安全防御体系演进与零信任最佳实践之SDP.pdf

1、单击此处编辑母版标题样式安全防御体系演进与零信任最佳实践之SDP于新宇安几网安创始人CSA（云安全联盟）中国区专家SDP工作组成员中国商业联合会智库专家单击此处编辑母版标题样式单击此处编辑母版标题样式网络安全模型-OSI安全模型应用层表示层会话层传输层网络层链路层物理层网络通信安全机制安全服务加密机制数字签名机制访问控制机制数据完整性机制认证机制业务流填充机制路由控制机制公正机制认证（鉴别）服务访问控制服务数据保密性服务数据完整性服务抗否认性服务单击此处编辑母版标题样式网络安全模型-OSI模型安全服务和安全机制的对应关系认证（鉴别）服务访问控制服务数据保密性服务数据完整性服务抗否认性服务认证机

2、制数字签名机制访问控制机制路由控制机制加密机制业务流填充机制数据完整性机制公证机制安全服务安全机制OSI参考模型安全服务和安全机制的对应关系单击此处编辑母版标题样式网络安全模型-PDRR(Protection,Detection,Reaction,Recovery)入侵检测系统脆弱性检测系统完整性检测攻击性检测应急策略应急机制应急手段入侵过程分析安全状态评估加密机制数字签名机制访问控制机制认证机制信息隐藏防火墙技术防护检测恢复响应数据备份数据恢复系统回复单击此处编辑母版标题样式网络安全模型-P2DR(Policy Protection Detection Response)Protection

3、防护Detection检测Response响应Policy策略单击此处编辑母版标题样式区域边界本地计算环境本地计算环境本地计算环境私有网络办公区域公共区域PBX分级网络分级区域公共网络(因特网)公共电话网络电信服务提供商（TSP）远端用户远端用户远端用户远端用户远端用户远程连接（通过TSP）ISP通过TSP通过TSP设施网络基础架构支持基础设施:检测&响应密钥管理基础设施/公钥基础设施 边界 边界防护（防火墙等）远程访问防护(通信服务器、加密等)连接到其他区域网络安全模型-IATF（Information Assurance Technical Framework）单击此处编辑母版标题样式IA

4、TF的纵深防御战略完成使命信息安全保障纵深防御战略人员技术操作强大且集成的信息安全保障措施和行动单击此处编辑母版标题样式几种主流的网络安全模型比较突出特点:采用了分层的思想，层与层间相互 独立，具有很好的灵活性。局限性:只专注于网络通信系统和静态防护技 术，对于持续变化的内外部安全威胁缺乏足够的监测与应对能力，因而无法满足更复杂更全面的信息 保障的要求。突出特点:基于闭环控制的 动态安全模型。适用于需要长 期持续安全防护的系统局限性:局限于从技术上考虑网络的安全问题，忽视了管理对于安全防护的重要性。突出特点:通过对四个部分分别部署安全保障机制，形成对网络系统的纵深防御，最大限度降低安全风险，从

5、而保障系统的安全性。局限性:实现的都是对网络系统的静态安全防护，并未对网络系统部署动态持续的安全防护措施。突出特点:按照逻辑，将基础设施的系统性理解和管理能力、以及通过协同工作来保护组织安全的保护和检测能力整合在一起。局限性:实现的是静态安全防护，没有考虑动态安全防护的思路。OSI安全体系PDRRIATFCGSP2DR突出特点:基于时间的安全理论为基础，强调安全不能依靠单纯的静态防护，也不能依靠单纯的技术手段来实现局限性:忽略了内在的变化要素，例如人员的流动，人员素质的提升。单击此处编辑母版标题样式自适应安全3.0阶段的CARTA模型预 测防护检 测响 应风评评估与分析系统基线和安全签名预测风

6、险和攻击系统加固避免攻击系统孤立减缓攻击安全事件分析调整策略事件检测收集事件确认和优先级风险政策合规性持续的可视化和评估用户系统系统活动负荷网络实施监控调整调整零信任最佳工作阶段单击此处编辑母版标题样式持续自适应风险/信任评估（Gartner 2017）阻止/避免要求提供更多信息允许允许并且记录允许并且审计允许并且隔离允许并且阻断欺骗威胁情报脆弱性情报社区共享情报白名单黑名单信誉服务行为签名历史行为记录企业风险容忍度环境背景资产价值企业安全策略考虑到当前背景、对该实体的信任以及对风险的承受能力，该实体是否应该对目标采取所要求的行动？持续调整的风险和信任引擎持续的自适应的风险和信任评估单击此处编

