CSA SDP2.0标準發布

5月(yuè)17日(rì)世界電(diàn)信日(rì✔₩¶)，由國(guó)際雲安全聯盟CSA大(dà)中華區(qū)主辦、±∑<π騰訊安全承辦的(de)“CSA SDP2.0标準發布暨零信≈δ∞γ任技(jì)術(shù)研討(tǎo)會(huì)”在線上(shàng)召開(kāi)。本次研★‍討(tǎo)會(huì)聚焦軟件(jiàn)定義邊界SDP和(hé)零信任，共探數(s₹★×hù)字化(huà)安全新未來(lái)。

  SDP是(shì)面向雲與移動互聯的(de)安全策略，是(shì)®$≥零信任原則不(bù)可(kě)或缺的(de)核心部分(fēn)，它幫助零信任安全實現(xi σ∞àn)最小(xiǎo)授權原則，隐蔽網絡和(ε™↑hé)資源。2014年(nián)，CSA開(kāi)發S₽♦÷∞DP框架，發布了(le)《軟件(jiàn)定義邊界（SDP）标準規 ×±★範V1.0》，為(wèi)零信任貢獻了(le)首個(gè)技(jì)術(shù)解決方案σ≠≠。

   時(shí)隔σ÷八年(nián)，CSA打磨了(le)全新的(de)《軟件(jiàn)定義邊界 (÷₩SDP) 标準規範V2.0》，并在今日(rì)的(de)研&↓∑₩討(tǎo)會(huì)重磅發布。同時(shí)此次研討(tǎo)會(huì)上(sh≠λ♣àng)，CSA大(dà)中華區(qū)主席李雨(yǔ)航、CSA大(dà)中華區(qū)零信✔ ↓✔任工(gōng)作(zuò)組組長(cháng)陳本峰、CSA大(dà)中華區(qū)副秘♠∞書(shū)長(cháng)許木(mù)娣、騰訊零信任産品總經理(lǐ)楊育斌、"←小(xiǎo)花(huā)科(kē)技(jì)安全負責人(rén)闵李金(jīΩσΩ¶n)、虎符網絡創始人(rén)王偉、零信任産業(" ≤yè)标準工(gōng)作(zuò)組秘書(shū)長(cháng)黃(huáng)超等行(xí✘<™ng)業(yè)專家(jiā)，帶來(lái)了(>≤le)精彩的(de)技(jì)術(shù)分(fēn)享與專業(yè)解讀¶"¶∏(dú)。

SDP 2.0标準發布，持續優化(huà)SDP安Ω↑☆全架構

研討(tǎo)會(huì)上(shàng)↔☆φ→，CSA大(dà)中華區(qū)主席李雨(yǔ)航宣布《軟件(jiàn)定義₹♠↑α邊界 (SDP) 标準規範V2.0》（簡稱：SDP标準2.0）正式發布，SDP标♥'準2.0是(shì)一(yī)次國(guó)際協作(zuò)的(de)成果，由國(guó↓♣≥)際及中國(guó)的(de)多(duō∏π↓​)位專家(jiā)參與編寫，彙集了(le)零信任SDP技(& ←∏jì)術(shù)發展、行(xíng)業♦£ (yè)需求及行(xíng)業(yè)最新的(de)研究實踐₽α 。聯盟多(duō)家(jiā)成員(yuán)單位參與了(le)标準的(de)翻譯與¥÷‌審校(xiào)，包括雲深互聯、中國(guó)電(diàn)信研究院、中國(guó)信通(t↕≠ōng)院、騰訊、華為(wèi)、360、深信服、啓明(míng)星辰、山(shān)石網科(kē₽<♠©)、北(běi)森(sēn)雲等16家(jiā£$)單位。

（SDP 2.0業(yè)務訪問(wèn)流程）

相(xiàng)較于SDP 1.0 标準規範，2.0版本在六大(dà)方面有(yǒu®↔)了(le)顯著升級，涵蓋SDP概念及其與零信任的(de)關系，SDP架構、組件(jα↑< iàn)及部署模型細化(huà)，加載和(hé)訪問(wèn)流程，新的σ "÷(de)SPA消息格式，SDP通(tōng)信協議±Ω€β(yì)的(de)安全改進以及對(duì)于物(wù)聯網設備的(de)支持←≈>。

