作组制定编写并发布了 S D P S p e c 1 . 0 等研究成果并提 出零信任的 A B C D E 原则，在 R S A 安全大会上 C S A S D P 挑战赛从未被黑客攻破。 2 0 1 9 年， 美国国家标准与技术研究院 N I S T 主导， 并由包括 C S A 大中华区研究院 专家在内的业界众多安全专家参与， 制定、 编写并发布了 N I S T S P 8 0 0 - 2 0 7 Z T A 零 信任架构草案， 被全球业界一致认为是零信任架构的标准。N I S T Z T A 属于参考 架构， 它明确提出企业实现零信任的解决方案包括软件定义边界 S D P ， 增强的身 份治理 I A M ，及微隔离 M S G 。 本文中，C S A 全球 S D P 工作组和 C S A 大中华区 S D P 工作组的多位专家们对 S D P 如何实现零信任的战略、 价值、 实施等内容做了原创和翻译， 相信对广大的 安全专家、C I O 、C I S O 和公司业务高管在考虑企业的零信任落地时会有启示和帮 助。 李雨航 Y a l e L i C S A 大中华区主席兼研究院院长2 0 2 0 云 安 全 联 盟 - 版 权 所 有 6 目 录 致谢 . 3 序言 . 5 引言 . 7 目标 . 9 读者 . 9 零信任网络和 S D P . 9 为什么需要零信任 . 1 0 零 信 任 解 决 哪 些 问 题 . 1 2 实施零信任战略 . 1 4 零信任解决方案的优势和价值 . 1 6 安全价值 . 1 6 商业价值 . 1 7 S D P 零信任战略实施方针和 P O C 概念验证 . 1 8 技术组件及架构 . 2 1 技术风险及问题 . 2 2 假定 . 2 2 技术分析 . 2 2 所需资源 . 2 3 关键产业发展 . 2 4 交付实施 . 2 4 现状分析 . 2 4 相关说明 . 2 5 引用 . 2 52 0 2 0 云 安 全 联 盟 - 版 权 所 有 7 引 言 软 件 定 义 边 界 （ S o f t w a r e D e f i n e d P e r i m e t e r , S D P ） 是 一 个 能 够 为 O S I 七 层 协 议栈提供安全防护的网络安全架构。 S D P 可实现资产隐藏 ， 并在允许连接到隐藏 资 产 之 前 使 用 单 个 数 据 包 通 过 单 独 的 控 制 和 数 据 平 面 建 立 信 任 连 接 。 使 用 S D P 实现的零信任网络使组织能够防御旧攻击方法的新变种， 这些新变种攻击方法不 断出现在现有的以网络和基础设施边界为中心 的网络模型中 。 企业实施 S D P 可以 改善其所面临的攻击面日益复杂和扩大化的安全困境。 最初， 零信任网 络 （Z T N ） 概念是由 美国国防部 （D o D ） 在 2 0 0 0 年代初开 发 的，同 时定义了 全球信息 网格（ G I G ）网络 运营（ N e t O p s ）黑核 （ B l a c k C o r e ）路 由和寻址架构， 这是国防部以网络为中心的服务策略的一部分。 随着时间的流逝 ， 此 概 念 在 D o D 情 报 和 安 全社 区 内 演 变 为 当 前 的 Z T N / S D P 框 架 和 测 试实 验 1 。 同 时 ，市 场咨 询公 司 F o r r e s t r e r 开 始推 广 Z T N ， 指出 Z T N 是 企业 安全 团队 值得 考虑 的技术。 如今，零信任在采用率和范围方面都得到了广泛的进步。 在 题为 “ Z e r o - T r u s t - e X t e n d e d - Z T X - E c o s y s t e m ” 的 报告 中 ， F o r r e s t e r 分 析师 观 察到网络边界正在变化的规律， 这导致了零信任架构很快从 “跨位置和托管模型 的网络安全隔离” 思想中诞生。 F o r r e s t e r 断言 ， 当前模型可应对 挑战和消除当前 安全策略中固有的信任假设的需求。 它还指出应考虑使用各种新的基于自适应软 件的方法。但是，它并没有为“扩展的生态系统框架”确定新的方向 2 。 从本质上讲， 零信任是一种网络安全概念， 其核心思想是组织不应自动信任 传统边界内外的任何事物， 并旨在捍卫企业资产。 