7、辑母版标题样式CARTA实施的7点建议持续发现,监控,访问和优先级风险一主动响应用于全面、全可视性的仪器,包括敏感数据处理架构安全应该是一个集成的,自话应可编程的系统,而非竖井用可适应的、相互关联的安全平台替換一次性的安全网关策略（零信任工作范围）在数字业务计划的早期执行风险和信任评估利用分析,AI,自动化和编制来藏少检测和响应时间,以及按需分配有限资源010305020406将持续的数据驱动的风险决策和风险责任带给业务单元和产品所有者07单击此处编辑母版标题样式换个思路，零信任应运而生基于风险基于威胁基于不信任重建信任Never Trust,Always Verify单击此处编辑母版标题样式

8、零信任的发展历程142010年提出零信任安全最早由著名研究机构Forrester的首席分析师 John Kindervag提出2011-2016年实施2014年12月起，Google发表了5篇与BeyondCorp相关的论文，全面介绍了其架构，及2011年迄今的实施情况2017年跟进业界厂商大力跟进，包括Cisco、Microsoft、Amazon、Cytera等著名厂商2018年践行中央部委、国家机关、大中型企业开始探索实践零信任安全架构单击此处编辑母版标题样式正在成熟的一种架构-零信任架构访问控制引擎访问代理管道RADIUS单点登录证书颁发这信任推断设备数据库用户/组数据库终端用户公共网络

9、终端用户未授权网络802.1x单击此处编辑母版标题样式零信任架构-信息流目录服务网络基础设施漏洞扫描资产管理证书安装代理配置管理代理补丁管理代理设备证书授权配置管理服务补丁管理服务信息库服务单击此处编辑母版标题样式零信任架构-访问流程管理代理证书授权资产库例外其他信任推断设备清单服务访问控制引擎访问策略网络交换机交互式登录Web代理网络VLAN代码库Bug追踪数据源访问智能网关资源网关资源单击此处编辑母版标题样式从零信任迈步到SDP180102030405数字化转型发展推动网络安全问题加剧，攻击的数量、多样性以及损害的程度大幅提升。新兴技术如云计算和物联网等推动保护对象进一步拓展。政策的发展与

10、逐步完善对企业提出更高要求AI、5G时代、大数据、移动互联、物联网等快速发展.网络安全边界在不断扩展，提振需求量.威胁攻击面越来越大防不胜防威胁攻击的种类越来越多疲于应付终端种类越来越多难于有效管理安全防御体系错综复杂需要联动协作传统的安全防御体系已经无法适应5G、云计算、物联网等发展需求单击此处编辑母版标题样式零信任之SDP，并非全新19SDPSDP背后的原理并非全新背后的原理并非全新美国国防部（DoD）和美国情报体系（IC）内的多个组织在网络访问之前已经实施了基于认证和授权的类似网络架构。通常用于机密或高端网络（由国防部定义），每台服务器隐藏在远程访问网关设备后面，用户必须先通过该设备身份

11、验证，才能查看授权服务并进行访问。SDP利用分类网络中使用的逻辑模型，并将该模型纳入标准工作流程中。在获得对受保护服务器的网络访问之前，SDP要求端点进行身份验证并首先获得授权。然后在请求系统和应用程序基础架构之间实时创建加密连接。到到 2021 2021 年，年，6060的企业将逐步淘汰数字商的企业将逐步淘汰数字商业通信的网络业通信的网络 VPNVPN，转而采用，转而采用SDPSDP软件定义软件定义边界，而边界，而 2016 2016 年不到年不到 1 1。Gartner Gartner，2016 2016 年年 9 9 月月 30 30 日论文日论文这个创新架构的一部分是提出了一种易于这个

