CSA SDP2.0標準發(fā)布

5月17日世界電信日，由國際云安全聯(lián)盟CSA大中華區(qū)主辦、騰訊安全承辦的“CSA SDP2.0標準發(fā)布暨零信任技術研討會”在線上召開。本次研討會聚焦軟件定義邊界SDP和零信任，共探數(shù)字化安全新未來。

  SDP是面向云與移動互聯(lián)的安全策略，是零信任原則不可或缺的核心部分，它幫助零信任安全實現(xiàn)最小授權原則，隱蔽網(wǎng)絡和資源。2014年，CSA開發(fā)SDP框架，發(fā)布了《軟件定義邊界（SDP）標準規(guī)范V1.0》，為零信任貢獻了首個技術解決方案。

   時隔八年，CSA打磨了全新的《軟件定義邊界 (SDP) 標準規(guī)范V2.0》，并在今日的研討會重磅發(fā)布。同時此次研討會上，CSA大中華區(qū)主席李雨航、CSA大中華區(qū)零信任工作組組長陳本峰、CSA大中華區(qū)副秘書長許木娣、騰訊零信任產(chǎn)品總經(jīng)理楊育斌、小花科技安全負責人閔李金、虎符網(wǎng)絡創(chuàng)始人王偉、零信任產(chǎn)業(yè)標準工作組秘書長黃超等行業(yè)專家，帶來了精彩的技術分享與專業(yè)解讀。

SDP 2.0標準發(fā)布，持續(xù)優(yōu)化SDP安全架構

研討會上，CSA大中華區(qū)主席李雨航宣布《軟件定義邊界 (SDP) 標準規(guī)范V2.0》（簡稱：SDP標準2.0）正式發(fā)布，SDP標準2.0是一次國際協(xié)作的成果，由國際及中國的多位專家參與編寫，匯集了零信任SDP技術發(fā)展、行業(yè)需求及行業(yè)最新的研究實踐。聯(lián)盟多家成員單位參與了標準的翻譯與審校，包括云深互聯(lián)、中國電信研究院、中國信通院、騰訊、華為、360、深信服、啟明星辰、山石網(wǎng)科、北森云等16家單位。

（SDP 2.0業(yè)務訪問流程）

相較于SDP 1.0 標準規(guī)范，2.0版本在六大方面有了顯著升級，涵蓋SDP概念及其與零信任的關系，SDP架構、組件及部署模型細化，加載和訪問流程，新的SPA消息格式，SDP通信協(xié)議的安全改進以及對于物聯(lián)網(wǎng)設備的支持。

在SDP概念及其與零信任的關系方面，2.0版本首次明確指出了SDP與零信任的關系；在SDP架構、組件及部署模型細化方面，2.0版本細化了6大部署模型；在加載和訪問工作流程方面，控制器加載流程、AH加載流程、IH加載流程、業(yè)務訪問流程得到優(yōu)化；在新的SPA消息格式方面，由于SDP最核心的網(wǎng)絡隱身是由SPA協(xié)議來實現(xiàn)的，2.0版本比1.0更安全、更易擴展；此外，SDP 2.0版本還實現(xiàn)了對物聯(lián)網(wǎng)設備的支持，以及SDP通信協(xié)議的安全改進。

據(jù)CSA大中華區(qū)零信任工作組組長陳本峰介紹，SDP與NIST零信任架構的基本原則以及邏輯架構保持一致，實現(xiàn)了數(shù)據(jù)平面與控制平面的分離，V2.0架構圖明確了AH與服務Service的關系，SPA 2.0的消息格式更安全、更易擴展，SPA 不僅僅作為網(wǎng)絡隱身協(xié)議，還可以作為數(shù)據(jù)傳輸協(xié)議，同時隨著今天中國市場上，云計算、移動、IoT等新技術正被成千數(shù)萬的企業(yè)應用，SDP 2.0還增加了對于物聯(lián)網(wǎng)設備的支持。

