©2022国际云安全联盟大中华区版权所有 2软件定义边界工作组官网网址： https://cloudsecurityalliance.org/research/working-groups/software-defined-perimeter @2022国际云安全联盟大中华区-保留所有权利。本文档发布在国际云安全联盟大中华区官网 (http://www.c-csa.cn)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印 此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发 散布;(d)不得删除文中商标、版权声明或其他声明；（e）引用本报告内容时，请注明来源于国际云安全联盟。 ©2022国际云安全联盟大中华区版权所有 3序言 DNS作为互联网重要的基础服务之一，承担着将域名指向可由计算机识别的IP地址的重要作 用，堪称互联网的“导航系统”，同时在企业的内网环境也承担着同等重要的职责。DNS的安全是 保障网络畅通的核心和基础，也是数据安全的底层基石。 思科相关安全研究数据显示，近91.3%的已知恶意软件被发现使用DNS作为主要手段，但68% 的企业却忽略了这个问题，并没有对DNS解析进行监管，这种现象称之为“DNS盲点”。 正因为DNS如此重要的作用，其一旦出现漏洞或遭受攻击，必然会对网络的正常访问和使用 造成严重影响，给政府和企业带来巨大的损失。 很多企业投入大量财力、物力、人力构建完善的安全防护体系，虽然网络安全架构已经十分完 善，但DNS系统安全依旧成为百密一疏的防护漏洞，并且传统的安全防御体系在日益频繁DNS攻 击的抵御防护中尤为吃力。 2022年5月CSA正式发布了《SDP标准规范2.0》。SDP为网络运营者提供动态灵活的边界功 能部署能力，聚焦于保护关键的组织资产，实现精准授权，降低网络攻击的可能性。帮助零信任安 全实现最小授权原则并隐蔽网络和资源。 本文通过2个实际用例解释了如何将DNS、企业管理DDI系统与SDP结合，使用DNS及企业 管理DDI系统为SDP提供设备及网络行为的上下文信息，作为SDP系统输入，增强访问控制策略 的决策能力，从而提供改进的安全可见性、恢复能力及响应能力，帮助组织机构通过零信任架构获 取的安全保障更上一层楼。 最后感谢参与本次翻译和支持的工作者们的无私奉献。 李雨航YaleLi CSA大中华区主席兼研究院院长 ©2022国际云安全联盟大中华区版权所有 4致谢 《基于SDP和DNS融合的零信任安全增强策略模型（IntegratingSDPandDNSEnhancedZeroTrust PolicyEnforcement）》由CSA软件定义边界工作组专家编写，CSA大中华区秘书处组织翻译并审校。 中文版翻译专家组（排名不分先后）： 组长：陈本峰 翻译组：单美晨江坤石瑞生汪海谢琴杨正权 于继万于新宇余晓光 审校组：谢琴姚凯 研究协调员：潘国强李杰李金瑞陈龙 感谢以下单位的支持与贡献： 北京奇虎科技有限公司 北京启明星辰信息安全技术有限公司 北京天融信网络安全技术有限公司 华为技术有限公司 江苏易安联网络技术有限公司 上海安几科技有限公司 云深互联(北京)科技有限公司 中国电信股份有限公司研究院 湖州市大数据发展促进会 湖州市吴兴区大数据发展管理局 西塞数字安全研究院 英文版本编写专家 主要作者：JasonGarbisJuanitaKoilpillaiSrikrupaSrivationPGMenon 贡献者：MichaelRoza 审核者：NaderZaveriAndreaKnoblauch CSA全球员工:ShamunMahmud ©2022国际云安全联盟大中华区版权所有 5 献辞 本文是为了纪念JuanitaKoilpillai，一位安全领袖、影响者、导师和朋友。 软件定义边界(SDP)和零信任工作组是云安全联盟(CSA)的一个研究工作组，旨在促进采用零信任安 全原则，为组织机构能够并应该如何在云和非云环境中采用这些原则提供实用和技术上可靠的指导。 该小组将以美国国家标准与技术研究所(NIST)的零信任研究和方法为基础并发挥作用。该工作组还 将推广SDP作为实现零信任价值和原则的推荐架构。此外，它将修订和扩展SDP规范以获取和编纂 从过去的经验中获得的知识。最后，在推广和推荐SDP的同时，该工作组将采取包容性的方法替代 安全架构，并客观地支持它们（前提是符合零信任哲学）。 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱： research@c-csa.cn；国际云安全联盟CSA公众号。 ©2022国际云安全联盟大中华区版权所有 6目录 序言................................................................................3 致谢................................................................................4 1.引言..............................................................................7 1.1目的........................................................................7 1.2范围........................................................................7 1.3受众........................................................................7 1.4域名系统（DNS）.............................................................8 1.4.1动态主机配置协议（DHCP）.............................................9 1.4.2互联网协议地址管理（IPAM）...........................................10 1.4.3实现云端管理.........................................................10 1.5基于DNS的安全.............................................................11 1.5.1恶意软件控制点.......................................................11 1.5.2阻止数据泄露.........................................................12 1.5.3域名生成算法(DGAs)控制点...........................................13 1.5.4基于类别的过滤.......................................................15 1.6零信任策略执行.............................................................15 1.6.1SDP和零信任策略执行.................................................16 1.6.2DNS和零信任策略执行.................................................17 2SDP/零信任和DNS用例.............................................................18 2.1用例#1:DNS向SDP提供上下文和元数据.......................................18 2.1.1⽤例1中的策略执行..................................................21 2.1.2响应恶意行为.........................................................22 2.1.3基于位置的访问控制...................................................23 2.1.4基于设备的访问控制...................................................23 2.1.5基于用户的访问控制...................................................24 2.2用例#2-SDP控制器将策略结果发布到DNS......................................24 2.2.1在DNS中的策略执行-一个额外的安全层..................................25 3.结论...........................................................................