在SDP概念及其與零信任的(de)關系方面，>®2.0版本首次明(míng)确指出了(le)SDP與零信任的(de)關系；在SDP架構、&≠ π組件(jiàn)及部署模型細化(huà)方面，2.0版本細化(huà)了₩"×γ(le)6大(dà)部署模型；在加載和(hé)訪問(wèn)工( δ<gōng)作(zuò)流程方面，控制(zhì)器(qì)加載流程、AH加載流程₽✔<<、IH加載流程、業(yè)務訪問(wèn≈' )流程得(de)到(dào)優化(huà)；在新的(de)SPA消息格式方面，由于SDP最核心的≥Ω (de)網絡隐身(shēn)是(shì)由SPA協議(yì)來(l♥•ái)實現(xiàn)的(de)，2.0版本比1.0更安全、更易擴展；此₹₩外(wài)，SDP 2.0版本還(hái)實現(xiàn)了(le)對​​✔(duì)物(wù)聯網設備的(de)支持，以及SD‌‌P通(tōng)信協議(yì)的(de)安全改進。

據CSA大(dà)中華區(qū)零信任工(gōng)作(zuò)組→ 組長(cháng)陳本峰介紹，SDP與NIST零信任架構的(de)基本原則以及邏輯架構保♦'γβ持一(yī)緻，實現(xiàn)了(le)數(shù)據平♣≤←≥面與控制(zhì)平面的(de)分(fēn)離(lí)，V2.0架構圖明(míng)确了(le)A ∑÷H與服務Service的(de)關系，SPA 2.0的(de)消&$∑息格式更安全、更易擴展，SPA 不(bù)僅僅作(zuò)為(wèi)網絡隐身(shē∞‌>♠n)協議(yì)，還(hái)可(kě)以作(zuò)為(wèi)數(shù)®↕據傳輸協議(yì)，同時(shí)随著(zhe)今天中國(guó)市(sh ¶ì)場(chǎng)上(shàng)，雲計(jì)≠↓©算(suàn)、移動、IoT等新技(jì)術(shù)正被成千數(shù)萬的γ↔€(de)企業(yè)應用(yòng)，SDP 2.0還"γε(hái)增加了(le)對(duì)于物←☆ (wù)聯網設備的(de)支持。

當前，SDP安全架構已在國(guó)際上(shàng×↕£)迅速普及，其優勢得(de)到(dào)了(le)企業₽★♣δ(yè)CIO的(de)廣泛認可(kě)，其安全性和(hé)£♥易用(yòng)性也(yě)得(de)到(dào)了(le)無數(shù)企業(yè)的(de)☆↔'<實踐驗證。陳本峰認為(wèi)，SDP 未來"∞(lái)研究方向将側重于零信任策略模型和(hé)SDP、使用(yòng)SDP實現(xià₽®™♥n)物(wù)聯網零信任安全、SDP密鑰的(de)安全存®♥♥<儲和(hé)輪換以及設備校(xiào)驗四大(dà)闆塊，同時(shí)将更好(hǎo)地(dì)₹β€δ促進中國(guó)零信任安全市(shì)場(chǎng)的(d™♦£e)發展。

零信任從(cóng)理(lǐ)念到(dào↕​¶)實踐，護航企業(yè)數(shù)字化$₩(huà)轉型

零信任理(lǐ)念自(zì)2010年(nián)誕生(shēng)£$以來(lái)已逐步走向落地(dì)實踐，據市(shì)場(chǎng)研究機(jī)÷₩♥₩構Marketsand Markets ♦•‍£報(bào)告顯示，全球零信任安全市(shì)場(chǎng)規模預計(jì)到(σ∑±dào)2026年(nián)将達到(dào)516億美(měi)元。萬物(wù)互聯時(s←"∞hí)代，零信任“持續驗證、永不(bù)信任”的(de)λ'理(lǐ)念徹底颠覆了(le)基于邊界的(de)傳統安全防禦模型，能(néng)夠有(yǒ→σ u)效幫助企業(yè)在數(shù)字化(&♥₩huà)轉型中解決網絡邊界泛化(huà)&♥π®帶來(lái)的(de)安全風(fēng)險。

