CSA SDP2.0標準發布
5月17日世界電信日,由國際云安全聯盟CSA大中華區主辦、騰訊安全承辦的“CSA SDP2.0標準發布暨零信任技術研討會”在線上召開。本次研討會聚焦軟件定義邊界SDP和零信任,共探數字化安全新未來。
SDP是面向云與移動互聯的安全策略,是零信任原則不可或缺的核心部分,它幫助零信任安全實現最小授權原則,隱蔽網絡和資源。2014年,CSA開發SDP框架,發布了《軟件定義邊界(SDP)標準規范V1.0》,為零信任貢獻了首個技術解決方案。
時隔八年,CSA打磨了全新的《軟件定義邊界 (SDP) 標準規范V2.0》,并在今日的研討會重磅發布。同時此次研討會上,CSA大中華區主席李雨航、CSA大中華區零信任工作組組長陳本峰、CSA大中華區副秘書長許木娣、騰訊零信任產品總經理楊育斌、小花科技安全負責人閔李金、虎符網絡創始人王偉、零信任產業標準工作組秘書長黃超等行業專家,帶來了精彩的技術分享與專業解讀。
SDP 2.0標準發布,持續優化SDP安全架構
研討會上,CSA大中華區主席李雨航宣布《軟件定義邊界 (SDP) 標準規范V2.0》(簡稱:SDP標準2.0)正式發布,SDP標準2.0是一次國際協作的成果,由國際及中國的多位專家參與編寫,匯集了零信任SDP技術發展、行業需求及行業最新的研究實踐。聯盟多家成員單位參與了標準的翻譯與審校,包括云深互聯、中國電信研究院、中國信通院、騰訊、華為、360、深信服、啟明星辰、山石網科、北森云等16家單位。
(SDP 2.0業務訪問流程)
相較于SDP 1.0 標準規范,2.0版本在六大方面有了顯著升級,涵蓋SDP概念及其與零信任的關系,SDP架構、組件及部署模型細化,加載和訪問流程,新的SPA消息格式,SDP通信協議的安全改進以及對于物聯網設備的支持。
在SDP概念及其與零信任的關系方面,2.0版本首次明確指出了SDP與零信任的關系;在SDP架構、組件及部署模型細化方面,2.0版本細化了6大部署模型;在加載和訪問工作流程方面,控制器加載流程、AH加載流程、IH加載流程、業務訪問流程得到優化;在新的SPA消息格式方面,由于SDP最核心的網絡隱身是由SPA協議來實現的,2.0版本比1.0更安全、更易擴展;此外,SDP 2.0版本還實現了對物聯網設備的支持,以及SDP通信協議的安全改進。
據CSA大中華區零信任工作組組長陳本峰介紹,SDP與NIST零信任架構的基本原則以及邏輯架構保持一致,實現了數據平面與控制平面的分離,V2.0架構圖明確了AH與服務Service的關系,SPA 2.0的消息格式更安全、更易擴展,SPA 不僅僅作為網絡隱身協議,還可以作為數據傳輸協議,同時隨著今天中國市場上,云計算、移動、IoT等新技術正被成千數萬的企業應用,SDP 2.0還增加了對于物聯網設備的支持。
當前,SDP安全架構已在國際上迅速普及,其優勢得到了企業CIO的廣泛認可,其安全性和易用性也得到了無數企業的實踐驗證。陳本峰認為,SDP 未來研究方向將側重于零信任策略模型和SDP、使用SDP實現物聯網零信任安全、SDP密鑰的安全存儲和輪換以及設備校驗四大板塊,同時將更好地促進中國零信任安全市場的發展。
零信任從理念到實踐,護航企業數字化轉型
零信任理念自2010年誕生以來已逐步走向落地實踐,據市場研究機構Marketsand Markets 報告顯示,全球零信任安全市場規模預計到2026年將達到516億美元。萬物互聯時代,零信任“持續驗證、永不信任”的理念徹底顛覆了基于邊界的傳統安全防御模型,能夠有效幫助企業在數字化轉型中解決網絡邊界泛化帶來的安全風險。
騰訊零信任產品總經理楊育斌在騰訊零信任技術及實踐分享中提到,隨著遠程辦公、遠程運維、遠程分支機構接入、第三方協作等遠程辦公新場景的出現,以及業務上云、邊緣設備接入、DevOps場景、微服務API安全防護等業務應用新場景的深化,以身份為中心的網絡安全機制逐漸引發行業重視,“去虛向實”的零信任正成為安全廠商通往新藍海的鑰匙。