实施零信任需要在授予访问权 限 之 前 验 证 所 有 尝 试 连 接 到 资 产 的 事 物 ， 并 在 整 个 连 接 期 间 对 会 话 进 行 持 续 评 估。 如图 1 所示， 美国国家标准与技术研究院 （N I S T ） 描述了使用 “信任边界” 。 1 h t t p s : / / w w w . s e c u r e w o r l d e x p o . c o m / i n d u s t r y - n e w s / p e n t a g o n - z e r o - t r u s t - s e c u r i t y - f r a m e w o r k 2 h t t p s : / / w w w . e m 3 6 0 t e c h . c o m / w p - c o n t e n t / u p l o a d s / 2 0 1 9 / 0 4 / T h e - F o r r e s - e r - W a v e % E 2 % 8 4 % A 2 _ - Z e r o - T r u s t - e X t e n d e d - Z T X - E c o s y s t e m - P r o v i d e r s - Q 4 - 2 0 1 8 - 1 - 1 . p d f2 0 2 0 云 安 全 联 盟 - 版 权 所 有 8 图 1 ： 来 源 ： N I S T ， 8 0 0 - 2 0 7 ， 零 信 任 架 构 第 二 版 草 案 h t t p s : / / c s r c . n i s t . g o v / p u b l i c a t i o n s / d e t a i l / s p / 8 0 0 - 2 0 7 / d r a f t 什么 是零 信任呢 ？根 据 F o r r e s t e r 的研 究， 零信任 概念 有三个 要点： 向网 络引入 信任 的概念 ，以确 保资源 永远可 以被 安全地 访问， 无论是 谁 创建流量或流量来自何处， 无论在任何位置或者使用何种托管模型， 无论是 在云上、私有部署、或者混合部署的资源。 采用最小授权策略 （L P S ） 来实施访问控制 ， 以消除访问禁用资 源的人性 诱惑。 持续记录用户流量并分析检查是否存在可疑活动。 什 么是 S D P ？ 软件 定 义边 界（ S D P ） 是零 信 任策 略的 最 高级 实 现方 案 。云 安 全联盟 C S A 已采用并倡导将以下结构应用于网络连接： 图 2 ： S D P 架 构 （ 来 自 C S A S D P 规 范 1 . 0 ） 将建立信任的控制平面与传输实际数据的数据平面分开。 使 用 动 态 全 部 拒 绝 （ d e n y - a l l ） 防 火 墙 （ 不 是 完 全 d e n y - a l l ， 而 是 允 许 例 外） 来隐藏基础架构 （ 例如 ， 使服务器变 “黑” ， 不可见） - 丢弃所有未经授 权的数据包并将它们用于记录和分析流量。 访问受保护的服务之前， 通过单包授权 （ S P A ） 协议来认证和授权用户以 及验证设备。- 最小授权在此协议中是自带的2 0 2 0 云 安 全 联 盟 - 版 权 所 有 9 由 于 S D P 对 于 底 层 的 基于 I P 的 基 础 架 构 是 透 明 的， 并 且 基 于 该 基 础 架 构 保 证所有连接的 安全 ， 而且它可以部署 在 O S I / T C P / I P 传输层协议之前的 网络层并 在会话层的应用之前， 因此它是采用零信任策略的最佳架构。 这一点很重要 ， 因 为传输层可以为应用程序提供主机到主机的通信服务， 而会话层是终端应用程序 进程之间打开、 关闭和管理会话的机制。 两者都有已知的和未发现的弱点 ， 例如 T L S 漏洞和 建立会话 时的 T C P / I P S Y N - A C K 攻击。 下表将 I S O 开放系 统互连（ O S I ） 模型与 I n t e r n e t 工程任务组（I E T F ）T C P / I P 协议相关联。 # O S I 层 T C P / I P 层 协 议 数 据 封 装 描 述 7 应 用 层 应 用 层 数 据 网 络 进 程 到 应 用 6 表 示 层 数 据 数 据 表 示 和 加 密 5 会 话 层 数 据 主 机 间 通 信 4 传 输 层 传 输 层 段 端 到 端 连 接 和 可 靠 性 3 网 络 层 网 络 层 包 路 径 确 定 寻 址 2 数 据 链 路 层 数 据 访 问 层 帧 物 理 寻 址 1 物 理 层 字 段 媒 介 、 信 号 和 二 进 制 传 输 图 3 ： 来 源 ： h t t p s : / / w w w . i s o . o r g / i c s / 3 5 . 1 0 0 / x / ， h t t p s : / / t o o l s . i e t f . o r g / h t m l / r f c 1 1 8 0 目 标 本文将展示如何使用 SDP 来实现 ZTN，以及为什么将 SDP 应用于网络连接， 以及为什么是最先进的 ZTN 实现。 读 者 安全专家、 CIO、 CISO 和其他公司高管正在考虑将 “零信任” 技术作为有效 防御大规模违规行为的防护措施，是本文的目标读者。 零 信 任网 络 和 S D P 安全行业承 认现有的防御机制 只能解决部分问题 。 S D P 可以在 T C P / I P 和 T L S 之前执行， 从而减少了威胁参与者将易受攻击的协议作为攻击向量的可能性。 符 合 C S A S D P 第 一 版 规 范 的 软 件 定 义 边 界实 现 了 零 信 任 ， 可 以 阻 止 常 见 的 D D o S2 0 2 0 云 安 全 联 盟 - 版 权 所 有 1 0 凭证 盗 用 以及 O W A S P 发 布 的著 名 的 十 大威 胁 等 攻击 方 法 。 S D P 是 已 被证 明 的 零 信任实践方案， 它可以使资产是隐藏不可见的， 直到与访问者关联的身份被成功 验证并授权。 实际上， “零信任” 是位于 S D P 架构背后的 理念 。 S D P 的基本原则 是 A B C D ： “ A 不 假 设 任 何 事 （ A s s u m e n o t h i n g ） ， B 不 相 信 任 何 人 （ B e l i e v e n o b o d y ） ， C 检查 所有内 容 （ C h e c k e v e r y t h i n g ） ， D 阻止 威胁 （ D e f e a t t h r e a t s ） 。 ” 尽管 S D P 零信 任被 应用 在 I S O O S I 模型 的第 3 层网 络层 上， 但鉴 于常 见的架 构模 式（ 例如 访问混合云服务的应用程序） ， 在将零信任网络部署在尽可能接近域边界的位置 时必须小心，要确保最佳的性能并防止不必要的服务延迟。 为 什么 需要 零 信任 当今的网络安全实施类似于建筑物的墙和门，犯罪分子可能尝试开门撬锁。 如今， 组织依赖其安全 “ 门锁” ， 并进行严密监控确保犯罪分子不会闯入。 最好 是围护数字资产， 然后通过威胁阻止未经授权的用户。 我们可能想看看谁在敲门 ， 但为了防止恶意行为绝对不要让坏人有可以碰到锁的机会。 这就是为什么迫切需 要有效的零信任部署的本质所在。 此外， 众所周知， 威胁参与者的主要目标是渗 透进网络并横向移动， 从而访问具有更高特权凭证的系统。 零信任可以防止未经 授权用户的隐藏活动，从而将访问限制在授权用户。 下列问题要求快速更改网络安全性的实现方式。 a）不断变化的边界 传统范式下， 网络边界固定， 受信任的内网受负载均衡和防火墙之类的网络 设备保护， 但这个范式已被虚拟网络取代并且过去的网络协议也被认为不是原生 安 全 的 。 实 际 上 ， 许 多 当 前 的 网 络 协 议 （ 例 如 I P S e c 和 S S L V P N ） 都 存 在 已 知 的 漏 洞 3 。 此 外 ， 大 量 的 移 动 和 物 联 网 设 备 对 传 统 固 定 网 络 中 边 界 网 络 的 本 质 带 来了挑战。 随着 云的 引入， 环境 已经发 生了 变化。 除了 云之外 ， B Y O D 的要 求、 机器到2 0 2 0 云 安 全 联 盟 - 版 权 所 有 1 1 机器的连接、 远程访问的增加和网络钓鱼攻击的增加都使得传统方法不断受到挑 战。 