2019年零信任安全的实践与探索-SDP如何帮助企业安全上云.pdf

1、北京网络安全大会SDP如何帮助企业安全上云零信任安全的实践与探索目录CONTENNTSNO.1软件定义边界（SDP）介绍NO.2深云SDP的落地实践探索NO.3深云SDP的技术实践探索软件定义边界(SDP)-云深互联取名自“只在此山中，云深不知处“古诗。旨在通过新一代SDP（软件定义边界）网络隐身技术，让企业数据“隐身”于互联网之中，让黑客无从发起攻击，从而有效保护企业的数据资产。让每一家企业的数据可以安全上云并高效地互联互通。（北京）科技有限公司关于云深互联国际云安全联盟（大中华区）SDP工作组Software Defined Perimeter（软件定义边界，即SDP）安全模型由国际云安全

2、联盟CSA于2014年提出，已经在国外广泛成功应用，有效地帮助企业解决上云的安全问题。为了提高SDP安全模型在中国的实践和创新，中国市场CSA大中华区于2019年3月成立SDP工作组，首批参与单位有：阿里云、腾讯云、京东云、奇安信、深信服、绿盟科技、Ucloud、顺丰科技、天融信、云深互联、中宇万通、华云数据、三未信安、上元信安、安全狗、易安联、联软科技、上海云盾、缔盟云等30多家企业。云深互联担任组长单位。https:/www.c- 变革1：数据开始“出墙”云计算、移动互联网、IoT物联网等新技术出现和采用，让企业数据不再局限在内网防火墙变革2：内网不再100%安全APT攻击、勒索病毒等黑客

3、技术的发展，以及企业WIFI/5G等无线方式接入，让黑客更容易渗透进内网内网服务器WIFI/5G接入移动、IoT防火墙进入万物互联时代，企业安全无法再100%依赖防火墙软件定义边界(SDP)-时代变革传统“城墙”安全理念已经过时，“零信任”才是未来软件定义边界(SDP)-零信任安全理念SDP安全模型架构图1.客户端2.管控平台3.应用网关云内网零信任理念落地方案：国际云安全联盟CSA定义了SDP安全模型SDP核心优势网络隐身 Information Hiding隐藏服务器地址、端口，使之不被扫描发现预验证 Pre-authentication在连接服务器之前，先验证用户和设备的合法性预授权 P

4、re-authorization用户只能看到被授权访问的应用（最小权限原则）扩展性 Extensibility基于标准协议，可以方便与其它安全系统集成应用级的访问准入Application Layer Access用户只有应用层的访问权限，无网络级的访问来自于国际云安全联盟官方定义：https:/cloudsecurityalliance.org/group/software-defined-perimeter/三大组件1.Client：设备、身份验证2.Controller：配置策略，管理连接3.Gateway：网络隐身，访问控制SDP：Software-Defined-Perimeter（

5、软件定义边界）软件定义边界(SDP)-CSA定义SDP安全模型城墙隐身防护罩？SDP通过网络隐身和用户身份控制，帮助企业安全上云类比：服务器上云就好像把保险箱从“家里”被移动到了“室外广场”，暴露在公众视野下，将经受7x24的黑客攻击，再坚固的保险箱都可能被击破，因为天下没有无漏洞的程序。SDP就好像给保险箱加上一层网络隐身“隐身罩”，黑客没法攻击看不见的东西。软件定义边界(SDP)-技术原理SDP有效防止12大安全威胁中的10大安全威胁*1.数据泄露2.弱身份、密码与访问管理3.不安全的界面 和API 接口4.系统和应用程序漏洞5.账号劫持6.内部恶意人员威胁7.高级持续威胁攻击（APTS）

6、8.数据丢失9.DDoS拒绝服务10.共享技术问题*来自云安全联盟CSA白皮书SDP for IaaS国外众多老牌安全产商、CDN产商、电信运营商都推出自己的SDP产品美国硅谷SDP创业公司Zscaler于2018年纳斯达克上市，市值已超过100亿美金。以色列SDP创业公司Safe-T也于2018年在以色列股市上市。SDP入选 2017年11大信息安全技术，2018最应投入的10大安全项目，Gartner网络服务隔离指南：“到2021年底，60%的企业将用SDP取代VPN”连续4年举办SDP黑客破解大赛，无人攻破Google内部孵化的SDP项目BeyondCorp已经成功应用于谷歌大多数员工的