騰訊安全作為國內較早踐行零信任的企業,圍繞身份、終端、應用、網絡四要素,打造4T零信任功能實踐,開發出SaaS版、一體化版、管控版零信任產品矩陣,同時依托騰訊iOA零信任產品對終端訪問過程進行持續的權限控制和安全保護,實現終端在任意網絡環境中安全、穩定、高效地訪問企業資源及數據。值得一提的是,騰訊零信任標準工作組制定的接口標準,已實現了同18個行業安全廠商的對接,接口標準化促進了企業安全辦公體系的融合,也進一步優化了辦公體驗。
在實踐環節,騰訊iOA在2020年新冠疫情防控期間,便支撐了全網10W+設備的全負荷工作,穩定性得到證明。在外部應用方面,騰訊iOA已經廣泛應用于泛互、金融、政府、教育、保險、地產、物流、醫療、工業、能源等行業,護航了數百家企業的數字化轉型。
零信任在實現數字化風控安全方面效果顯著。據小花科技安全負責人閔李金介紹,金融科技行業標準合規需滿足架構安全、數據安全、網絡安全和內控管理,于金融科技企業而言,多終端、多辦公環境、多云業務帶來了風險管理上的極大挑戰。小花科技通過采用騰訊iOA零信任建設4 Trust終端安全體系,保障了數據訪問過程中的信息安全,實現了風險治理的“事前-事中-事后”閉環響應,增強了終端內生免疫力,建立了面向全終端的安全基線,形成了數字化風控安全循環。
在技術分享的最后,CSA大中華區副秘書長許木娣聚焦實施零信任的關鍵要素——人才培養,指出零信任是一項團隊運動,同時據德勤調查數據顯示,組織在實施零信任模式過程中,面臨著人才、預算、洞察及供應商選擇上的四大挑戰,其中專業人員缺口占比達35%。
在零信任人才培養方面,CSA大中華區在2020年發布了首個零信任領域的個人認證-CZTP零信任認證專家,同時聯合騰訊、深信服、中國電信等單位開展CZTP人才培養,從技術標準、架構指南、應用場景、實施指南、法律合規等多方位提供學習資源,幫助安全人員系統掌握零信任全面的安全知識,加強零信任實戰能力。
零信任助力行業創新發展,安全專家共話技術趨勢
在研討會的最后,零信任產業標準工作組秘書長黃超主持了“零信任助力行業創新發展”為主題的圓桌討論,通過連線王偉、陳本峰、楊育斌和閔李金,從市場、用戶、技術、產業合作、產品解決方案等多個角度探討了“零信任”產業及技術的未來發展趨勢。
參與此次2.0標準研制工作的陳本峰,分享了技術標準制定過程中的挑戰與難點,他認為當前國內數字經濟蓬勃發展,對于未來零信任的實踐有著很好的機會,期待更多的技術專家參與進來,共同推動SDP標準的不斷發展。從發展趨勢上來看,目前市場上對SDP的理解比較片面,軟件定義邊界的核心目的是為了讓數據自由流動,這是數字經濟底層基礎建設。他指出SDP2.0的發布,僅僅只是一個開始,未來將會有更深入的研究。
目前,國內疫情反復,遠程辦公也步入常態化的階段,企業面臨著人員身份對接、應用資源安全管控、人員安全意識三大挑戰。楊育斌表示,零信任目前到了由接受概念到廣泛應用的爬坡階段,這里面有很多技術應用的想象空間;從騰訊零信任在應用推廣的過程中的經驗來看,發現客戶的訴求越來越多,且逐步呈現出由外到內、步入深水區的特點。
以金融行業為例,閔李金提到,零信任具備兩大優勢:一是零信任轉變了網絡安全防護的思維,提供了一個增強的安全機制,在新的架構和模式下,相對于傳統安全而言,它的信任鏈條是環環相扣的,且動態防護能力更強、具備動態訪問優勢、資產管理也更為方便;二是金融行業屬于強監管行業,分階段地部署零信任可以更好地貼合自身情況去做規劃。他認為,零信任在數據層和控制層的模型將會越來越完善,零信任和身份認證的重要性也將越來越強。
對于零信任技術發展的未來趨勢,王偉則表示,“只有做好零信任安全底座,才能更好地建設數據安全?!睆漠a業角度來看,在落地過程中零信任會有很多陣痛,會和應用做一些耦合;從攻防角度來看,零信任天然將應用分為To C、To B兩個層面;此外,零信任的關鍵在于解決運維、成本、效率方面的問題,前景可期。
數字經濟和實體經濟的不斷融合發展,催生了許多新產業、新模式,也對網絡安全生態提出了新的要求。未來,CSA將與騰訊安全等行業伙伴,共同探索新型網絡環境下零信任的落地和發展。
————————————————
版權聲明:本文為CSDN博主「云安全聯盟大中華區」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/CCSA2018/article/details/124857205