當前，SDP安全架構已在國際上迅速普及，其優(yōu)勢得到了企業(yè)CIO的廣泛認可，其安全性和易用性也得到了無數(shù)企業(yè)的實踐驗證。陳本峰認為，SDP 未來研究方向?qū)戎赜诹阈湃尾呗阅Ｐ秃蚐DP、使用SDP實現(xiàn)物聯(lián)網(wǎng)零信任安全、SDP密鑰的安全存儲和輪換以及設備校驗四大板塊，同時將更好地促進中國零信任安全市場的發(fā)展。

零信任從理念到實踐，護航企業(yè)數(shù)字化轉(zhuǎn)型

零信任理念自2010年誕生以來已逐步走向落地實踐，據(jù)市場研究機構Marketsand Markets 報告顯示，全球零信任安全市場規(guī)模預計到2026年將達到516億美元。萬物互聯(lián)時代，零信任“持續(xù)驗證、永不信任”的理念徹底顛覆了基于邊界的傳統(tǒng)安全防御模型，能夠有效幫助企業(yè)在數(shù)字化轉(zhuǎn)型中解決網(wǎng)絡邊界泛化帶來的安全風險。

騰訊零信任產(chǎn)品總經(jīng)理楊育斌在騰訊零信任技術及實踐分享中提到，隨著遠程辦公、遠程運維、遠程分支機構接入、第三方協(xié)作等遠程辦公新場景的出現(xiàn)，以及業(yè)務上云、邊緣設備接入、DevOps場景、微服務API安全防護等業(yè)務應用新場景的深化，以身份為中心的網(wǎng)絡安全機制逐漸引發(fā)行業(yè)重視，“去虛向?qū)崱钡牧阈湃握蔀榘踩珡S商通往新藍海的鑰匙。

騰訊安全作為國內(nèi)較早踐行零信任的企業(yè)，圍繞身份、終端、應用、網(wǎng)絡四要素，打造4T零信任功能實踐，開發(fā)出SaaS版、一體化版、管控版零信任產(chǎn)品矩陣，同時依托騰訊iOA零信任產(chǎn)品對終端訪問過程進行持續(xù)的權限控制和安全保護，實現(xiàn)終端在任意網(wǎng)絡環(huán)境中安全、穩(wěn)定、高效地訪問企業(yè)資源及數(shù)據(jù)。值得一提的是，騰訊零信任標準工作組制定的接口標準，已實現(xiàn)了同18個行業(yè)安全廠商的對接，接口標準化促進了企業(yè)安全辦公體系的融合，也進一步優(yōu)化了辦公體驗。

  在實踐環(huán)節(jié)，騰訊iOA在2020年新冠疫情防控期間，便支撐了全網(wǎng)10W+設備的全負荷工作，穩(wěn)定性得到證明。在外部應用方面，騰訊iOA已經(jīng)廣泛應用于泛互、金融、政府、教育、保險、地產(chǎn)、物流、醫(yī)療、工業(yè)、能源等行業(yè)，護航了數(shù)百家企業(yè)的數(shù)字化轉(zhuǎn)型。

零信任在實現(xiàn)數(shù)字化風控安全方面效果顯著。據(jù)小花科技安全負責人閔李金介紹，金融科技行業(yè)標準合規(guī)需滿足架構安全、數(shù)據(jù)安全、網(wǎng)絡安全和內(nèi)控管理，于金融科技企業(yè)而言，多終端、多辦公環(huán)境、多云業(yè)務帶來了風險管理上的極大挑戰(zhàn)。小花科技通過采用騰訊iOA零信任建設4 Trust終端安全體系，保障了數(shù)據(jù)訪問過程中的信息安全，實現(xiàn)了風險治理的“事前－事中－事后”閉環(huán)響應，增強了終端內(nèi)生免疫力，建立了面向全終端的安全基線，形成了數(shù)字化風控安全循環(huán)。

在技術分享的最后，CSA大中華區(qū)副秘書長許木娣聚焦實施零信任的關鍵要素——人才培養(yǎng)，指出零信任是一項團隊運動，同時據(jù)德勤調(diào)查數(shù)據(jù)顯示，組織在實施零信任模式過程中，面臨著人才、預算、洞察及供應商選擇上的四大挑戰(zhàn)，其中專業(yè)人員缺口占比達35%。