企业有许多内部设备， 以及各种各样的用户。 一个常见的用例是现场承包商 必须访问内部和云中的网络资源。 混合架构也正在发展， 在这种架构中 ， 企业工 作站通过云赋能异地客户和合作伙伴处的员工可以共用站点设施。 此外， 在这些 情况下，通过站点到站点的连接（包括与第三方的互连）重新定义了域边界。 b）IP 地址挑战 今天一切都依赖于对 O S I 网络堆栈 1 - 4 层上 I P 地址的信任， 但这带来了一个 问题： I P 地址缺乏任何类型的用户信息来验证设备请求的完整性。 I P 地址根本无 法拥有用户上下文信息。 I P 地址仅提供连接性信息， 但不对终端或用户的可信度 提供指示。 T C P 是 O S I 网络堆栈第 4 层上的双向通信协议， 因此与外部不可信主 机进行通信的内部可信主机可以接收到不可信消息。 I P 地址的任何更改都可能意味着复杂的配置 ， 从而允许错误在网络安全组和 网络访问控制列表中蔓延。 被遗忘的内部主机可以通过默认响应过去的协议 （如 I C M P 网 络支 持） 为 黑客 提 供入 口。 最 后， I P 地 址会 动态 分 配， 或 者当 用户 从 一 个位置移至另一个位置时会发生变化，因此不应用作网络位置的基准。 c）实施集成控制的挑战 网络连接的可见性和透明性对于网络安全性和安全工具的实现存在问题。 当 前 ， 对 控 制 的 集 成 是 通 过 收 集 多 个 日 志 中 的 数 据 并 转 发 给 安 全 信 息 与 事 件 管 理 （ S e c u r i t y I n f o r m a t i o n & E v e n t M a n a g e m e n t , S I E M ） 或 安 全 编 排 自 动 化 响 应 （S e c u r i t y O r c h e s t r a t i o n A u t o m a t i o n R e s p o n s e , S O A R ）技术分析。 网络连接的单点信任很难实现。 在允许通过防火墙访问之前集成身份管理是 一 项 非 常 消 耗 资 源 的 任 务 。 此 外 ， 对 于 大 多 数 开 发 / 运 营 / 网 络 团 队 而 言 ， 使 用 安全编码规范、应用程序层防火墙和防 D D o S 保护非常重要。 3 h t t p s : / / c r y p t o . s t a n f o r d . e d u / c s 1 5 5 o l d / c s 1 5 5 - s p r i n g 1 1 / l e c t u r e s / 0 8 - t c p - d n s . p d f2 0 2 0 云 安 全 联 盟 - 版 权 所 有 1 2 为单个应用程序提供控制安全态势的能力目前是一个巨大的挑战。 改造应用 程序和容器平台的安全性需要集成访问控制、 身份管理 、 令牌管理、 防火墙管理 、 代码、 脚本、 管道和图像扫描， 以及对集成的整体编排 。 这对大多数团队非常困 难。 零 信 任 解 决 哪 些 问 题 以下是当今网络架构中常见的固有弱点， 因此需要一种全新方法设计网络安 全: a ）先 连 接再 验 证 大多 数网 络 装置 都允 许在 验证身 份之 前进 行访问 。由 于没有万无一失的守护者可以检验身份声明， 因此访问控制机制可以被绕过。 身 份验证、 授权和基于令牌的访问控制系统， 不论是否经过加密， 都可能存在多个 缺陷。 今 天 用 于 连 接 的 主 要 网 络 协 议 是 传 输 控 制 协 议 （ T r a n s p o r t C o n t r o l P r o t o c o l , T C P ）。 当应用 程序使用 该协议 连接时 ，将使用 先连接 再验证 模型运行 。当客 户 端要进行通信并访问某个应用程序时，需要首先建立连接，而后进行身份验证。 客户端通过身份验证后，即可交换数据。 此模型允许客户端首先连接到网络， 从而允许未经授权用户进入。 然后验证 客户端身份， 但仅在允许连接之后验证。 这意味着已连接但未经授权的用户现在 处于网络中并且可以执行恶意活动。由于在身份验证前不知道谁是合法客户端， 因此这些用户通常会在其身份声明未被质疑时绕过身份验证方法。 