零信任网络安全——软件定义边界SDP技术架构指南

本书介绍了零信任的基本概念及以零信任理念为基础的软件定义边界（SDP）的概念、主要功能、商业与技术优势，对技术架构、组件、工作原理和协议进行了深入分析，详细介绍了SDP架构部署模式，并梳理其适用场景，指导技术人员做出选择。本书还梳理了SDP的应用领域，与现有技术实现方式进行了对比，并结合SDP的特点与优势，为企业安全上云给出具体应用场景。零信任在防御分布式拒绝服务攻击方面有天然优势，本书介绍了DDoS攻击定义、攻击向量，以及通过SDP防DDoS攻击的原理。结合国内网络安全法律法规要求，本书在等保2.0合规方面进行了完整梳理，包含安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求，详细介绍了基于SDP满足各级等保2.0要求的方法。除了SDP架构，本书还详细介绍了其他零信任参考架构，包括NIST的零信任架构、Google的BeyondCorp、微软的零信任安全模型、Forrester的零信任架构。通过介绍多个SDP和零信任案例，为读者提供了更具体的落地实施参考。

陈本峰——CSA（大中华区）零信任/SDP工作组组长

云深互联（北京）科技有限公司创始人及董事长、零信任SDP国际标准作者之一（唯一华人作者）、国家JI特聘专家、教授级高工、北京市海外高层次人才（“海聚人才”）、海淀区“海英人才”、中关村“十大海归新星”。曾就职于美国微软总部，专注于互联网基础技术标准研究十五年以上，参与了互联网基础协议HTML5以及零信任SDP的标准制定，就任国际互联网标准联盟W3C中国区HTML5布道官、云安全联盟CSA大中华区零信任工作组组长。获得了国内外多项发明专利，以及微软最有价值技术专家（MVP）、微软最佳产品贡献奖等荣誉。CSA《CZTP零信任安全专家认证》教材课件主编。

李雨航——CSA（大中华区）主席兼研究院院长

中国科学院云计算安全首席科学家，西安交通大学Fellow教授，原华为首席网络安全专家，微软全球首席安全架构师，曾任IBM全球服务首席技术架构师、美国华盛顿大学博士生导师、美国政府NIST大数据顾问、印尼总统安全顾问。早年师从欧洲核子中心诺贝尔物理学奖获得者，曾在斯坦福大学、维多利亚大学、中国科技大学学习，是《云计算360度》《微软360度》《大数据革命》的主要作者之一。

高巍

企业IT战略规划与治理、信息安全、数据及隐私保护领域专家，专注企业信息化建设20多年。曾在某化工行业国际制造型企业担任亚太区云架构负责人，在某德系汽车企业担任中国区首席架构师。作为被若干国际组织（The Open Group、IAPP等）认证的技术专家，参与过多家跨国企业的数字化转型规划并推动企业数字化转型在中国的实施。

1.作为零信任软件定义边界概念和体系的首次提出者，云安全联盟（CSA）开发了一系列技术指南与标准，本书汇集了这些技术精华，完整展现了技术体系及实现方式。

2. 传统安全边界模型在发展新技术的趋势下逐渐瓦解，在万物互联的新时代成为企业发展的障碍，企业需要建立新的网络安全模型，基于零信任理念的新一代网络安全架构应运而生。

3. 本书对软件定义边界的完整架构进行详细介绍，并结合大量现实场景及实践案例，为读者提供完整的软件定义边界技术架构指南。

4. 本书创新地将零信任软件定义边界与国内安全合规要求结合，详细介绍了如何基于零信任逐级实现等级保护。

序

软件定义边界（Software Defined Perimeter，SDP）是一种创新性较强的网络安全解决方案，又称零信任网络（Zero Trust Network，ZTN）。SDP或ZTN是云安全联盟提出的理念，其用安全隐身衣取代安全防弹衣对目标进行保护，使攻击者在网络空间中看不到攻击目标，无法对其进行攻击，以保护企业或供应商的资源。

SDP的灵感来自中央情报局情报社区和美国国防部高度安全网络设计，因此，聘请了美国中央情报局（CIA）原CTO为SDP工作组组长。ZTN的最初实践者是美国微软公司，2007年，比尔·盖茨在RSA大会发布的微软Anywhere Access安全战略就是ZTN的实现，微软通过这项技术使员工甚至Windows使用者可以在互联网直接访问公司内网，摒弃了传统的网络边界、VPN、Firewall。

