SDPV2.0
近日,国际云安全联盟CSA发布了全新的《软件定义边界 (SDP) 标准规范V2.0》。SDP是面向云与移动互联的安全策略,也是零信任架构不可或缺的核心部分,它帮助零信任安全实现最小授权原则,隐蔽网络和资源。
相较于SDP 1.0 标准,2.0版本在六大方面有了显著升级,涵盖SDP概念及其与零信任的关系,SDP架构、组件及部署模型细化,加载和访问流程,新的SPA消息格式,SDP通信协议的安全改进以及对于物联网设备的支持。
具体更新如下:
历经过去几年的发展, SDP已成为零信任领域的业界标准之一,新标准的发布必将推动零信任安全市场的加速发展。
从市场角度看,伴随数字化转型的不断深入,企业IT环境也变得日趋复杂。数字化转型在提升各行业的管理水平、决策效率,促进产业发展的同时,也带来了新的安全挑战。传统的安全体系在应对新安全态势时,愈发显得捉襟见肘,这集中表现在:
静态授权,缺少动态监控。经典的网络安全产品对访问者只进行一次认证授权,缺少后续的持续信任评估、监控机制,不契合安全事件动态变化的特点。
服务暴露,易受攻击。传统的安全产品可以针对业务流量做安全过滤,但无法阻止攻击者发现暴露在外的服务,这在客观上扩充了网络攻击者的可选目标,使得企业IT风险进一步增大。
为了应对如上新的安全挑战,将SDP理念应用于生产实践,最佳的方案是零信任网络访问ZTNA(Zero Trust Network Access)。部署ZTNA,可以使用户网络获得如下安全增强:
- 强制认证加密。网络中所有节点间的访问都需要双向认证加密访问。
- 严格访问控制。每次访问受保护应用时都必须进行可信校验,这种检查机制是动态的,会根据访问者的信任状态做调整。
- 最低权限原则。缺省对于访问者,仅授予最低权限,严格控制对未授权应用的访问。
东软基于网络安全领域多年积淀,适时推出ZTNA零信任安全解决方案,聚焦为用户在不可信的网络中,构建一个“持续验证,动态授权,安全可靠”的接入系统。
东软零信任安全解决方案
东软NetEye零信任安全解决方案,由零信任安全管理中心、零信任控制中心、零信任代理网关和连接器组成。基于持续可信评估、动态权限控制和一体化安全防护体系,可以实现针对客户端的多维度风险评估、动态授权、全局威胁处置。
方案亮点
持续动态评估,永不信任
基于用户、设备、应用,生成数字身份标识,综合操作系统环境、网络环境、应用环境、时间、地点等,为访问主体建立可信档案。同时采集用户行为数据,并结合对访问客体网络的安全态势评估,确保会话主客体的可信度。
动态权限控制,精细化授权
不同于传统的网络安全设备基于IP的静态安全策略授权机制,NetEye零信任安全解决方案根据授权主体、客体环境和行为风险进行动态授权,实现应用、功能、API、数据等维度的精细安全访问控制。
适用场景
东软NetEye零信任解决方案可广泛应用于远程办公、多云访问,HVV行动中蓝方服务器保护、数据交换平台中的API访问控制等场景。
远程办公零信任解决方案
方案价值
办公更安全
通过全方位的信任评估以及持续动态检测机制,为办公业务提供动态防护机制,相比传统方案,更加安全。
缩小服务暴露面
首先,系统基于身份的访问控制机制相比于传统的基于IP的方式更加精准,粒度更细,访问过程不受地点限制,全网统一访问方式。再者,通过SPA授权机制,确保服务端口无需暴露于互联网,黑客无从下手。
后端服务器安全
支持对后端服务器访问加密,并将对服务器的访问纳入零信任平台监管,阻止未经授权的访问。
SDP安全架构已在国际上迅速普及,其优势得到了企业CIO的广泛认可,其安全性和易用性也得到了众多企业的实践验证。相信基于SDP架构的零信任系统,在数字化的趋势下将会不断落地并取得更大发展。