共计 2235 个字符,预计需要花费 6 分钟才能阅读完成。
近年来,国内信息与通信技术(ICT)倒退迅速,各企业将新技术利用于商业环境,推动了其数字化利用与倒退。与此同时,也呈现了许多信息安全方面的问题,如用户信息泄露和盗用、病毒引起的数据失落、内部攻打导致的业务进展等,对企业和社会的倒退产生了极大影响。确保企业日益简单的 IT 零碎可能长期、平安、牢靠运行成为泛滥企业 IT 决策者面临的微小挑战。另外,随着以《中华人民共和国网络安全法》颁布为标记的一系列法律法规及各类规范的推出,网络安全回升为重要国家策略。网络安全不仅是企业外部的问题,还是企业非法合规开展业务的重要内容。
随着云计算、大数据、挪动互联网、物联网(IoT)、第五代挪动通信(5G)等新技术的崛起,传统的网络安全架构难以适应时代倒退需要,一场网络安全架构的技术反动正在悄悄产生,其受到越来越多企业 IT 决策者的认可。
在传统平安理念中,企业的服务器和终端办公设备次要运行在外部网络中,因而,企业的网络安全次要围绕网络的“墙”建设,即基于边界防护。然而,物理平安边界有人造的局限性。随着云计算、大数据、挪动互联网、物联网等技术的融入,企业不可能将数据局限在本人的外部网络中。例如,企业要上云,就不能将私有云装入本人的防火墙;企业要倒退挪动办公、物联网,防火墙却无奈笼罩内部各角落;企业要拥抱大数据,就不可避免地要与合作伙伴进行数据交换。因而,传统平安边界模型在倒退新技术的趋势下逐步瓦解,在万物互联的新时代成为企业倒退的阻碍,企业须要建设新的网络安全模型。
在这样的时代背景下,基于零信赖理念的新一代网络安全架构应运而生。它突破了传统平安边界,不再默认企业物理边界内的安全性,不再基于用户与设施在网络中的地位判断是否可信,而是始终验证用户的身份、设施的合法性及权限,即遵循“永不信赖,始终校验(Never Trust,Always Verify)”的零信赖理念。在零信赖理念下,网络地位变得不再重要,其齐全通过软件来定义企业的平安边界,“数据在哪里,平安就到哪里”。SDP 依靠本身劣势成为解决新时代诸多平安问题的最佳选项,其安全性和易用性也通过大量企业的实际失去了验证。为了推动 SDP 技术在中国的落地,CSA(大中华区)于 2019 年成立 SDP 工作组。
本书基于 SDP 工作组的若干成绩,对扩散在不同文献中的实践与概念进行汇总和整顿,自上而下地对 SDP 的残缺架构进行具体介绍,并联合大量实际案例,为读者提供残缺的软件定义边界技术架构指南。
1. 本书面向的读者
(1)企业信息安全决策者。本书为企业信息安全决策者设计基于 SDP 的企业信息安全策略提供残缺的技术领导和案例参考。
(2)信息安全、企业架构或平安合规畛域的业余人员。本书将领导他们对 SDP 解决方案进行评估、设计、部署和经营。
(3)解决方案供应商、服务供应商和技术供应商将从本书提供的信息中获益。
(4)平安畛域的钻研人员。
(5)对 SDP 有趣味并有志从事平安畛域工作的人。
2. 本书的次要内容
第 1 章对 SDP 的基本概念、次要性能等进行介绍。
第 2 章对 SDP 架构、工作原理、连贯过程、访问控制及部署模式等进行介绍。
第 3 章对 SDP 架构的具体协定及日志进行介绍。
第 4 章对 SDP 架构部署模式及其实用场景进行介绍,为企业部署 SDP 架构做技术筹备。
第 5 章对企业部署 SDP 须要思考的问题、SDP 与企业信息安全因素集成及 SDP 的应用领域进行介绍。
第 6 章对技术原理和 IaaS 应用场景进行剖析与介绍,领导企业平安上云。
第 7 章通过展现 SDP 对 DDoS 攻打的防御机制,增强读者对 SDP 的意识和了解。
第 8 章介绍 SDP 对等保 2.0 各级要求的实用状况。通过对等保 2.0 的深刻解读,展现如何通过 SDP 满足企业的等保 2.0 合规要求。
第 9 章对 SDP 战略规划与部署迁徙办法进行介绍,在战略规划和部署迁徙层面为企业提供领导。
第 10 章对 NIST、Google、微软及 Forrester 的零信赖架构与实现进行介绍。
第 11 章精选了国内次要的 SDP 和零信赖实际案例,对其进行介绍。
3. 本书遵循的约定
(1)本书次要基于私有云的 IaaS 产品,如 Amazon Web Services、Microsoft Azure、Google Compute Engine 和 Rackspace Public Cloud 等。其相干用例和办法同样实用于私有化部署的 IaaS,如基于 VMware 或 OpenStack 的公有云等。
(2)依照 SDP 标准实现商业化的厂商与没有严格依照 SDP 标准进行产品开发的厂商,在构建产品的过程中,有不同架构、办法和能力。本书对厂商保持中立并防止波及与头部厂商相干的能力。如果有因为厂商能力产生的差异化案例,本书尽量应用“兴许、典型的、通常”等词语来解释这些差别,防止削弱本书的可读性。
(3)高可用性和负载平衡不在本书的探讨范畴内。
(4)SDP 策略模型不在本书的探讨范畴内。本书探讨的 SDP 用例和办法也实用于平台即服务(PaaS)。
(5)下列内容为援用文字。
零信赖网络又称软件定义边界(SDP),是围绕某个利用或某组利用创立的基于身份和上下文的逻辑拜访边界。利用是暗藏的,无奈被发现,并且通过信赖代理限度一组指定实体拜访。在容许拜访前,代理会验证指定访问者的身份、上下文和策略合规性。该机制将利用资源从公共视线中打消,从而显著放大可攻击面。
(6)下列内容为数据包格局。
IP TCP AID(32 位)明码(32 位)计数器(64 位)
(7)题目带有“JSON 标准格局”字样的方框中的内容为 JSON 文件的规范格局。