本书是贡献给业界的一本重磅白皮书合集，涵盖了SDP标准规范、设计指南与参考架构、迁移上云指南、SDP防DDoS攻击，以及SDP实现等保2.0合规技术指南。SDP适用于企业网络环境、IaaS云环境、IoT物联网环境、BYOD移动互联网环境等，本书不仅对SDP的优势和价值进行了阐述，还给出了具体技术设计指导。

感谢CSA（大中华区）SDP工作组中各位专家的无私奉献，特别是工作组组长陈本峰投入的大量精力及秘书处工作人员的辛勤组织和志愿者的支持。

李雨航

CSA（大中华区）主席兼研究院院长

前 言

近年来，国内信息与通信技术（ICT）发展迅速，各企业将新技术应用于商业环境，推动了其数字化应用与发展。与此同时，也出现了许多信息安全方面的问题，如用户信息泄露和盗用、病毒引起的数据丢失、外部攻击导致的业务停顿等，对企业和社会的发展产生了极大影响。如何确保企业日益复杂的IT系统能够长期安全、可靠地运转成为众多企业IT决策者面临的巨大挑战。另外，随着以《中华人民共和国网络安全法》颁布为标志的一系列法律法规及各类标准的推出，网络安全上升为重要国家战略。网络安全不仅是企业内部的问题，还是企业合法合规开展业务的重要内容。

随着云计算、大数据、移动互联网、物联网（IoT）、第五代移动通信（5G）等新技术的崛起，传统的网络安全架构难以适应时代发展需求，一场网络安全架构的技术革命正在悄然发生，其受到越来越多企业IT决策者的认可。

在传统安全理念中，企业的服务器和终端办公设备主要运行在内部网络中，因此，企业的网络安全主要围绕网络的“墙”建设，即基于边界防护。然而，物理安全边界有天然的局限性。随着云计算、大数据、移动互联网、物联网等技术的融入，企业不可能将数据局限在自己的内部网络中。例如，企业要上云，就不能将公有云装入自己的防火墙；企业要发展移动办公、物联网，防火墙却无法覆盖外部各角落；企业要拥抱大数据，就不可避免地要与合作伙伴进行数据交换。因此，传统安全边界模型在发展新技术的趋势下逐渐瓦解，在万物互联的新时代成为企业发展的障碍，企业需要建立新的网络安全模型。

在这样的时代背景下，基于零信任理念的新一代网络安全架构应运而生。它打破了传统安全边界，不再默认企业物理边界内的安全性，不再基于用户与设备在网络中的位置判断是否可信，而是始终验证用户的身份、设备的合法性及权限，即遵循“永不信任，始终校验（Never Trust，Always Verify）”的零信任理念。在零信任理念下，网络位置变得不再重要，其完全通过软件来定义企业的安全边界，“数据在哪里，安全就到哪里。”SDP依托自身优势成为解决新时代诸多安全问题的最佳选项，其安全性和易用性也通过大量企业的实践得到验证。为了推进SDP技术在中国的落地，CSA（大中华区）于2019年成立SDP工作组。

本书基于SDP工作组的若干成果，对分散在不同文献中的理论与概念进行汇总和整理，自上而下地对SDP的完整架构进行详细介绍，并结合大量实践案例，为读者提供完整的软件定义边界技术架构指南。

