您当前的位置:首页 > 电脑百科 > 网络技术 > 网络安全

等保2.0的解决方案,“零信任架构”SDP介绍

时间:2021-02-25 10:55:59  来源:  作者:

1、背景

今天在杭州跟一个金融客户交流网络安全方面的需求,结合他们公司的安全标准,给他们推荐了SDP产品。下面稍微给大家介绍下SDP产品的一些细节内容。

2019年底国家推出了《信息安全技术网络安全等级保护基本要求 GB/T 22239-2019》标准,也就是大家常说的“安全等级保护2.0”简称“等保2.0”,其中明确规定了降低互联网暴露面的要求。就是要求尽量减少暴露在互联网上的端口、IP地址等网络信息。从而降低政府、事业单位等被黑客攻击的风险。

2、SDP理念

随着信息安全行业中攻防技术的不断升级,安全攻防技术升级,世界范围内越来越多的安全公司开始将人工智能、机器学习、自然语言处理等技术运用到安全产品中,加强自己的安全防御能力。

随着互联网技术不断地发展,传统行业的信息化逐渐向移动化转变,使得企业信息、人员和服务等都与网络深度绑定,从过去相对独立、分散的网络转变为深度融合、相互依赖的整体。

随着企业的业务系统逐步迁移到云端,业务逐渐接入终端移动端,网络的架构更加复杂,使得传统的网络边界日益模糊。传统的安全边界不再坚固,企业网络架构转向“无边界”化。企业的网络安全也正遭受严重的威胁。常见的几种威胁:APT攻击、DDoS攻击、常见病毒攻击等。

3、SDP安全架构

SDP全称是Software Defined Perimeter,即软件定义边界,是由国际云安全联盟CSA于2013年提出的基于零信任(Zero Trust)理念的新一代网络安全技术架构。SDP的设计理念是“零信任”架构设计。就是对未取得安全策略认可的一切设备、信息都置为“不可信”,直至通过设置好的策略后取得信息后方可执行。零信任架构建议围绕业务系统创建一种以身份为中心的全新边界,而不是像VPN一样建立一条“基于网络边界的信任机制”。传统的VPN是以授权给每个人一个可供登录的账号密码,创建了一条加密的虚拟通道,直接连接到企业的内网。至于连接后在内网作了哪些操作动作以及是否存在违规风险操作是无法监控的。而SDP的理念是先由客户端发起一个连接请求,通过SPA(单包授权),首先接入到的是控制器服务,由控制器服务认证鉴权,认证通过后会将需要连接的内网地址、端口等下发给客户端,并且连接的隧道是加密的。通过认证后客户端才会知道真正自己要连接的内网服务器的IP和端口。在没有取得授权之前客户端是无法知道真正的内网接入的IP和端口的。

控制器的作用不只是认证授权,还会配置一系列的安全接入的策略。以账号密码等多因子认证,实现了“预认证”“预授权”并下发单次接入通道,下发“最小化权限原则”不会将所有内网的操作权限和资源都公开。后续会根据设定的安全策略,逐步地“持续信任评估”,如根据用户所处的网络环境、连接工具、常用的IP、操作习惯等因素判断信任程度。在零信任模型中,所有业务系统都隐藏在安全网关后面。

SDP的通信加密隧道可以采用临时密钥机制,周期性地更新认证的临时密钥,保障了加密隧道的安全性。并且数据在传输过程中使用密钥签名,可以有效地防止在传输过程中被黑客模拟篡改,数据一旦校验失败,SDP安全网络会丢弃异常的数据包。一般的SDP隧道的数据以UDP包形式传输,一旦被丢弃会自动重发。数据包传输成功后会动态变更请求头信息,做到防重放攻击,即使黑客拿到了之前的正确请求消息并向隧道重放请求,安全网关也会自动丢弃。

等保2.0的解决方案,“零信任架构”SDP介绍

SDP架构设计图

4.CZSP 认证

2020年国际云安全联盟大中华区组织了第一届的CZSP的专业认证考试,通过考试的人员授予国际认可的证书。

5.SDP产品

各个厂商的SDP产品实现的逻辑大不相同,有的是基于已有的VPN技术改造,如:深信服,有的基于简单的零信任理念设计,如:安恒、华安网信、深云互联、指掌易、易安联、联软等

