CSA SDP2.0標(biāo)準(zhǔn)發(fā)布

5月17日世界電信日，由國(guó)際云安全聯(lián)盟CSA大中華區(qū)主辦、騰訊安全承辦的“CSA SDP2.0標(biāo)準(zhǔn)發(fā)布暨零信任技術(shù)研討會(huì)”在線上召開。本次研討會(huì)聚焦軟件定義邊界SDP和零信任，共探數(shù)字化安全新未來(lái)。

  SDP是面向云與移動(dòng)互聯(lián)的安全策略，是零信任原則不可或缺的核心部分，它幫助零信任安全實(shí)現(xiàn)最小授權(quán)原則，隱蔽網(wǎng)絡(luò)和資源。2014年，CSA開發(fā)SDP框架，發(fā)布了《軟件定義邊界（SDP）標(biāo)準(zhǔn)規(guī)范V1.0》，為零信任貢獻(xiàn)了首個(gè)技術(shù)解決方案。

   時(shí)隔八年，CSA打磨了全新的《軟件定義邊界 (SDP) 標(biāo)準(zhǔn)規(guī)范V2.0》，并在今日的研討會(huì)重磅發(fā)布。同時(shí)此次研討會(huì)上，CSA大中華區(qū)主席李雨航、CSA大中華區(qū)零信任工作組組長(zhǎng)陳本峰、CSA大中華區(qū)副秘書長(zhǎng)許木娣、騰訊零信任產(chǎn)品總經(jīng)理?xiàng)钣?、小花科技安全?fù)責(zé)人閔李金、虎符網(wǎng)絡(luò)創(chuàng)始人王偉、零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組秘書長(zhǎng)黃超等行業(yè)專家，帶來(lái)了精彩的技術(shù)分享與專業(yè)解讀。

SDP 2.0標(biāo)準(zhǔn)發(fā)布，持續(xù)優(yōu)化SDP安全架構(gòu)

研討會(huì)上，CSA大中華區(qū)主席李雨航宣布《軟件定義邊界 (SDP) 標(biāo)準(zhǔn)規(guī)范V2.0》（簡(jiǎn)稱：SDP標(biāo)準(zhǔn)2.0）正式發(fā)布，SDP標(biāo)準(zhǔn)2.0是一次國(guó)際協(xié)作的成果，由國(guó)際及中國(guó)的多位專家參與編寫，匯集了零信任SDP技術(shù)發(fā)展、行業(yè)需求及行業(yè)最新的研究實(shí)踐。聯(lián)盟多家成員單位參與了標(biāo)準(zhǔn)的翻譯與審校，包括云深互聯(lián)、中國(guó)電信研究院、中國(guó)信通院、騰訊、華為、360、深信服、啟明星辰、山石網(wǎng)科、北森云等16家單位。

（SDP 2.0業(yè)務(wù)訪問(wèn)流程）

相較于SDP 1.0 標(biāo)準(zhǔn)規(guī)范，2.0版本在六大方面有了顯著升級(jí)，涵蓋SDP概念及其與零信任的關(guān)系，SDP架構(gòu)、組件及部署模型細(xì)化，加載和訪問(wèn)流程，新的SPA消息格式，SDP通信協(xié)議的安全改進(jìn)以及對(duì)于物聯(lián)網(wǎng)設(shè)備的支持。

在SDP概念及其與零信任的關(guān)系方面，2.0版本首次明確指出了SDP與零信任的關(guān)系；在SDP架構(gòu)、組件及部署模型細(xì)化方面，2.0版本細(xì)化了6大部署模型；在加載和訪問(wèn)工作流程方面，控制器加載流程、AH加載流程、IH加載流程、業(yè)務(wù)訪問(wèn)流程得到優(yōu)化；在新的SPA消息格式方面，由于SDP最核心的網(wǎng)絡(luò)隱身是由SPA協(xié)議來(lái)實(shí)現(xiàn)的，2.0版本比1.0更安全、更易擴(kuò)展；此外，SDP 2.0版本還實(shí)現(xiàn)了對(duì)物聯(lián)網(wǎng)設(shè)備的支持，以及SDP通信協(xié)議的安全改進(jìn)。

