CSA SDP2.0標(biāo)準(zhǔn)發(fā)布

5月17日世界電信日，由國際云安全聯(lián)盟CSA大中華區(qū)主辦、騰訊安全承辦的“CSA SDP2.0標(biāo)準(zhǔn)發(fā)布暨零信任技術(shù)研討會”在線上召開。本次研討會聚焦軟件定義邊界SDP和零信任，共探數(shù)字化安全新未來。

  SDP是面向云與移動互聯(lián)的安全策略，是零信任原則不可或缺的核心部分，它幫助零信任安全實現(xiàn)最小授權(quán)原則，隱蔽網(wǎng)絡(luò)和資源。2014年，CSA開發(fā)SDP框架，發(fā)布了《軟件定義邊界（SDP）標(biāo)準(zhǔn)規(guī)范V1.0》，為零信任貢獻(xiàn)了首個技術(shù)解決方案。

   時隔八年，CSA打磨了全新的《軟件定義邊界 (SDP) 標(biāo)準(zhǔn)規(guī)范V2.0》，并在今日的研討會重磅發(fā)布。同時此次研討會上，CSA大中華區(qū)主席李雨航、CSA大中華區(qū)零信任工作組組長陳本峰、CSA大中華區(qū)副秘書長許木娣、騰訊零信任產(chǎn)品總經(jīng)理楊育斌、小花科技安全負(fù)責(zé)人閔李金、虎符網(wǎng)絡(luò)創(chuàng)始人王偉、零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組秘書長黃超等行業(yè)專家，帶來了精彩的技術(shù)分享與專業(yè)解讀。

SDP 2.0標(biāo)準(zhǔn)發(fā)布，持續(xù)優(yōu)化SDP安全架構(gòu)

研討會上，CSA大中華區(qū)主席李雨航宣布《軟件定義邊界 (SDP) 標(biāo)準(zhǔn)規(guī)范V2.0》（簡稱：SDP標(biāo)準(zhǔn)2.0）正式發(fā)布，SDP標(biāo)準(zhǔn)2.0是一次國際協(xié)作的成果，由國際及中國的多位專家參與編寫，匯集了零信任SDP技術(shù)發(fā)展、行業(yè)需求及行業(yè)最新的研究實踐。聯(lián)盟多家成員單位參與了標(biāo)準(zhǔn)的翻譯與審校，包括云深互聯(lián)、中國電信研究院、中國信通院、騰訊、華為、360、深信服、啟明星辰、山石網(wǎng)科、北森云等16家單位。

（SDP 2.0業(yè)務(wù)訪問流程）

相較于SDP 1.0 標(biāo)準(zhǔn)規(guī)范，2.0版本在六大方面有了顯著升級，涵蓋SDP概念及其與零信任的關(guān)系，SDP架構(gòu)、組件及部署模型細(xì)化，加載和訪問流程，新的SPA消息格式，SDP通信協(xié)議的安全改進(jìn)以及對于物聯(lián)網(wǎng)設(shè)備的支持。

在SDP概念及其與零信任的關(guān)系方面，2.0版本首次明確指出了SDP與零信任的關(guān)系；在SDP架構(gòu)、組件及部署模型細(xì)化方面，2.0版本細(xì)化了6大部署模型；在加載和訪問工作流程方面，控制器加載流程、AH加載流程、IH加載流程、業(yè)務(wù)訪問流程得到優(yōu)化；在新的SPA消息格式方面，由于SDP最核心的網(wǎng)絡(luò)隱身是由SPA協(xié)議來實現(xiàn)的，2.0版本比1.0更安全、更易擴(kuò)展；此外，SDP 2.0版本還實現(xiàn)了對物聯(lián)網(wǎng)設(shè)備的支持，以及SDP通信協(xié)議的安全改進(jìn)。

據(jù)CSA大中華區(qū)零信任工作組組長陳本峰介紹，SDP與NIST零信任架構(gòu)的基本原則以及邏輯架構(gòu)保持一致，實現(xiàn)了數(shù)據(jù)平面與控制平面的分離，V2.0架構(gòu)圖明確了AH與服務(wù)Service的關(guān)系，SPA 2.0的消息格式更安全、更易擴(kuò)展，SPA 不僅僅作為網(wǎng)絡(luò)隱身協(xié)議，還可以作為數(shù)據(jù)傳輸協(xié)議，同時隨著今天中國市場上，云計算、移動、IoT等新技術(shù)正被成千數(shù)萬的企業(yè)應(yīng)用，SDP 2.0還增加了對于物聯(lián)網(wǎng)設(shè)備的支持。

