云安全联盟：2022年基于SDP与DNS融合的零信任安全增强策略模型（29页）.pdf

1、 2022 国际云安全联盟大中华区版权所有2软件定义边界工作组官网网址：https:/cloudsecurityalliance.org/research/working-groups/software-defined-perimeter2022 国际云安全联盟大中华区-保留所有权利。本文档发布在国际云安全联盟大中华区官网(http:/www.c-)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明；（e）引用本报告内容时

2、，请注明来源于国际云安全联盟。2022 国际云安全联盟大中华区版权所有3序序言言DNS 作为互联网重要的基础服务之一，承担着将域名指向可由计算机识别的 IP 地址的重要作用，堪称互联网的“导航系统”，同时在企业的内网环境也承担着同等重要的职责。DNS 的安全是保障网络畅通的核心和基础，也是数据安全的底层基石。思科相关安全研究数据显示，近 91.3%的已知恶意软件被发现使用 DNS 作为主要手段，但 68%的企业却忽略了这个问题，并没有对 DNS 解析进行监管，这种现象称之为“DNS 盲点”。正因为 DNS 如此重要的作用，其一旦出现漏洞或遭受攻击，必然会对网络的正常访问和使用造成严重影响，给政

3、府和企业带来巨大的损失。很多企业投入大量财力、物力、人力构建完善的安全防护体系，虽然网络安全架构已经十分完善，但 DNS 系统安全依旧成为百密一疏的防护漏洞，并且传统的安全防御体系在日益频繁 DNS 攻击的抵御防护中尤为吃力。2022 年 5 月 CSA 正式发布了SDP 标准规范 2.0。SDP 为网络运营者提供动态灵活的边界功能部署能力，聚焦于保护关键的组织资产，实现精准授权，降低网络攻击的可能性。帮助零信任安全实现最小授权原则并隐蔽网络和资源。本文通过 2 个实际用例解释了如何将 DNS、企业管理 DDI 系统与 SDP 结合，使用 DNS 及企业管理 DDI 系统为 SDP 提供设备及

4、网络行为的上下文信息，作为 SDP 系统输入，增强访问控制策略的决策能力，从而提供改进的安全可见性、恢复能力及响应能力，帮助组织机构通过零信任架构获取的安全保障更上一层楼。最后感谢参与本次翻译和支持的工作者们的无私奉献。李雨航 Yale LiCSA 大中华区主席兼研究院院长 2022 国际云安全联盟大中华区版权所有4致致谢谢基于SDP和DNS融合的零信任安全增强策略模型（Integrating SDP and DNS Enhanced Zero TrustPolicy Enforcement）由CSA软件定义边界工作组专家编写，CSA大中华区秘书处组织翻译并审校。中中文文版版翻翻译译专专家家组

5、组（排名不分先后）：组组 长长：陈本峰翻翻译译组组：单美晨 江 坤 石瑞生 汪 海 谢 琴 杨正权于继万 于新宇 余晓光审审校校组组：谢 琴姚 凯研研究究协协调调员员：潘国强李 杰 李金瑞 陈 龙感感谢谢以以下下单单位位的的支支持持与与贡贡献献：北京奇虎科技有限公司北京启明星辰信息安全技术有限公司北京天融信网络安全技术有限公司华为技术有限公司江苏易安联网络技术有限公司上海安几科技有限公司云深互联(北京)科技有限公司中国电信股份有限公司研究院湖州市大数据发展促进会湖州市吴兴区大数据发展管理局西塞数字安全研究院英英文文版版本本编编写写专专家家主主要要作作者者：Jason Garbis Juanit

6、a KoilpillaiSrikrupa SrivationPG Menon贡贡献献者者：Michael Roza审审核核者者：Nader Zaveri Andrea KnoblauchCSA 全全球球员员工工:Shamun Mahmud 2022 国际云安全联盟大中华区版权所有5献献辞辞本文是为了纪念 Juanita Koilpillai，一位安全领袖、影响者、导师和朋友。软件定义边界(SDP)和零信任工作组是云安全联盟(CSA)的一个研究工作组，旨在促进采用零信任安全原则，为组织机构能够并应该如何在云和非云环境中采用这些原则提供实用和技术上可靠的指导。该小组将以美国国家标准与技术研究所(N