據(jù)CSA大中華區(qū)零信任工作組組長(zhǎng)陳本峰介紹，SDP與NIST零信任架構(gòu)的基本原則以及邏輯架構(gòu)保持一致，實(shí)現(xiàn)了數(shù)據(jù)平面與控制平面的分離，V2.0架構(gòu)圖明確了AH與服務(wù)Service的關(guān)系，SPA 2.0的消息格式更安全、更易擴(kuò)展，SPA 不僅僅作為網(wǎng)絡(luò)隱身協(xié)議，還可以作為數(shù)據(jù)傳輸協(xié)議，同時(shí)隨著今天中國(guó)市場(chǎng)上，云計(jì)算、移動(dòng)、IoT等新技術(shù)正被成千數(shù)萬(wàn)的企業(yè)應(yīng)用，SDP 2.0還增加了對(duì)于物聯(lián)網(wǎng)設(shè)備的支持。

當(dāng)前，SDP安全架構(gòu)已在國(guó)際上迅速普及，其優(yōu)勢(shì)得到了企業(yè)CIO的廣泛認(rèn)可，其安全性和易用性也得到了無(wú)數(shù)企業(yè)的實(shí)踐驗(yàn)證。陳本峰認(rèn)為，SDP 未來(lái)研究方向?qū)?cè)重于零信任策略模型和SDP、使用SDP實(shí)現(xiàn)物聯(lián)網(wǎng)零信任安全、SDP密鑰的安全存儲(chǔ)和輪換以及設(shè)備校驗(yàn)四大板塊，同時(shí)將更好地促進(jìn)中國(guó)零信任安全市場(chǎng)的發(fā)展。

零信任從理念到實(shí)踐，護(hù)航企業(yè)數(shù)字化轉(zhuǎn)型

零信任理念自2010年誕生以來(lái)已逐步走向落地實(shí)踐，據(jù)市場(chǎng)研究機(jī)構(gòu)Marketsand Markets 報(bào)告顯示，全球零信任安全市場(chǎng)規(guī)模預(yù)計(jì)到2026年將達(dá)到516億美元。萬(wàn)物互聯(lián)時(shí)代，零信任“持續(xù)驗(yàn)證、永不信任”的理念徹底顛覆了基于邊界的傳統(tǒng)安全防御模型，能夠有效幫助企業(yè)在數(shù)字化轉(zhuǎn)型中解決網(wǎng)絡(luò)邊界泛化帶來(lái)的安全風(fēng)險(xiǎn)。

騰訊零信任產(chǎn)品總經(jīng)理?xiàng)钣笤隍v訊零信任技術(shù)及實(shí)踐分享中提到，隨著遠(yuǎn)程辦公、遠(yuǎn)程運(yùn)維、遠(yuǎn)程分支機(jī)構(gòu)接入、第三方協(xié)作等遠(yuǎn)程辦公新場(chǎng)景的出現(xiàn)，以及業(yè)務(wù)上云、邊緣設(shè)備接入、DevOps場(chǎng)景、微服務(wù)API安全防護(hù)等業(yè)務(wù)應(yīng)用新場(chǎng)景的深化，以身份為中心的網(wǎng)絡(luò)安全機(jī)制逐漸引發(fā)行業(yè)重視，“去虛向?qū)崱钡牧阈湃握蔀榘踩珡S商通往新藍(lán)海的鑰匙。

騰訊安全作為國(guó)內(nèi)較早踐行零信任的企業(yè)，圍繞身份、終端、應(yīng)用、網(wǎng)絡(luò)四要素，打造4T零信任功能實(shí)踐，開發(fā)出SaaS版、一體化版、管控版零信任產(chǎn)品矩陣，同時(shí)依托騰訊iOA零信任產(chǎn)品對(duì)終端訪問(wèn)過(guò)程進(jìn)行持續(xù)的權(quán)限控制和安全保護(hù)，實(shí)現(xiàn)終端在任意網(wǎng)絡(luò)環(huán)境中安全、穩(wěn)定、高效地訪問(wèn)企業(yè)資源及數(shù)據(jù)。值得一提的是，騰訊零信任標(biāo)準(zhǔn)工作組制定的接口標(biāo)準(zhǔn)，已實(shí)現(xiàn)了同18個(gè)行業(yè)安全廠商的對(duì)接，接口標(biāo)準(zhǔn)化促進(jìn)了企業(yè)安全辦公體系的融合，也進(jìn)一步優(yōu)化了辦公體驗(yàn)。