这里只是简单的讲解了下SDP的原理及相关的一些信息,具体细节的技术和问题,如果大家有兴趣可以留言讨论或者私信单聊。



Tags:零信任架构   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
“零信任”概念没有统一定义难理解?NIST(美国国家标准与技术研究院)梳理了7大“零信任”原则,帮助用户更好的保护网络安全。 近年来,坊间不乏有关零信任的定义,你一定听到过诸如原...【详细内容】
2021-10-27  Tags: 零信任架构  点击:(33)  评论:(0)  加入收藏
1、背景今天在杭州跟一个金融客户交流网络安全方面的需求,结合他们公司的安全标准,给他们推荐了SDP产品。下面稍微给大家介绍下SDP产品的一些细节内容。2019年底国家推出了《...【详细内容】
2021-02-25  Tags: 零信任架构  点击:(2255)  评论:(0)  加入收藏
▌简易百科推荐
一、背景介绍永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获...【详细内容】
2021-12-27  Kali与编程    Tags:勒索病毒   点击:(3)  评论:(0)  加入收藏
一、SQL注入漏洞SQL 注入攻击( SQL Injection ),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串...【详细内容】
2021-12-10  华清信安    Tags:Web漏洞   点击:(23)  评论:(0)  加入收藏
AD域是目前大型企业常用的内网管理方案,但随着近年来实网演习的常态化和不断深入,AD域安全越来越得到企业的重视。不论是在演练还是在真实的高级攻击场景中,在复盘中可以看出,大...【详细内容】
2021-10-27    中国信息安全  Tags:AD域   点击:(38)  评论:(0)  加入收藏
网友们,过去一年,您的网络安全段位提升了吗?需要更多的专属利器加持吗?今年我们又为您准备了丰富的网络安全知识大餐,助您驰骋网络,为网络安全护航!2021年10月11日至17日为“国家网...【详细内容】
2021-10-13    九派教育  Tags:网络安全   点击:(49)  评论:(0)  加入收藏
拓扑环境 Kali Linux(攻击机) Centos6.4(web服务器) win7(域成员主机无法上网) win2008R2(域控无法上网) 目的通过Kali Linux拿到域控权限2021最新整理网络安全\渗透测试/安全学习(全...【详细内容】
2021-09-17  KaliMa    Tags:内网渗透   点击:(84)  评论:(0)  加入收藏
前言这又是一个关于域内基础概念与原理的系列Active Directory 的查询基础语法BaseDNBaseDN 即基础可分辨名称,其指定了这棵树的根。比如指定 BaseDN 为DC=whoamianony,DC=or...【详细内容】
2021-09-06  KaliMa    Tags:内网渗透   点击:(46)  评论:(0)  加入收藏
堡垒机,听起来就是一个够酷的名字,有用户笑言,听着名儿就觉着安全,就像大块头施瓦辛格一出现在电影镜头里就像终结者一样。 那么,作为内网安全的"终结者",堡垒机究竟是个什么模样...【详细内容】
2021-08-26  IT技术管理那些事儿    Tags:堡垒机   点击:(76)  评论:(0)  加入收藏
1、VMware Workstation Pro 16: https://download3.vmware.com/software/wkst/file/VMware-workstation-full-16.1.0-17198959.exe VMware Workstation Pro 15【建议】 ht...【详细内容】
2021-08-25  Kali与编程    Tags:虚拟机软件   点击:(71)  评论:(0)  加入收藏
很多小伙伴都想入行网络安全,因为网络安全高薪,未来发展前景好,但是不知道网络安全学习路线是什么样的?网络安全学多久能找工作?我们就来梳理一下。 网络安全虽然好上手,入门难度...【详细内容】
2021-08-23  知了堂    Tags:网络安全   点击:(72)  评论:(0)  加入收藏
入侵一些网站,电脑,制作一些病毒,学会多项编程,这是一个普通黑客都会的技能,那么真正黑客能厉害到什么程度呢?除了勒索病毒,熊猫烧香等自动感染的病毒被大家熟知外,还有更厉害的骚操...【详细内容】
2021-08-19  IT技术管理那些事儿    Tags:漏洞   点击:(66)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条