近日,由云安全联盟CSA策划发起,中国电信研究院应用安全研究所、华为、深信服、天融信、易安联、字节云智、云深互联联合承办的《零信任SDP X 等保2.0应用分享会》如期举行,吸引了2000+人次观看,众多专家就零信任SDP与等保2.0的结合与应用展开畅谈。
云深互联创始人兼CEO ,国际云安全联盟CSA(大中华区)SDP工作组组长陈本峰认为,“零信任SDP技术与等保2.0合规要求具有天然的结合点。传统的网络是基于防火墙的物理边界防御,然而由于云计算、移动互联网、物联网的新趋势,企业的物理边界瓦解,由此产生了新的安全模型,即软件定义边界SDP。零信任SDP的安全的理念和架构是适应整个云大物移新的发展趋势的。而等保2.0相比等保1.0,也是针对云大物移的趋势做了改进,加入了移动互联、云计算、物联网、工业控制系统等相应的安全扩展要求。一个是新趋势产生的新安全技术,一个是新趋势产生的新合规要求,所以两者刚好是很好的结合和实践。”本次活动,云深互联陈本峰就零信任的发展趋势和实践应用进行了深入解读。
零信任与等保2.0的天然结合是大势所趋
提及零信任SDP ,云深互联陈本峰认为,零信任SDP从根本上对网络安全的模型进行了颠覆,过去基于防火墙的物理边界防御;未来的零信任安全是基于身份为核心,打破物理边界的局限,然后让服务器可以在任何云、任何数据中心,让员工可以在任何时间任何地点都可以安全访问业务系统。零信任SDP打破了完全物理边界的束缚,让数据可以无边界地自由流动,从而让整个社会产生更高的生产力,尤其是现在国家在重点推行的新基建,任何场景应该都需要网络安全。
对于等保2.0,为了配合《中国人民共和国网络安全法》的实施,其针对共性安全保护需求提出了安全通用要求;针对移动互联、云计算、物联网、工业控制系统等技术,也提出了相应的安全扩展要求,已达到网络安全等级保护的标准要求。而且,等保2.0在合规建设方面,强调基于4A的统一身份认证、统一用户授权、统一账户管理、统一安全审计等相应的安全建设合规。
所以说SDP、等保2.0都是这种云大物移新趋势下的产物,显然零信任对于满足等保2.0 的合规要求,具有天然的结合点。
零信任SDP在等保2.0的实践应用
众所周知,等保2.0将等保1.0的被动式传统防御思路转变为主动式防御,覆盖工业控制系统、云计算、大数据、物联网等新技术新应用,为落实信息系统安全工作提供了方向和依据。而SDP将基于传统静态边界的被动防御转化为基于动态边界的主动防御,与等保2.0的防御思路非常吻合,成为满足等保2.0合规要求的优选解决方案。
那么,SDP又是如何应用于云大物移中的呢?
SDP以用户身份为中心,没有基于预设的发起方(IH)和接受方(AH)的网络地址等信息,因而能够在内外部环境,尤其是网络地址和拓扑都持续发生变化的情况下,提供可靠的隔离和访问控制手段。可以解决在云计算环境中,由于计算、存储和网络等元素的资源池化,业务所在的物理位置和网络位置的频繁变化而产生的安全防护问题。
SDP强化移动互联网应用的安全机制,利用动态信任评估、网络隐藏、双向验证、网络微隔离、安全远程访问等技术手段实现增强移动互联网安全的目的。
SDP通过“零信任”框架,重构物联网系统的安全机制,并利用强化身份验证、身份与设备的双向验证、网络微隔离、安全远程访问等技术手段实现增强物联网安全,实现对于等保2.0的满足或部分满足。
依据《网络安全等级保护基本要求》工业控制系统安全扩展要求,结合SDP技术,从网络架构、通信传输、访问控制、无线使用等方面提供安全使用建议,覆盖二、三、四级的工业控制系统安全防护,力助各单位利用SDP技术做好工业控制系统安全防护与合规。
写在最后:
近年来,零信任作为一种理念和新架构,能很好的指导从业者进行安全规划和访问控制,而且能对数据和应用起到高强度的安全保护作用,也是云时代的发展趋势。
Gartner在2019年发布行业报告《零信任网络访问市场指南》预测:到2023年,将有60%的企业淘汰VPN而转向使用ZTNA。而Gartner在2020年发表的《软件定义边界(SDP)市场增长指南报告中》也显示,SDP的市场占有率呈明显上升趋势。
等保2.0标准作为我国网络安全领域的基本国策、基本制度和基本方法,可以更好的保障信息系统安全、满足新态势下的网络安全需求。零信任与等保2.0的结合与实践应用,将更好的为网安的健康发展提供更好的技术支撑。