12、创新架构的一部分是提出了一种易于调整的方式去调整边界。调整的方式去调整边界。Bob FloresBob Flores，美国中情局前任，美国中情局前任CTOCTO我们认为我们认为SDPSDP软件定义边界可能会成为规则软件定义边界可能会成为规则改变者。需要做的正确事情就是把它交给改变者。需要做的正确事情就是把它交给开源社区，让开源社区，让 云计算云计算 不再是你必须考虑的不再是你必须考虑的一件事情。一件事情。Bob FloresBob Flores，美国中情局前任，美国中情局前任CTOCTO单击此处编辑母版标题样式SDP示例总体架构（示例）风险计算信任评估动态授权权限管理HTTPS访问代理SSL访

13、问隧道边界防御控制策略执行应用隐藏安全接入网关检测分析平台流量采集检测UEBA威胁情报IAM身份认证账号管理单点登陆SDP安全管理平台企业资源SSL隧道终端防护动态认证终端设备邮箱OACRMERP请求反馈，策略下发浏览器访问客户端访问控制通道数据通道流量和行为风险反馈认证和多维信息提交态势感知环境监测单击此处编辑母版标题样式SDP技术架构单击此处编辑母版标题样式SDP原理1.先访问资源2.再验证身份2.再访问资源1.先验证身份特点1：全面身份化传统网络架构体系SDP内网属于受信特权区域、威胁持续升高信任最小化 去特权化 权限动态化单击此处编辑母版标题样式身份认证信任评估终端环境持续行为检测访问

14、授权用户多因素身份信息信任等级计算终端环境信息和安全状态行为、流量、日志持续检测根据信任等级与资源安全等级，授予访问权限特点2：多源信任评估，软件定义边界SDP基本原理单击此处编辑母版标题样式身份可信行为可信环境可信高（秘密）中（内部）低（公开）机密等级机密等级机密等级应用资源分级静态授权信任等级高中低特点3：动态权限SDP基本原理单击此处编辑母版标题样式SDP特性25安全性一安全性一对对设备设备进行身份认证和验证进行身份认证和验证安全性二安全性二对对用户用户进行身份验证和授权进行身份验证和授权安全性三安全性三确保确保双向双向加密通信加密通信安全性四安全性四智能智能动态动态连接控制连接控制安全

15、性五安全性五依据身份动态“依据身份动态“隐藏隐藏”服务”服务建立五层安全性单击此处编辑母版标题样式SDP特性总结26控制信令和数据信令分离分离访问控制和数据信道分离访问控制和数据信道下一代边界防御体系一个集成的安全体系结构一个集成的安全体系结构基于网络安全的本质，进行连接控制打破传统的基于打破传统的基于 IP IP 控制方式，控制方式，实现基于连接控制实现基于连接控制漏洞扫描、外部攻击无可乘之机先认证后连接先认证后连接只有合法的用户才能连接最小化攻击面最小化攻击面以身份为中心、业务安全访问，持续信任评估，动态访问控制单击此处编辑母版标题样式未来应用场景27企业办公环境云上应用保护源代码保护远程

16、安全访问APT攻击DDOS攻击防范勒索软件账号劫持数据泄露内部恶意人员威胁物联网云数据存储与处理APT攻击防范DDOS攻击防范工控DDoS攻击防范数据丢失、非计划停产或生产延滞、设备损坏等共享技术很好提供多种不同级别的安全 可以用SDP 实施保护的“潜在”应用场景 单击此处编辑母版标题样式SDP客户端未打开时，无法访问相应的被SDP保护的网站。使用一些工具也无法访问到受保护的网站。任何的请求都不会得到反应。打开SDP客户端后经过身份认证和授权后，可以正常访问受SDP保护的网站；过程中保持动态权限管理。案例演示单击此处编辑母版标题样式0500100015002000Day1Day1Day2Day

17、2Day3Day3Day4Day4Day5Day5Day6Day6Day7Day7Day8Day8Day9Day9Day10Day10Day11Day11Day12Day12Day13Day13Day14Day14Day15Day15某知名某知名制造企业制造企业部署前部署前部署后部署后0200400600800Day 1Day 1Day 2Day 2Day 3Day 3Day 4Day 4Day 5Day 5Day 6Day 6Day 7Day 7Day 8Day 8Day 9Day 9Day 10Day 10Day 11Day 11Day 12Day 12Day 13Day 13Day 14Day 14Day 15Day 15某知名金融机构某知名金融机构部署前部署前部署后部署后部署SDP后，互联网的异常流量大幅度下降实施案例总结单击此处编辑母版标题样式两本参考书推荐