CSA 软件定义边界和零信任

软件定义边界(SDP) 和零信任 m o c . 5 b u h t i g ©2020 云安全联盟-版权所有 1 SDP 工作组官网地址：https://www.c-csa.cn/ruanjiandingyibianjieSDP.html https://cloudsecurityalliance.org/software-defined-perimeter/ m o c . 5 b u h t i g @2020 云安全联盟-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及，或者访问云安全联盟官网（https://cloudsecurityalliance.org）。须遵守以下: （a）本文只可作个人、信息获取、非商业用途；(b) 本文内容不得篡改; (c)本文不得转发; (d) 该商标、版权或其他声明不得删除。在遵循美国版权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟。 ©2020 云安全联盟-版权所有 2 致谢主要作者： Juanita Koilpillai Nya Alison Murray 贡献者： Michael Roza Matt Conran m o c . 5 Junaid Islam Aditya Bhelke Eitan Bremier Tino Hirschmann Steve Swift b u Sam Heuchert John Markh Roupe Sahans Oscar Monge Espana Gerardo Di Giacomo Vladimir Klasnya J. Lam Clara Andress Dan Mountstephan h t i g Manoj Sharma CSA 分析师： Shamun Mahmud CSA 全球员工： AnnMarie Ulskey (Design) ©2020 云安全联盟-版权所有 3 中文版翻译说明由云安全联盟大中华区（CSA GCR）秘书处组织翻译《软件定义边界和零信任》(Software-Defined-Perimeter-and-Zero-Trust)，云安全联盟大中华区专家翻译并审校。翻译审校工作专家：（按字母顺序排序）组长：陈本峰（云深互联）、郑大义（万物安全）组员：崔泷跃、高巍、靳明星（易安联）、杨正权（易安联）、姚凯、于乐、余晓光（华为） m o c . 5 在此感谢以上参与该文档的翻译审校工作的专家及工作人员。如译文有不妥当之处，敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮箱：info@c-csa.cn; 云 b u 安全联盟 CSA 公众号： h t i g ©2020 云安全联盟-版权所有 4 序言 2010 年，原 Forrester 副总裁兼分析师，现 Palo Alto Network CTO 兼 CSA 大中华区顾问 John Kindervag 以“永不信任，始终验证”思想提出零信任模型 Zero Trust Model，零信任概念开始得到业界关注并被广泛认可。2013 年，云安全联盟 CSA 提出 SDP（Software Defined Perimeter）软件定义边界，成为零信任的第一个解决方案，由组长 Bob Flores（原美国 CIA 的 CTO）和包括 CSA 大中华区研究院专家在内的 CSA SDP 工作组制定编写并发布了 SDP Spec 1.0 等研究成果并提 m o c . 5 出零信任的 ABCDE 原则，在 RSA 安全大会上 CSA SDP 挑战赛从未被黑客攻破。 2019 年，美国国家标准与技术研究院 NIST 主导，并由包括 CSA 大中华区研究院专家在内的业界众多安全专家参与，制定、编写并发布了 NIST SP 800-207 ZTA 零信任架构草案，被全球业界一致认为是零信任架构的标准。NIST ZTA 属于参考架构，它明确提出企业实现零信任的解决方案包括软件定义边界 SDP，增强的身 b u 份治理 IAM，及微隔离 MSG。 h t i g 本文中，CSA 全球 SDP 工作组和 CSA 大中华区 SDP 工作组的多位专家们对 SDP 如何实现零信任的战略、价值、实施等内容做了原创和翻译，相信对广大的安全专家、CIO、CISO 和公司业务高管在考虑企业的零信任落地时会有启示和帮助。李雨航 Yale Li CSA 大中华区主席兼研究院院长 ©2020 云安全联盟-版权所有 5 目录致谢................................................................................................................................3 序言................................................................................................................................5 引言................................................................................................................................7 目标.........................................................................................................................9 读者.........................................................................................................................9 零信任网络和 SDP.........................................................................................................9 m o c . 5 为什么需要零信任...............................................................................................10 零信任解决哪些问题.........................................................................................12 实施零信任战略...................................................................................................14 零信任解决方案的优势和价值...........................................................................16 b u 安全价值........................................................................................................16 商业价值........................................................................................................17 h t i g SDP 零信任战略实施方针和 POC 概念验证.......................................................18 技术组件及架构...................................................................................................21 技术风险及问题...................................................................................................22 假定.......................................................................................................................22 技术分析...............................................................................................................22 所需资源...............................................................................................................23 关键产业发展.......................................................................................................24 交付实施...............................................................................................................24 现状分析...............................................................................................................24 相关说明...............................................................................................................25 引用.....