华云数据参与中国云安全联盟《SDP标准规范1.0》制定

近日,《SDP标准规范1.0》正式发布。此规范由中国云安全联盟(C-CSA)秘书处组织CSA大中华区SDP工作组专家进行翻译,包括华云数据在内的多家企业代表与行业专家参与了本次《SDP标准规范1.0》的编写工作。

2019年初,依托自己多年来在云计算安全领域技术的积累,华云数据正式加入中国云安全联盟,成为联盟理事单位。这与华云多年来坚持的“自主、安全、可控”的研发理念密不可分。

中国云安全联盟(C-CSA)是CSA大中华区的合作伙伴,得到国务院和各部委认可,是中国第一个在安全行业全面对接国际产业和标准组织的非盈利性组织。C-CSA致力于将国际安全标准、技术、课程及优秀实践引入中国,服务中国企业,并协助网信办、信安标委等机构将国内安全政策、安全标准和实践成果介绍到国外,在国际上为中国安全发声。

当前,随着信息化的不断深入,基于互联网及各种专网部署的业务应用系统已非常普及,如何确保这些业务应用和数据的安全访问是当前网络安全的基础性问题之一。但现有网络条件下难以避免的各种先天缺陷和日趋复杂的应用场景,以及网络协议自身的广泛脆弱性和安全策略配置不严谨所带来的安全隐患成为常态,一味地堵漏洞、打补丁、防病毒等被动式防御和局部式治理、增量式修复的防护策略,已不能适应多变的网络安全形势。基于传统网络安全模型、以边界防护为核心的防护理念和措施也已不能满足应用和数据保护的需求,需要建立强信任、强可控、强防护的全域安全。

软件定义边界(Software Defined Perimeter,SDP)作为新一代网络安全解决理念,最早由云安全联盟(CSA)于2013年提出,其整个中心思想是通过软件的方式,在移动+云时代,构建起一个虚拟的企业边界,利用基于身份的访问控制,来应对边界模糊化带来的控制粒度粗、有效性差问题,以此达到保护企业数据安全的目的。经过多年发展,SDP技术在国际上越来越被广泛应用,Google的BeyondCorp以及美国国防部、中情局都已经采用SDP软件实现了安全办公。

本次发布的《SDP标准规范1.0》描述了“软件定义边界(SDP)协议”,旨在提供按需、动态配置的安全隔离网络。安全隔离网络是与所有不安全网络隔离的可信网络,避免受到网络攻击。SDP 协议基于的工作流程 是由美国国防部(DoD)发明并被一些联邦机构(Federal Agencies)使用。基于这些工作流程的网络提供了更高级别的安全性,但与传统企业网络相比,它们被认为非常难以使用。

软件定义边界(SDP)虽然基于广义的 DoD 工作流程,但已为商业用途而将其修改,使其能与现有的企业安全控制兼容。在适用的情况下,SDP 遵循 NIST 关于加密协议的指南,SDP 可用于政府应用,例如安全访FedRAMP 认证的云网络以及企业应用程序,或实现对公有云的安全移动访问。

《SDP标准规范1.0》报告包括以下内容:

一、SDP架构

SDP 的体系结构由两部分组成:SDP 主机和 SDP 控制器。SDP 主机可以发起连接或接受连接。这些操作通过安全控制通道与 SDP 控制器交互来管理。 因此,在 SDP 中,控制平面与数据平面分离以实现完全可扩展的系统。 此外,为便于扩展与保证正常使用,所有组件都可以是多个实例的。

二、SDP工作流

三、SDP协议实现

客户端—网关模型;客户端—服务器模型;服务器—服务器模型;客户端—服务器—客户端模型。

四、SDP应用

企业应用隔离、私有云和混合云、软件即服务(SaaS)、基础设施即服务(IaaS)、平台即服务(PaaS)。

五、SDP 协议

六、日志

七、SDP 标准规范

无论是一个企业、一个服务提供者、还是一个独立的实践者,这项研究都能够给您带来帮助。该文档将提高您对与IaaS环境相关的特定网络访问所面临的挑战,并通过软件定义边界SDP来帮助您解决这些问题。

未来,华云数据将在坚持自主研发安全可控的产品技术,积极参加联盟的安全技术标准的制定,在中国云安全联盟的支持下开展国际网络治理,探索与新一代云计算,人工智能,物联网,区块链,5G等新兴技术的研究,并加强与联盟、政府、合作伙伴的协同合作,在云时代加速前行,致力于为我国云计算安全贡献力量。