當(dāng)前，SDP安全架構(gòu)已在國際上迅速普及，其優(yōu)勢得到了企業(yè)CIO的廣泛認(rèn)可，其安全性和易用性也得到了無數(shù)企業(yè)的實踐驗證。陳本峰認(rèn)為，SDP 未來研究方向?qū)?cè)重于零信任策略模型和SDP、使用SDP實現(xiàn)物聯(lián)網(wǎng)零信任安全、SDP密鑰的安全存儲和輪換以及設(shè)備校驗四大板塊，同時將更好地促進(jìn)中國零信任安全市場的發(fā)展。

零信任從理念到實踐，護(hù)航企業(yè)數(shù)字化轉(zhuǎn)型

零信任理念自2010年誕生以來已逐步走向落地實踐，據(jù)市場研究機(jī)構(gòu)Marketsand Markets 報告顯示，全球零信任安全市場規(guī)模預(yù)計到2026年將達(dá)到516億美元。萬物互聯(lián)時代，零信任“持續(xù)驗證、永不信任”的理念徹底顛覆了基于邊界的傳統(tǒng)安全防御模型，能夠有效幫助企業(yè)在數(shù)字化轉(zhuǎn)型中解決網(wǎng)絡(luò)邊界泛化帶來的安全風(fēng)險。

騰訊零信任產(chǎn)品總經(jīng)理楊育斌在騰訊零信任技術(shù)及實踐分享中提到，隨著遠(yuǎn)程辦公、遠(yuǎn)程運維、遠(yuǎn)程分支機(jī)構(gòu)接入、第三方協(xié)作等遠(yuǎn)程辦公新場景的出現(xiàn)，以及業(yè)務(wù)上云、邊緣設(shè)備接入、DevOps場景、微服務(wù)API安全防護(hù)等業(yè)務(wù)應(yīng)用新場景的深化，以身份為中心的網(wǎng)絡(luò)安全機(jī)制逐漸引發(fā)行業(yè)重視，“去虛向?qū)崱钡牧阈湃握蔀榘踩珡S商通往新藍(lán)海的鑰匙。

騰訊安全作為國內(nèi)較早踐行零信任的企業(yè)，圍繞身份、終端、應(yīng)用、網(wǎng)絡(luò)四要素，打造4T零信任功能實踐，開發(fā)出SaaS版、一體化版、管控版零信任產(chǎn)品矩陣，同時依托騰訊iOA零信任產(chǎn)品對終端訪問過程進(jìn)行持續(xù)的權(quán)限控制和安全保護(hù)，實現(xiàn)終端在任意網(wǎng)絡(luò)環(huán)境中安全、穩(wěn)定、高效地訪問企業(yè)資源及數(shù)據(jù)。值得一提的是，騰訊零信任標(biāo)準(zhǔn)工作組制定的接口標(biāo)準(zhǔn)，已實現(xiàn)了同18個行業(yè)安全廠商的對接，接口標(biāo)準(zhǔn)化促進(jìn)了企業(yè)安全辦公體系的融合，也進(jìn)一步優(yōu)化了辦公體驗。

  在實踐環(huán)節(jié)，騰訊iOA在2020年新冠疫情防控期間，便支撐了全網(wǎng)10W+設(shè)備的全負(fù)荷工作，穩(wěn)定性得到證明。在外部應(yīng)用方面，騰訊iOA已經(jīng)廣泛應(yīng)用于泛互、金融、政府、教育、保險、地產(chǎn)、物流、醫(yī)療、工業(yè)、能源等行業(yè)，護(hù)航了數(shù)百家企業(yè)的數(shù)字化轉(zhuǎn)型。

零信任在實現(xiàn)數(shù)字化風(fēng)控安全方面效果顯著。據(jù)小花科技安全負(fù)責(zé)人閔李金介紹，金融科技行業(yè)標(biāo)準(zhǔn)合規(guī)需滿足架構(gòu)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全和內(nèi)控管理，于金融科技企業(yè)而言，多終端、多辦公環(huán)境、多云業(yè)務(wù)帶來了風(fēng)險管理上的極大挑戰(zhàn)。小花科技通過采用騰訊iOA零信任建設(shè)4 Trust終端安全體系，保障了數(shù)據(jù)訪問過程中的信息安全，實現(xiàn)了風(fēng)險治理的“事前－事中－事后”閉環(huán)響應(yīng)，增強(qiáng)了終端內(nèi)生免疫力，建立了面向全終端的安全基線，形成了數(shù)字化風(fēng)控安全循環(huán)。

在技術(shù)分享的最后，CSA大中華區(qū)副秘書長許木娣聚焦實施零信任的關(guān)鍵要素——人才培養(yǎng)，指出零信任是一項團(tuán)隊運動，同時據(jù)德勤調(diào)查數(shù)據(jù)顯示，組織在實施零信任模式過程中，面臨著人才、預(yù)算、洞察及供應(yīng)商選擇上的四大挑戰(zhàn)，其中專業(yè)人員缺口占比達(dá)35%。