騰訊零信任産品總經理(lǐ)楊育斌在騰訊零信任技(jì)術(shù)及π€λ≈實踐分(fēn)享中提到(dào)，随著(zhe)遠(yuǎn)程辦公、遠(yuǎn)程∏δδ​運維、遠(yuǎn)程分(fēn)支機(jī)構接入、±←★∞第三方協作(zuò)等遠(yuǎn)程辦公新場(chǎng)¶☆景的(de)出現(xiàn)，以及業(yè)務上(s↕£hàng)雲、邊緣設備接入、DevOps場(chǎng)景、微(α✘←wēi)服務API安全防護等業(yè)務應用(yòng)新場(chǎng)景的(de)深♠λ"♦化(huà)，以身(shēn)份為(wèi)中心的(de)網絡安全機(jī)制(zh§πì)逐漸引發行(xíng)業(yè)重視(sh$←δγì)，“去(qù)虛向實”的(de)零信任正成為(wèi)安全廠(chǎng)商通™®±(tōng)往新藍(lán)海(hǎi)的(de)鑰匙。

騰訊安全作(zuò)為(wèi)國(guó)內(nèi)較早踐行(xíng)零信任的(d∏δλe)企業(yè)，圍繞身(shēn)份、終端、應用(yòng)、網絡四要(y'​&ào)素，打造4T零信任功能(néng)實踐，開(kāi)發出SaaS版、一(yī♠€)體(tǐ)化(huà)版、管控版零信任産品矩陣，同時(£←§≠shí)依托騰訊iOA零信任産品對(duì)終端訪問>​☆(wèn)過程進行(xíng)持續的(de)權限控制(zhì)和→α♥∏(hé)安全保護，實現(xiàn)終端在任意網絡環境中安全、穩定、高(gāo)效地(d£™ì)訪問(wèn)企業(yè)資源及數(shù)據。值得(de)一(y$ ī)提的(de)是(shì)，騰訊零信任标準工'≥®(gōng)作(zuò)組制(zhì)定的(de)接口标準，已實現(xiàn)了(le)同18個↓±(gè)行(xíng)業(yè)安全廠(chǎng)商的(de)對 ≤♥♣(duì)接，接口标準化(huà)促進了(le)企業(₩$yè)安全辦公體(tǐ)系的(de)融合，也(yě)進一(yī)步優化(huà)了(le)↕λ£辦公體(tǐ)驗。

  在實踐環節，騰訊iOA在2020年(nián)新冠疫♦∏ ε情防控期間(jiān)，便支撐了(le)全網10W+設備的(de)全負荷工(gōn₩&g)作(zuò)，穩定性得(de)到(dào)證明(míng)。在外(wài)部應用(y♣♠òng)方面，騰訊iOA已經廣泛應用(yòng)于泛互、γ≤•★金(jīn)融、政府、教育、保險、地(dì)産、物(wù)流、醫(yī)療、工(gōnπ g)業(yè)、能(néng)源等行(xíng™✘÷σ)業(yè)，護航了(le)數(shù)百家(jiā)企業(yè)α​↔>的(de)數(shù)字化(huà)轉型。

零信任在實現(xiàn)數(shù)字化(h↔®uà)風(fēng)控安全方面效果顯著。據小(x♣™iǎo)花(huā)科(kē)技(jì)安全負×<'責人(rén)闵李金(jīn)介紹，金(jīn)融科(kē)技(jì)行(xí→÷ng)業(yè)标準合規需滿足架構安全、數(shù)據安全、網絡安全和®ε÷(hé)內(nèi)控管理(lǐ)，于金(jīn)融科(kē)π←∏技(jì)企業(yè)而言，多(duō)終端、多(duō)辦公環境、多(d₽α​​uō)雲業(yè)務帶來(lái)了(le)風(fēng)險管理(lǐ)上(‌≈π↑shàng)的(de)極大(dà)挑戰。小(xiǎo)花(huā)科(kē)技(jì)通(tōn'&≠↔g)過采用(yòng)騰訊iOA零信任建設4 Trust終端安全體(tǐ)系，保障了(le)•‍​數(shù)據訪問(wèn)過程中的(de)信息安全，‌☆₹←實現(xiàn)了(le)風(fēng)險治理(lǐ)的(de)“事(shì)前－事(sh‌∞ì)中－事(shì)後”閉環響應，增強了(le)終端內(nèi)生(s ↕↑hēng)免疫力，建立了(le)面向全終端的(de÷♥✔®)安全基線，形成了(le)數(shù)字化(huà)風(fēng)控安全循環。₽​↕×

