零信任网络安全——软件定义边界SDP技术架构指南

基本原理+应用场景+落地实施，结合国内特点进行零信任架构技术指导。

近年来，国内信息与通信技术（ICT）发展迅速，各企业将新技术应用于商业环境，推动了其数字化应用与发展。与此同时，也出现了许多信息安全方面的问题，如用户信息泄露和盗用、病毒引起的数据丢失、外部攻击导致的业务停顿等，对企业和社会的发展产生了极大影响。确保企业日益复杂的IT系统能够长期、安全、可靠运转成为众多企业IT决策者面临的巨大挑战。另外，随着以《中华人民共和国网络安全法》颁布为标志的一系列法律法规及各类标准的推出，网络安全上升为重要国家战略。网络安全不仅是企业内部的问题，还是企业合法合规开展业务的重要内容。
随着云计算、大数据、移动互联网、物联网（IoT）、第五代移动通信（5G）等新技术的崛起，传统的网络安全架构难以适应时代发展需求，一场网络安全架构的技术革命正在悄然发生，其受到越来越多企业IT决策者的认可。
在传统安全理念中，企业的服务器和终端办公设备主要运行在内部网络中，因此，企业的网络安全主要围绕网络的“墙”建设，即基于边界防护。然而，物理安全边界有天然的局限性。随着云计算、大数据、移动互联网、物联网等技术的融入，企业不可能将数据局限在自己的内部网络中。例如，企业要上云，就不能将公有云装入自己的防火墙；企业要发展移动办公、物联网，防火墙却无法覆盖外部各角落；企业要拥抱大数据，就不可避免地要与合作伙伴进行数据交换。因此，传统安全边界模型在发展新技术的趋势下逐渐瓦解，在万物互联的新时代成为企业发展的障碍，企业需要建立新的网络安全模型。
在这样的时代背景下，基于零信任理念的新一代网络安全架构应运而生。它打破了传统安全边界，不再默认企业物理边界内的安全性，不再基于用户与设备在网络中的位置判断是否可信，而是始终验证用户的身份、设备的合法性及权限，即遵循“永不信任，始终校验（Never Trust，Always Verify）”的零信任理念。在零信任理念下，网络位置变得不再重要，其完全通过软件来定义企业的安全边界，“数据在哪里，安全就到哪里”。SDP依托自身优势成为解决新时代诸多安全问题的最佳选项，其安全性和易用性也通过大量企业的实践得到了验证。为了推进SDP技术在中国的落地，CSA（大中华区）于2019年成立SDP工作组。
本书基于SDP工作组的若干成果，对分散在不同文献中的理论与概念进行汇总和整理，自上而下地对SDP的完整架构进行详细介绍，并结合大量实践案例，为读者提供完整的软件定义边界技术架构指南。

1. 本书面向的读者

（1）企业信息安全决策者。本书为企业信息安全决策者设计基于SDP的企业信息安全战略提供完整的技术指导和案例参考。
（2）信息安全、企业架构或安全合规领域的专业人员。本书将指导他们对SDP解决方案进行评估、设计、部署和运营。
（3）解决方案供应商、服务供应商和技术供应商将从本书提供的信息中获益。
（4）安全领域的研究人员。
（5）对SDP有兴趣并有志从事安全领域工作的人。

2. 本书的主要内容

第1章对SDP的基本概念、主要功能等进行介绍。
第2章对SDP架构、工作原理、连接过程、访问控制及部署模式等进行介绍。
第3章对SDP架构的具体协议及日志进行介绍。
第4章对SDP架构部署模式及其适用场景进行介绍，为企业部署SDP架构做技术准备。
第5章对企业部署SDP需要考虑的问题、SDP与企业信息安全要素集成及SDP的应用领域进行介绍。
第6章对技术原理和IaaS使用场景进行分析与介绍，指导企业安全上云。
第7章通过展示SDP对DDoS攻击的防御机制，加强读者对SDP的认识和理解。
第8章介绍SDP对等保2.0各级要求的适用情况。通过对等保2.0的深入解读，展示如何通过SDP满足企业的等保2.0合规要求。
第9章对SDP战略规划与部署迁移方法进行介绍，在战略规划和部署迁移层面为企业提供指导。
第10章对NIST、Google、微软及Forrester的零信任架构与实现进行介绍。
第11章精选了国内主要的SDP和零信任实践案例，对其进行介绍。

3. 本书遵循的约定

（1）本书主要基于公有云的IaaS产品，如Amazon Web Services、Microsoft Azure、Google Compute Engine和Rackspace Public Cloud等。其相关用例和方法同样适用于私有化部署的IaaS，如基于VMware或OpenStack的私有云等。
（2）按照SDP规范实现商业化的厂商与没有严格按照SDP规范进行产品开发的厂商，在构建产品的过程中，有不同架构、方法和能力。本书对厂商保持中立并避免涉及与头部厂商相关的能力。如果有因为厂商能力产生的差异化案例，本书尽量使用“也许、典型的、通常”等词语来解释这些差异，避免减弱本书的可读性。
（3）高可用性和负载均衡不在本书的讨论范围内。
（4）SDP策略模型不在本书的讨论范围内。本书讨论的SDP用例和方法也适用于平台即服务（PaaS）。
（5）下列内容为引用文字。
零信任网络又称软件定义边界（SDP），是围绕某个应用或某组应用创建的基于身份和上下文的逻辑访问边界。应用是隐藏的，无法被发现，并且通过信任代理限制一组指定实体访问。在允许访问前，代理会验证指定访问者的身份、上下文和策略合规性。该机制将应用资源从公共视野中消除，从而显著缩小可攻击面。
（6）下列内容为数据包格式。
IP TCP AID（32位）密码（32位）计数器（64位）
（7）标题带有“JSON规范格式”字样的方框中的内容为JSON文件的标准格式。
JSON规范格式
{
“sid”: <256-bit IH Session ID>,
“seed”:<32-bit SPA seed>,
“counter”: <32-bit SPA counter>
[
“id”:<32-bit Service ID>
]
}

4. 云安全联盟

云安全联盟（Cloud Security Alliance，CSA）是中立的非营利组织，致力于国际云计算安全的全面发展。云安全联盟“倡导使用最佳实践为云计算提供安全保障，并为云计算的正确使用提供教育以帮助确保所有其他计算平台的安全”。云安全联盟发起于2008年12月，并在当年的RSA大会上宣布成立。目前，云安全联盟已协助美国、欧盟、日本、澳大利亚、新加坡等国家开展网络安全战略、身份战略、云计算战略、云安全标准、政府云安全框架、安全技术等方面的研究工作。CSA（大中华区）是国际云安全联盟的全球联邦四大区之一（其他大区为美洲区、亚太区、欧非区），现有100多家机构会员和7000多名个人会员，并管理十多个地方分会。CSA GCR与国际标准化组织（ISO）国际隐私专家协会（IAPP）、俄罗斯国家信息安全论坛（INFOFORUM）、东西研究所（EWI）等国际安全权威机构及联合国多个组织（国际电信联盟、社会经济理事会、科技发展委员会、工业发展组织、联合国大学、世界丝路论坛等）合作，引入标准、技术、课程等先进国际安全与隐私的优秀实践，并协助中国政产学研各界将国内安全政策和最佳实践介绍到国外，使安全技术在中国自主可控且能与国际接轨。CSA GCR致力于发展成为具有国际影响力的产业与标准组织，为中国在国际平台上发声。