1. 本书面向的读者

（1）企业信息安全决策者。本书为企业信息安全决策者设计基于SDP的企业信息安全战略提供完整的技术指导和案例参考。

（2）信息安全、企业架构或安全合规领域的专业人员。本书将指导他们对SDP解决方案进行评估、设计、部署和运营。

（3）解决方案供应商、服务供应商和技术供应商也将从本书提供的信息中获益。

（4）安全领域的研究人员。

（5）对SDP有兴趣并有志从事安全领域工作的人。

2. 本书的主要内容

第1章对SDP的基本概念、主要功能等进行介绍。

第2章对SDP架构、工作原理、连接过程、访问控制及部署模式等进行介绍。

第3章对SDP架构的具体协议及日志进行介绍。

第4章对SDP架构部署模式及其适用场景进行介绍，为企业部署SDP架构做技术准备。

第5章对企业部署SDP需要考虑的问题、SDP与企业信息安全要素集成及SDP的应用领域进行介绍。

第6章对技术原理和IaaS使用场景进行分析与介绍，指导企业安全上云。

第7章通过展示SDP对DDoS攻击的防御机制，加强读者对SDP的认识和理解。

第8章介绍SDP对等保2.0各级要求的适用情况。通过对等保2.0的深入解读，展示如何通过SDP满足企业的等保2.0合规要求。

第9章对SDP战略规划与部署迁移方法进行介绍，在战略规划和部署迁移层面为企业提供指导。

第10章介绍了NIST、Google、微软及Forrest的零信任架构与实现。

第11章精选了国内主要的SDP和零信任实践案例，对其进行介绍。

3. 本书遵循的约定

（1）本书主要基于公有云的IaaS产品，如Amazon Web Services、Microsoft Azure、Google Compute Engine和Rackspace Public Cloud等。其相关用例和方法同样适用于私有化部署的IaaS，如基于VMware或OpenStack的私有云等。

（2）按照SDP规范实现商业化的厂商与没有严格按照SDP规范进行产品开发的厂商，在构建产品的过程中，有不同架构、方法和能力。本书对厂商保持中立并避免涉及与头部厂商相关的能力。如果有因为厂商能力产生的差异化案例，本书尽量使用“也许、典型的、通常”等词语来解释这些差异，避免牺牲本书的可读性。

（3）高可用性和负载均衡不在本书的讨论范围内。

（4）SDP策略模型不在本书的讨论范围内。本书讨论的SDP用例和方法也适用于平台即服务（PaaS）。

（5）浅灰色方框中的内容为引用文字。示例如下：

零信任网络又称软件定义边界（SDP），是围绕某个应用或某组应用创建的基于身份和上下文的逻辑访问边界。应用是隐藏的，无法被发现，并且通过信任代理限制一组指定实体访问。在允许访问前，代理会验证指定访问者的身份、上下文和策略合规性。该机制将应用资源从公共视野中消除，从而显著缩小可攻击面。

（6）单行浅灰色方框中的内容为数据包格式。示例如下：

IP TCP AID（32位） 密码（32位） 计数器（64位）

（7）标题带有“JSON规范格式”字样的方框中的内容为JSON文件的标准格式。示例如下：

JSON规范格式

{

“sid”: ,

“seed”:,

“counter”:

[

“id”:

]

}

4. 云安全联盟

云安全联盟（Cloud Security Alliance，CSA）是中立的非营利组织，致力于国际云计算安全的全面发展。云安全联盟“倡导使用最佳实践为云计算提供安全保障，并为云计算的正确使用提供教育以帮助确保所有其他计算平台的安全”。云安全联盟发起于2008年12月，并在当年的RSA大会上宣布成立。目前，云安全联盟已协助美国、欧盟、日本、澳大利亚、新加坡等国家开展网络安全战略、身份战略、云计算战略、云安全标准、政府云安全框架、安全技术等方面的研究工作。CSA（大中华区）是国际云安全联盟的全球联邦四大区之一（其他大区为美洲区、亚太区、欧非区），现有100多家机构会员和7000多名个人会员，并管理十多个地方分会。CSA GCR与国际标准化组织（ISO）国际隐私专家协会（IAPP）、俄罗斯国家信息安全论坛（INFOFORUM）、东西研究所（EWI）等国际安全权威机构及联合国多个组织（国际电信联盟、社会经济理事会、科技发展委员会、工业发展组织、联合国大学、世界丝路论坛等）合作，引入标准、技术、课程等先进国际安全与隐私的优秀实践，并协助中国政产学研各界将国内安全政策和最佳实践介绍到国外，使安全技术在中国自主可控且能与国际接轨。CSA GCR致力于发展成为具有国际影响力的产业与标准组织，为中国在国际平台上发声。

5. CSA（大中华区）SDP工作组

为了加强SDP安全模型在中国的实践和创新，CSA（大中华区）于2019年3月成立了SDP工作组，阿里云、腾讯云、华为、京东云、Ucloud、华云数据、奇安信、360、深信服、启明星辰、绿盟科技、天融信、云深互联、中国移动、中国电信、国家电网、IBM、安永、顺丰科技、竹云、金拱门、中孚信息、吉大正元、中宇万通、三未信安、有云信息、上元信安、安全狗、易安联、联软科技、上海云盾、缔盟云、缔安科技、齐治科技、世平信息等50多家行业内优秀企业参与，云深互联担任组长单位。

关于SDP工作组的更多问题，请联系邮箱：[email protected]。

陈本峰

CSA（大中华区）SDP工作组组长

云深互联（北京）科技有限公司创始人及CEO