在零信任人才培養(yǎng)方面，CSA大中華區(qū)在2020年發(fā)布了首個零信任領域的個人認證-CZTP零信任認證專家，同時聯(lián)合騰訊、深信服、中國電信等單位開展CZTP人才培養(yǎng)，從技術標準、架構指南、應用場景、實施指南、法律合規(guī)等多方位提供學習資源，幫助安全人員系統(tǒng)掌握零信任全面的安全知識，加強零信任實戰(zhàn)能力。

零信任助力行業(yè)創(chuàng)新發(fā)展，安全專家共話技術趨勢

在研討會的最后，零信任產(chǎn)業(yè)標準工作組秘書長黃超主持了“零信任助力行業(yè)創(chuàng)新發(fā)展”為主題的圓桌討論，通過連線王偉、陳本峰、楊育斌和閔李金，從市場、用戶、技術、產(chǎn)業(yè)合作、產(chǎn)品解決方案等多個角度探討了“零信任”產(chǎn)業(yè)及技術的未來發(fā)展趨勢。

參與此次2.0標準研制工作的陳本峰，分享了技術標準制定過程中的挑戰(zhàn)與難點，他認為當前國內(nèi)數(shù)字經(jīng)濟蓬勃發(fā)展，對于未來零信任的實踐有著很好的機會，期待更多的技術專家參與進來，共同推動SDP標準的不斷發(fā)展。從發(fā)展趨勢上來看，目前市場上對SDP的理解比較片面，軟件定義邊界的核心目的是為了讓數(shù)據(jù)自由流動，這是數(shù)字經(jīng)濟底層基礎建設。他指出SDP2.0的發(fā)布，僅僅只是一個開始，未來將會有更深入的研究。

目前，國內(nèi)疫情反復，遠程辦公也步入常態(tài)化的階段，企業(yè)面臨著人員身份對接、應用資源安全管控、人員安全意識三大挑戰(zhàn)。楊育斌表示，零信任目前到了由接受概念到廣泛應用的爬坡階段，這里面有很多技術應用的想象空間；從騰訊零信任在應用推廣的過程中的經(jīng)驗來看，發(fā)現(xiàn)客戶的訴求越來越多，且逐步呈現(xiàn)出由外到內(nèi)、步入深水區(qū)的特點。

以金融行業(yè)為例，閔李金提到，零信任具備兩大優(yōu)勢：一是零信任轉(zhuǎn)變了網(wǎng)絡安全防護的思維，提供了一個增強的安全機制，在新的架構和模式下，相對于傳統(tǒng)安全而言，它的信任鏈條是環(huán)環(huán)相扣的，且動態(tài)防護能力更強、具備動態(tài)訪問優(yōu)勢、資產(chǎn)管理也更為方便；二是金融行業(yè)屬于強監(jiān)管行業(yè)，分階段地部署零信任可以更好地貼合自身情況去做規(guī)劃。他認為，零信任在數(shù)據(jù)層和控制層的模型將會越來越完善，零信任和身份認證的重要性也將越來越強。

對于零信任技術發(fā)展的未來趨勢，王偉則表示，“只有做好零信任安全底座，才能更好地建設數(shù)據(jù)安全?！睆漠a(chǎn)業(yè)角度來看，在落地過程中零信任會有很多陣痛，會和應用做一些耦合；從攻防角度來看，零信任天然將應用分為To C、To B兩個層面；此外，零信任的關鍵在于解決運維、成本、效率方面的問題，前景可期。

數(shù)字經(jīng)濟和實體經(jīng)濟的不斷融合發(fā)展，催生了許多新產(chǎn)業(yè)、新模式，也對網(wǎng)絡安全生態(tài)提出了新的要求。未來，CSA將與騰訊安全等行業(yè)伙伴，共同探索新型網(wǎng)絡環(huán)境下零信任的落地和發(fā)展。

————————————————

版權聲明：本文為CSDN博主「云安全聯(lián)盟大中華區(qū)」的原創(chuàng)文章，遵循CC 4.0 BY-SA版權協(xié)議，轉(zhuǎn)載請附上原文出處鏈接及本聲明。

原文鏈接：https://blog.csdn.net/CCSA2018/article/details/124857205