在技(jì)術(shù)分(fēn)享的(de)最後，CSA大(dà)中華區(qū)副秘書(♠ ₩‌shū)長(cháng)許木(mù)娣聚焦實施零信任的(de)關鍵要(yào)素♠♣——人(rén)才培養，指出零信任是(shì)一(yī)項"±團隊運動，同時(shí)據德勤調查數(shù)據顯示，組織在實施零信'±≠任模式過程中，面臨著(zhe)人(rén)才、預算(suàn)、洞察及供應商選擇上(shànφ÷g)的(de)四大(dà)挑戰，其中專業(yè ₩§∏)人(rén)員(yuán)缺口占比達35%。

在零信任人(rén)才培養方面，CSA大(dà)中華區(qū)在2020年(nián)發布了α§♥<(le)首個(gè)零信任領域的(de)個(gè)人(rén™'≈)認證-CZTP零信任認證專家(jiā)，同時(shí)聯合騰訊、深信 ± ★服、中國(guó)電(diàn)信等單位開(kāi)展CZTP人(¶π♦rén)才培養，從(cóng)技(jì)術(shù)标準、架構指南(nán)、應用(y™>≥σòng)場(chǎng)景、實施指南(nán)、法律合★≥規等多(duō)方位提供學習(xí)資源，幫助安全人(rén)員(yuán)"↔系統掌握零信任全面的(de)安全知(zhī)識，加強零信任實戰能(né÷׶βng)力。

零信任助力行(xíng)業(yè)創新發展，安全專家(jiā)共σ§ 話(huà)技(jì)術(shù)趨勢

在研討(tǎo)會(huì)的(de)最後，零信任産業(yè)标準工(gōng)♠≤作(zuò)組秘書(shū)長(cháng)黃(huáng)超主✘✘持了(le)“零信任助力行(xíng)業(yè)創新發展”為(wèi)主題的(de)圓桌討(☆≈tǎo)論，通(tōng)過連線王偉、陳本峰、楊育斌和(hé)闵李金(j♠•īn)，從(cóng)市(shì)場(chǎng)、用(yòng)戶、技(jì)術(shù)、産業↑•εβ(yè)合作(zuò)、産品解決方案等多(duō)個(gè)角度探討(tǎo)了(le)“零信任”•&'↕産業(yè)及技(jì)術(shù)的(de)未來(lái)發$✘$展趨勢。

參與此次2.0标準研制(zhì)工(gōng)作(zuò)的(de)陳本峰♣<•♥，分(fēn)享了(le)技(jì)術(shù)标↑✘≥♣準制(zhì)定過程中的(de)挑戰與難點，他(tā)認為(wèi)當前國(£ ₽guó)內(nèi)數(shù)字經濟蓬勃發展，對(duì)于未來(lái)零信任的(de)實>★♥踐有(yǒu)著(zhe)很(hěn)好(hǎo)的(de€₽& )機(jī)會(huì)，期待更多(duō)的(de)技(jì)術(sα< hù)專家(jiā)參與進來(lái)，共同推動SDP标準的(> ♣de)不(bù)斷發展。從(cóng)發展趨勢上(shàng)來(lái)看(kà&♦©n)，目前市(shì)場(chǎng)上(s ₹±hàng)對(duì)SDP的(de)理(lǐ)解比較片面&₽，軟件(jiàn)定義邊界的(de)核心目的(de)是(shì ←)為(wèi)了(le)讓數(shù)據自(zì)由流動，這(zhè)是(↕δ♥♣shì)數(shù)字經濟底層基礎建設。他(tā)指出 ≈SDP2.0的(de)發布，僅僅隻是(shì)一(yī)個(gè)開(kāi)始，未®$來(lái)将會(huì)有(yǒu)更•Ω<深入的(de)研究。