  在實(shí)踐環(huán)節(jié)，騰訊iOA在2020年新冠疫情防控期間，便支撐了全網(wǎng)10W+設(shè)備的全負(fù)荷工作，穩(wěn)定性得到證明。在外部應(yīng)用方面，騰訊iOA已經(jīng)廣泛應(yīng)用于泛互、金融、政府、教育、保險(xiǎn)、地產(chǎn)、物流、醫(yī)療、工業(yè)、能源等行業(yè)，護(hù)航了數(shù)百家企業(yè)的數(shù)字化轉(zhuǎn)型。

零信任在實(shí)現(xiàn)數(shù)字化風(fēng)控安全方面效果顯著。據(jù)小花科技安全負(fù)責(zé)人閔李金介紹，金融科技行業(yè)標(biāo)準(zhǔn)合規(guī)需滿足架構(gòu)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全和內(nèi)控管理，于金融科技企業(yè)而言，多終端、多辦公環(huán)境、多云業(yè)務(wù)帶來(lái)了風(fēng)險(xiǎn)管理上的極大挑戰(zhàn)。小花科技通過(guò)采用騰訊iOA零信任建設(shè)4 Trust終端安全體系，保障了數(shù)據(jù)訪問(wèn)過(guò)程中的信息安全，實(shí)現(xiàn)了風(fēng)險(xiǎn)治理的“事前－事中－事后”閉環(huán)響應(yīng)，增強(qiáng)了終端內(nèi)生免疫力，建立了面向全終端的安全基線，形成了數(shù)字化風(fēng)控安全循環(huán)。

在技術(shù)分享的最后，CSA大中華區(qū)副秘書長(zhǎng)許木娣聚焦實(shí)施零信任的關(guān)鍵要素——人才培養(yǎng)，指出零信任是一項(xiàng)團(tuán)隊(duì)運(yùn)動(dòng)，同時(shí)據(jù)德勤調(diào)查數(shù)據(jù)顯示，組織在實(shí)施零信任模式過(guò)程中，面臨著人才、預(yù)算、洞察及供應(yīng)商選擇上的四大挑戰(zhàn)，其中專業(yè)人員缺口占比達(dá)35%。

在零信任人才培養(yǎng)方面，CSA大中華區(qū)在2020年發(fā)布了首個(gè)零信任領(lǐng)域的個(gè)人認(rèn)證-CZTP零信任認(rèn)證專家，同時(shí)聯(lián)合騰訊、深信服、中國(guó)電信等單位開展CZTP人才培養(yǎng)，從技術(shù)標(biāo)準(zhǔn)、架構(gòu)指南、應(yīng)用場(chǎng)景、實(shí)施指南、法律合規(guī)等多方位提供學(xué)習(xí)資源，幫助安全人員系統(tǒng)掌握零信任全面的安全知識(shí)，加強(qiáng)零信任實(shí)戰(zhàn)能力。

零信任助力行業(yè)創(chuàng)新發(fā)展，安全專家共話技術(shù)趨勢(shì)

在研討會(huì)的最后，零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組秘書長(zhǎng)黃超主持了“零信任助力行業(yè)創(chuàng)新發(fā)展”為主題的圓桌討論，通過(guò)連線王偉、陳本峰、楊育斌和閔李金，從市場(chǎng)、用戶、技術(shù)、產(chǎn)業(yè)合作、產(chǎn)品解決方案等多個(gè)角度探討了“零信任”產(chǎn)業(yè)及技術(shù)的未來(lái)發(fā)展趨勢(shì)。