本质上讲，组织为设备提供连接到 I n t e r n e t 的 I P 地址时做了三件事： 拒绝尝试连接的恶意行为者，这个群体主要依靠威胁情报来标识。 通过 漏洞、 补丁 和配置 管理功 能加固 机器， 使其 无懈可 击。但 事实证 明 这种做法不可行。 部署 没有用 户上 下文的 网络层 防火墙 设备。 这些 防火墙 容易受 到内部 攻 击 ， 或 使 用 过 时 的 静 态 配 置 。 （ 注 意 ： 下 一 代 防 火 墙 （ N e x t G e n e r a t i o n F i r e w a l l s , N G F s ） 确实考虑 了用户上下文 ， 应用上下 文和会话上下文 ， 但仍是2 0 2 0 云 安 全 联 盟 - 版 权 所 有 1 3 基 于 I P 的 ， 会 由 于 应 用 层 漏 洞 而 导 致 不 确 定 的 结 果 。 详 细 信 息 请 参 阅 S D P 架构文档。） S D P 观点 ： 这 些 技术 都 不 能有 效 防 止攻 击 。 零 信 任的 实 现 要求 对 网 络 、 主 机 和应 用平 台基础 架构 上各层 攻击免 疫。 b ） 监 视端 点 需要 消 耗大 量 计算 、 网 络和 人 力资 源 使用 A I 进行 端点监视 尚无法正确检测出或防止未经授权的访问。虽然受保护资源有各种虚拟的隔离， 但是随着时间的推移， （攻击者） 可以通过捕获身份的详细信息了解授权机制以 及伪造人员、角色和应用的身份验证凭证，从而进行破坏。 现如今人工智能模型是简单的行为模型，大多基于多重线性回归分析和/ 或 专家系统， 或经过训练可检测模式的神经网络。 如果有足够的时间序列数据， 则 可以将 A I 安全检测模型扩展到基于时间的事件。这些模型用于非进化系统，主 要是在事后检测入侵模式。 A I 目前在快速发展 ， 需要熟练的安全专业人员提供分 析以检测和预防新的、 不断发展的威胁。 大量数据与训练有素的模型结合， 可以 检测到众所周知的攻击向量。 但是要检测前所未见过的带有欺骗意图的全新入侵 途径， 则需要结合性能监视、 交易数据模式分析和安全专家提供的分析。 仅依靠 端点监视仍然会使企业容易受到不可检测的攻击。 S D P 观点 ： 对 高 度机 密 的 数据 ， 保 证 安全 性 最 好的 方 法 是 在攻 击 发 生之 前 进 行 防 范 。 S D P 零 信 任部 署 可 以基 于 逐 个 数据 包 分 析 ， 揭 示 非法 的 身 份标 识 ， 从 而 拒绝 存在 风险的 数据 交换。 c ） 缺 乏 用 户 上 下 文 的 数 据 包 检 查 网 络数 据包 检 查有 其局 限性 ， 即数 据 包“分析”发生在应用层，因此入侵可能在检测前已经发生。 通 过 对 网 络 中 单 个 数 据 包 的 检 查 以 识 别 连 接 的 做 法 在 一 定 范 围 内 是 创 新 的 且成功的。这些方法仅与 T C P / I P 和 T L S 协议以及应用程序代码一样安全。 传 统 上 ， 数 据 包检 查 是 在 防 火 墙 上 或 防 火 墙 附 近使 用 入 侵 检 测 系 统 （ I D S ） 和/ 或在重要的战略监视区域进行的 。 传统的防火墙通常基于源 I P 地址控制对网2 0 2 0 云 安 全 联 盟 - 版 权 所 有 1 4 络资 源的访问 。检查数 据包的根 本挑战是 从源 I P 识别 用户。工 具是基于 I P 地址 检查的。 尽管可以使用现有技术 检测某些攻击 （例如 D D o S 和恶意软件） ， 但是 绝大多数攻击 （例如代码注入和凭证盗用） 这些攻击在应用层执行 ， 因此需要上 下文才能检测。 S D P 观点 ： 与 之 相反 ， S D P 不 但 有数 据 包 检查 而 且 还 有用 户 上 下文 。 通 过 S D P 零 信 任 部 署 ， 可 以 把 在 S D P 网 关 收 集 被 丢 弃 的 数 据 包 进 一 步 转 发 ， 进 行 额 外 检 查和 分析 。 结合 网络 数据， 可以 在入侵 发生前 检测 到风险 概况 。 实 施零 信任 战 略 零信任是设计实现网络安全架构一种的理念， 在这种架构下， 服务只有在用 户、 设备甚至每一个网络数据包都被充分地检查、 认证和授权后才能被访问 。 