在零信任人才培養(yǎng)方面，CSA大中華區(qū)在2020年發(fā)布了首個零信任領(lǐng)域的個人認(rèn)證-CZTP零信任認(rèn)證專家，同時聯(lián)合騰訊、深信服、中國電信等單位開展CZTP人才培養(yǎng)，從技術(shù)標(biāo)準(zhǔn)、架構(gòu)指南、應(yīng)用場景、實施指南、法律合規(guī)等多方位提供學(xué)習(xí)資源，幫助安全人員系統(tǒng)掌握零信任全面的安全知識，加強(qiáng)零信任實戰(zhàn)能力。

零信任助力行業(yè)創(chuàng)新發(fā)展，安全專家共話技術(shù)趨勢

在研討會的最后，零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組秘書長黃超主持了“零信任助力行業(yè)創(chuàng)新發(fā)展”為主題的圓桌討論，通過連線王偉、陳本峰、楊育斌和閔李金，從市場、用戶、技術(shù)、產(chǎn)業(yè)合作、產(chǎn)品解決方案等多個角度探討了“零信任”產(chǎn)業(yè)及技術(shù)的未來發(fā)展趨勢。

參與此次2.0標(biāo)準(zhǔn)研制工作的陳本峰，分享了技術(shù)標(biāo)準(zhǔn)制定過程中的挑戰(zhàn)與難點，他認(rèn)為當(dāng)前國內(nèi)數(shù)字經(jīng)濟(jì)蓬勃發(fā)展，對于未來零信任的實踐有著很好的機(jī)會，期待更多的技術(shù)專家參與進(jìn)來，共同推動SDP標(biāo)準(zhǔn)的不斷發(fā)展。從發(fā)展趨勢上來看，目前市場上對SDP的理解比較片面，軟件定義邊界的核心目的是為了讓數(shù)據(jù)自由流動，這是數(shù)字經(jīng)濟(jì)底層基礎(chǔ)建設(shè)。他指出SDP2.0的發(fā)布，僅僅只是一個開始，未來將會有更深入的研究。

目前，國內(nèi)疫情反復(fù)，遠(yuǎn)程辦公也步入常態(tài)化的階段，企業(yè)面臨著人員身份對接、應(yīng)用資源安全管控、人員安全意識三大挑戰(zhàn)。楊育斌表示，零信任目前到了由接受概念到廣泛應(yīng)用的爬坡階段，這里面有很多技術(shù)應(yīng)用的想象空間；從騰訊零信任在應(yīng)用推廣的過程中的經(jīng)驗來看，發(fā)現(xiàn)客戶的訴求越來越多，且逐步呈現(xiàn)出由外到內(nèi)、步入深水區(qū)的特點。

以金融行業(yè)為例，閔李金提到，零信任具備兩大優(yōu)勢：一是零信任轉(zhuǎn)變了網(wǎng)絡(luò)安全防護(hù)的思維，提供了一個增強(qiáng)的安全機(jī)制，在新的架構(gòu)和模式下，相對于傳統(tǒng)安全而言，它的信任鏈條是環(huán)環(huán)相扣的，且動態(tài)防護(hù)能力更強(qiáng)、具備動態(tài)訪問優(yōu)勢、資產(chǎn)管理也更為方便；二是金融行業(yè)屬于強(qiáng)監(jiān)管行業(yè)，分階段地部署零信任可以更好地貼合自身情況去做規(guī)劃。他認(rèn)為，零信任在數(shù)據(jù)層和控制層的模型將會越來越完善，零信任和身份認(rèn)證的重要性也將越來越強(qiáng)。

對于零信任技術(shù)發(fā)展的未來趨勢，王偉則表示，“只有做好零信任安全底座，才能更好地建設(shè)數(shù)據(jù)安全。”從產(chǎn)業(yè)角度來看，在落地過程中零信任會有很多陣痛，會和應(yīng)用做一些耦合；從攻防角度來看，零信任天然將應(yīng)用分為To C、To B兩個層面；此外，零信任的關(guān)鍵在于解決運維、成本、效率方面的問題，前景可期。

數(shù)字經(jīng)濟(jì)和實體經(jīng)濟(jì)的不斷融合發(fā)展，催生了許多新產(chǎn)業(yè)、新模式，也對網(wǎng)絡(luò)安全生態(tài)提出了新的要求。未來，CSA將與騰訊安全等行業(yè)伙伴，共同探索新型網(wǎng)絡(luò)環(huán)境下零信任的落地和發(fā)展。

————————————————

版權(quán)聲明：本文為CSDN博主「云安全聯(lián)盟大中華區(qū)」的原創(chuàng)文章，遵循CC 4.0 BY-SA版權(quán)協(xié)議，轉(zhuǎn)載請附上原文出處鏈接及本聲明。

原文鏈接：https://blog.csdn.net/CCSA2018/article/details/124857205