參與此次2.0標(biāo)準(zhǔn)研制工作的陳本峰，分享了技術(shù)標(biāo)準(zhǔn)制定過(guò)程中的挑戰(zhàn)與難點(diǎn)，他認(rèn)為當(dāng)前國(guó)內(nèi)數(shù)字經(jīng)濟(jì)蓬勃發(fā)展，對(duì)于未來(lái)零信任的實(shí)踐有著很好的機(jī)會(huì)，期待更多的技術(shù)專家參與進(jìn)來(lái)，共同推動(dòng)SDP標(biāo)準(zhǔn)的不斷發(fā)展。從發(fā)展趨勢(shì)上來(lái)看，目前市場(chǎng)上對(duì)SDP的理解比較片面，軟件定義邊界的核心目的是為了讓數(shù)據(jù)自由流動(dòng)，這是數(shù)字經(jīng)濟(jì)底層基礎(chǔ)建設(shè)。他指出SDP2.0的發(fā)布，僅僅只是一個(gè)開始，未來(lái)將會(huì)有更深入的研究。

目前，國(guó)內(nèi)疫情反復(fù)，遠(yuǎn)程辦公也步入常態(tài)化的階段，企業(yè)面臨著人員身份對(duì)接、應(yīng)用資源安全管控、人員安全意識(shí)三大挑戰(zhàn)。楊育斌表示，零信任目前到了由接受概念到廣泛應(yīng)用的爬坡階段，這里面有很多技術(shù)應(yīng)用的想象空間；從騰訊零信任在應(yīng)用推廣的過(guò)程中的經(jīng)驗(yàn)來(lái)看，發(fā)現(xiàn)客戶的訴求越來(lái)越多，且逐步呈現(xiàn)出由外到內(nèi)、步入深水區(qū)的特點(diǎn)。

以金融行業(yè)為例，閔李金提到，零信任具備兩大優(yōu)勢(shì)：一是零信任轉(zhuǎn)變了網(wǎng)絡(luò)安全防護(hù)的思維，提供了一個(gè)增強(qiáng)的安全機(jī)制，在新的架構(gòu)和模式下，相對(duì)于傳統(tǒng)安全而言，它的信任鏈條是環(huán)環(huán)相扣的，且動(dòng)態(tài)防護(hù)能力更強(qiáng)、具備動(dòng)態(tài)訪問(wèn)優(yōu)勢(shì)、資產(chǎn)管理也更為方便；二是金融行業(yè)屬于強(qiáng)監(jiān)管行業(yè)，分階段地部署零信任可以更好地貼合自身情況去做規(guī)劃。他認(rèn)為，零信任在數(shù)據(jù)層和控制層的模型將會(huì)越來(lái)越完善，零信任和身份認(rèn)證的重要性也將越來(lái)越強(qiáng)。

對(duì)于零信任技術(shù)發(fā)展的未來(lái)趨勢(shì)，王偉則表示，“只有做好零信任安全底座，才能更好地建設(shè)數(shù)據(jù)安全。”從產(chǎn)業(yè)角度來(lái)看，在落地過(guò)程中零信任會(huì)有很多陣痛，會(huì)和應(yīng)用做一些耦合；從攻防角度來(lái)看，零信任天然將應(yīng)用分為To C、To B兩個(gè)層面；此外，零信任的關(guān)鍵在于解決運(yùn)維、成本、效率方面的問(wèn)題，前景可期。

數(shù)字經(jīng)濟(jì)和實(shí)體經(jīng)濟(jì)的不斷融合發(fā)展，催生了許多新產(chǎn)業(yè)、新模式，也對(duì)網(wǎng)絡(luò)安全生態(tài)提出了新的要求。未來(lái)，CSA將與騰訊安全等行業(yè)伙伴，共同探索新型網(wǎng)絡(luò)環(huán)境下零信任的落地和發(fā)展。

————————————————

版權(quán)聲明：本文為CSDN博主「云安全聯(lián)盟大中華區(qū)」的原創(chuàng)文章，遵循CC 4.0 BY-SA版權(quán)協(xié)議，轉(zhuǎn)載請(qǐng)附上原文出處鏈接及本聲明。

原文鏈接：https://blog.csdn.net/CCSA2018/article/details/124857205