即 便如此，访问授权也应授予其最小权限。实现零信任架构需要如下几个部分。 a） 访问前身份验证 使用 V P N 和防火墙建立的零信任体系供 用户访问服务 （例如： 邮件服务） 。 防火 墙可以 设置 I P 黑名 单并且 服务也 可以 设置哪 些 I P 地址 可以访 问。 V P N 可以 设 置 为 网 络 上 只 有 通 过 认 证 的 V P N 客 户 端 和 拥 有 适 当 的 密 钥 的 用 户 可 以 连 接 来 实现零信任。 然而， 如果一个未授权的用户复制了 V P N 客户端并且偷到了密钥， 那么他也可以访问邮件服务， 并且他还可以猜解其他用户的用户名和密码， 或者 执行诸如 D D o S 、 凭证盗窃等恶意行 为 。 V P N 允许用户登录网络 并拒绝对不在邮 件 服务 器 网 段上 的 其 他服 务 的 访问 （ 例 如： S h a r e P o i n t ） 。如 果 一 个未 授 权 用户 已经连入了网络， 那么一般来说他 会横向访问到 S h a r e P o i n t 服务。 身份认证前允 许用户可访问的内容总是会比访问权限控制后要多。 为了确保在访问前进行认证， 有一个隐含的要求： 即将用户身份认证的控制 平面和数据平面分离。 为了确保响应时间在可接受范围内， 还需要一种即时的身 份认证机制2 0 2 0 云 安 全 联 盟 - 版 权 所 有 1 5 b） 限制网络连接和暴露面的能力 公 有云 / 私 有云 划 定 了网 络 安全 边 界。 它 提 供了 一 种分 层 的安 全 方 法， 将 日 志导入监控工具， 并且提供了分析和混合服务来控制策略。 然而， 这些特性并没 有解决在访问之前身份验证的问题。 原 生云 平 台 和应 用 服务 的 强大 功 能 支持 包 括入 站 / 出 站安 全 配 置和 企 业网 络 策略配置。 强身份认证和 授权的行业标准是双向 T L S （双向 s s l ） 证书认证。 一种 更 好 的 方 法 是 在 数 据 包 访 问 之 前 进 行 身 份 验 证 ， 将 S D N 控 制 器 与 S D P 零 信 任 平 台 连 接 ， 并 在 S D N 控 制 器 提 供 的 流 量 管 理 控 制 下 在 网 络 层 丢 弃 或 放 行 数 据 包 。 通过这种结构，S D N 控制器可以在用户身份验证失败后断开网络连接。 c）信任认证机制的粒度 网络层 V P N 和防火墙以及 应用层防火墙和 S S L V P N 没有办法实现 细粒度的访 问控制。 零信任体系不仅天生的具有基于策略的授权能力， 而且还要求其在细粒 度 的网 络 上下 文 以及 分 布式 服 务连 接 和私 有 云 / 公 有云 的 多云 互 联方 案 中进 行 身 份认证。 使用网络层防火墙时需认真斟酌下。 由于它是静态的， 因此用户组是它所能 提 供 的 信 任 颗 粒 度 。 来 自 不 同 部 门 、 不 同 角 色 的 一 组 用 户 需 要 访 问 具 有 相 同 I P 地址的同一服务情况是很常见的。 防火墙规则是静态的， 其策略只依赖于网络信 息。 它们不会根据上下文 （ 即网络中设备所需的信任级别 ） 动态更改。 一个常见 的例子是用户在风险更高的网络例如网吧中请求访问。 如果本地防火墙或防病毒 软件因恶意软件或某种意外而关闭， 传统防火墙将不会检测到这一点。 另一个例 子是 I P S e c V P N ， 它在允许 访问前不会进行 身份属性的认证 。 相反， I P S e c V P N 依 赖令牌（t o k e n ）和凭证，而这可能被截获。而 S S L V P N 又有已知的漏洞。 相比以上这些限制， 基于网络边界零信任方案通过细粒度信任认证机制和基 于策略的授权达到了更安全的效果2 0 2 0 云 安 全 联 盟 - 版 权 所 有 1 6 d） 监测可疑行为 让我们再考虑下基于身份属性的认证何时失败。 将基于包检查的可疑行为导 入日志和检测服务的能 力为安全编排 、 自动化及响应 ( S O A R ) 提供的真正有用的数 据 ， 该 技 术 使 组 织 能 够 从 各 种 来 源 获 取 输 入 （ 主 要 来 自 安 全 信 息 和 事 件 管 理 （ S I E M ） 系 统 ， 有 关 详 细 信 息 ， 请 参 阅 S D P 体 系 结 构 指 南 ） 。 