目前，國(guó)內(nèi)疫情反複，遠(yuǎn)程辦公也(yě)步入常态化(huà)的≤®(de)階段，企業(yè)面臨著(zhe)✘₹÷人(rén)員(yuán)身(shēn)份對(duì)接☆•★、應用(yòng)資源安全管控、人(rén)員(yuán)安全意識三‍♥大(dà)挑戰。楊育斌表示，零信任目前到(dào)了(le)由接受概念到(dàoδ♠)廣泛應用(yòng)的(de)爬坡階段，這(zhè)裡(lǐ)面有(yǒu)很(hěn)多÷¶€&(duō)技(jì)術(shù)應用(yòng ≤ )的(de)想象空(kōng)間(jiān)；從(cóng¥≠∑β)騰訊零信任在應用(yòng)推廣的(de)過程中的(de)經驗✔↕來(lái)看(kàn)，發現(xiàn)客戶的(de)訴求越來(lái)越多(duō)，且逐φ> φ步呈現(xiàn)出由外(wài)到(dào)內(nèi)、步入深水(shuǐ)區(qū ¶)的(de)特點。

以金(jīn)融行(xíng)業(yè)為(wè€∏↓✔i)例，闵李金(jīn)提到(dào)，零信任具備兩大‍☆"™(dà)優勢：一(yī)是(shì)零信任轉變了(le)網絡安全防護的(de)思•™γα維，提供了(le)一(yī)個(gè)增強的(de)安♣✘全機(jī)制(zhì)，在新的(de)架構和(hé)'↑®™模式下(xià)，相(xiàng)對(duì)于£&傳統安全而言，它的(de)信任鏈條是(shì)環環相(xià§πng)扣的(de)，且動态防護能(nén☆φ¶ g)力更強、具備動态訪問(wèn)優勢、資産管理(lǐ)也(yě)更為(wφ㧕èi)方便；二是(shì)金(jīn)融'≠♣✔行(xíng)業(yè)屬于強監管行(x↔¥íng)業(yè)，分(fēn)階段地(dì)部署零信任可(kě)以δ™更好(hǎo)地(dì)貼合自(zì)身(shēn)情況去(qù)做(zuò)規劃∑"ε×。他(tā)認為(wèi)，零信任在數(shù)據層和(hé)控制(zhì)層的(©φλde)模型将會(huì)越來(lái)越完善，零信任和(hé)身ε‌(shēn)份認證的(de)重要(yào)性也(yě)将越來(lái)¥≈越強。

對(duì)于零信任技(jì)術(shù)發展 ✔"的(de)未來(lái)趨勢，王偉則表示，“隻有(yǒu)做(zuòΩ™)好(hǎo)零信任安全底座，才能(néng)更好(hǎo)地(dì)建設數(s★'>hù)據安全。”從(cóng)産業(yè)角度來(lái)看(kàn•λ♣)，在落地(dì)過程中零信任會(huì)有(yǒu)很(hěn)多(duō)陣↑→ 痛，會(huì)和(hé)應用(yòng)做(zuò)一(yī)些(xiē)耦合δ​♦；從(cóng)攻防角度來(lái)看(kàn)¶≤，零信任天然将應用(yòng)分(fēn)為(wèi)To C、To B兩個(gè)層面‍δ；此外(wài)，零信任的(de)關鍵在于解決運維、成本、效率方面的(de)問(‌ wèn)題，前景可(kě)期。

數(shù)字經濟和(hé)實體(tǐ)經濟的(de)±✔€不(bù)斷融合發展，催生(shēng)了(↔$le)許多(duō)新産業(yè)、新模式，也(yě)對(dπ≠÷uì)網絡安全生(shēng)态提出了(le)新的(de)要(yào)求。未來(lái)•≤β♣，CSA将與騰訊安全等行(xíng)業(yè)夥伴，共同探索新型網絡環境下(xià)零信任的≠ ₹ (de)落地(dì)和(hé)發展。

————————————————

版權聲明(míng)：本文(wén)為(wèi)CSDN博主「雲安全聯盟大(dà)中華區(qε↔×ū)」的(de)原創文(wén)章(zhāng)，遵循CC 4.0 BY- σσSA版權協議(yì)，轉載請(qǐng)附上(shà♥$φng)原文(wén)出處鏈接及本聲明(míng)。

原文(wén)鏈接：https://blog.csdn.net/CCSA2018/ar¥∑×εticle/details/124857205