自 动 化 是 指 为 收 集数据、 进行集成和编排、 提供操作智能和可视化图形和仪表板而启动的工作流 过程。 零信任实现可以为输入提供有用的情报， 以提高 S O A R 人工智能模型和适 当监测可疑活动的能力。 零 信任 解决 方 案的 优势 和价 值 如同 C S A 在 S D P 架构介绍中 描绘的那样 ， S D P 零信任解决 方案具有如下安全 优势和商业价值。 安 全 价 值 价值 描述 减少攻击面 控制平面和数据平面分离， 从而隐藏应用， 避免潜在的网 络攻击，保护关键资产和基础设施 保 护 关 键 资 产 和 基础设施 通过隐藏来增强对云应用的保护： 给管理员更集中的管控 对所有的应用访问可视化管理 支持即时监控 应用隐藏 在 用 户 / 设 备 经 过 身 份 验 证 和 授 权 访 问 资 产 之 前 默 认 关 闭 端口，拒绝访问 降低管理成本 降低端点威胁预防/检测的成本 降低事故响应成本 降低集成管理的复杂性 基 于 连 接 的 安 全 架构 提供基于连接的安全架构。 随着互联网和云应用的爆发式 发展，传统的基于 I P 和边界的网络防护已经变得薄弱 可 集 成 的 安 全 架 提供了一个可集成的安全体系架构， 可以方便的和现有安2 0 2 0 云 安 全 联 盟 - 版 权 所 有 1 7 构 全产品（如 N A C 或反恶意软件）实现集成 SDP 把以下分散的安全元素集成到了一起： 用户感知应用 客户端感知设备 防火墙/网关等网络感知元素 单包授权 使用单包授权机制确定连接， 并启用身份验证和授权的控 制 连接预审查 用基于用户、设备、应用、环境等因素制定预审查机制， 去控制所有的连接 在 允 许 访 问 资 源 之 前 进 行 身 份 验 证 控制层面和数据 层面分开 ， 在T L S / T C P 握手之前进行身 份 验证并提供细粒度的访问控制，进行双向加密的通信 开放规范 针对审查机制建立社区， 让更多参与者反馈规则问题、 不 断优化规则 商 业 价 值 价值 描述 节省成本和人力 S D P 可取代部分传统的网络安全组件，减少了其许可和支 持成本，可以最小化或取代 M P L S 、提高线路利用率，减 少或取代专网 ， 降低企业成本。同时 S D P 安全策略可以降 低操作的复杂性和对传统安全工具的依赖 ， 简化网络安全 管理，提升工作效率，最终有助于减少人力需求。 敏捷I T 运营 I T 流程如果响应不及时会影响业务流程并进一步影响企 业效率，而 S D P 的机制实现了IT或I A M 事件的自动驱动， 保证I T 流程的即时响应，从而满足业务和安全需求。 利于 G R C （治理 、 风险与合规） 与传统的网络安全方法相比 ， S D P 降低了风险并减少攻击 面， 防止基于网络的攻击和应用程序漏洞的利用。S D P 可 以和G R C （ G ove r na nc e , R i s k & C om pl i a nc e ，治理、风险 与合规）系统集成对接，比如与 S I E M （安全信息和事件 管理）集成，以实现系统和应用的适配。 更 好 的 数 据 审 核 分析 S D P 对用户、设备、访问的应用集中管理，可以更方便的 进行数据收集 、 生成报表， 和数据审核分析， 同时可以为 在线业务提供额外的连接性溯源跟踪 。 S D P 的网络微隔离 技术经常被用来缩小管理的单元范围 ， 这对于报表的生成 和分析十分有利2 0 2 0 云 安 全 联 盟 - 版 权 所 有 1 8 更 适 合 云 安 全 迁 移 S D P 降低了应用上云所需的安全成本和复杂度，支持公共 云、私有云、数据中心和混合部署，可以帮助企业快速 、 清晰、安全的完成业务上云迁移 。 与其他方式相比，S D P 可以让业务云迁移更快、更好、更安全。 敏 捷 业 务 便 捷 创 新 使能企业快速、安全地解决其当务之急。 比如： 使能把集中部署的呼叫中心转型为远程 /居家坐席模式 使能将非核心业务功能外包给第三方 使能在远程第三方设备上实现面向客户的信息呈现 使能将公司资产部署到客户侧 ， 与客户建立更强的集成， 并产生新的收益 加速业务转型 通过微隔离和权限控制实现物联网安全 ， 可以连接到迁