一、零信任网络安全
近年来,国内信息与通信技术(ICT)发展迅速,各企业将新技术应用于商业环境,推动了其数字化应用与发展。与此同时,也出现了许多信息安全方面的问题,如用户信息泄露和盗用、病毒引起的数据丢失、外部攻击导致的业务停顿等,对企业和社会的发展产生了极大影响。确保企业日益复杂的IT系统能够长期、安全、可靠运转成为众多企业IT决策者面临的巨大挑战。另外,随着以《中华人民共和国网络安全法》颁布为标志的一系列法律法规及各类标准的推出,网络安全上升为重要国家战略。网络安全不仅是企业内部的问题,还是企业合法合规开展业务的重要内容。
随着云计算、大数据、移动互联网、物联网(IoT)、第五代移动通信(5G)等新技术的崛起,传统的网络安全架构难以适应时代发展需求,一场网络安全架构的技术革命正在悄然发生,其受到越来越多企业IT决策者的认可。
在传统安全理念中,企业的服务器和终端办公设备主要运行在内部网络中,因此,企业的网络安全主要围绕网络的“墙”建设,即基于边界防护。然而,物理安全边界有天然的局限性。随着云计算、大数据、移动互联网、物联网等技术的融入,企业不可能将数据局限在自己的内部网络中。例如,企业要上云,就不能将公有云装入自己的防火墙;企业要发展移动办公、物联网,防火墙却无法覆盖外部各角落;企业要拥抱大数据,就不可避免地要与合作伙伴进行数据交换。因此,传统安全边界模型在发展新技术的趋势下逐渐瓦解,在万物互联的新时代成为企业发展的障碍,企业需要建立新的网络安全模型。
在这样的时代背景下,基于零信任理念的新一代网络安全架构应运而生。它打破了传统安全边界,不再默认企业物理边界内的安全性,不再基于用户与设备在网络中的位置判断是否可信,而是始终验证用户的身份、设备的合法性及权限,即遵循“永不信任,始终校验(Never Trust,Always Verify)”的零信任理念。在零信任理念下,网络位置变得不再重要,其完全通过软件来定义企业的安全边界,“数据在哪里,安全就到哪里”。SDP依托自身优势成为解决新时代诸多安全问题的最佳选项,其安全性和易用性也通过大量企业的实践得到了验证。为了推进SDP技术在中国的落地,CSA(大中华区)于2019年成立SDP工作组。
本书基于SDP工作组的若干成果,对分散在不同文献中的理论与概念进行汇总和整理,自上而下地对SDP的完整架构进行详细介绍,并结合大量实践案例,为读者提供完整的软件定义边界技术架构指南。
(1)企业信息安全决策者。本书为企业信息安全决策者设计基于SDP的企业信息安全战略提供完整的技术指导和案例参考。
(2)信息安全、企业架构或安全合规领域的专业人员。本书将指导他们对SDP解决方案进行评估、设计、部署和运营。
(3)解决方案供应商、服务供应商和技术供应商将从本书提供的信息中获益。
(4)安全领域的研究人员。
(5)对SDP有兴趣并有志从事安全领域工作的人。
第1章对SDP的基本概念、主要功能等进行介绍。
第2章对SDP架构、工作原理、连接过程、访问控制及部署模式等进行介绍。
第3章对SDP架构的具体协议及日志进行介绍。
第4章对SDP架构部署模式及其适用场景进行介绍,为企业部署SDP架构做技术准备。
第5章对企业部署SDP需要考虑的问题、SDP与企业信息安全要素集成及SDP的应用领域进行介绍。
第6章对技术原理和IaaS使用场景进行分析与介绍,指导企业安全上云。
第7章通过展示SDP对DDoS攻击的防御机制,加强读者对SDP的认识和理解。
第8章介绍SDP对等保2.0各级要求的适用情况。通过对等保2.0的深入解读,展示如何通过SDP满足企业的等保2.0合规要求。
第9章对SDP战略规划与部署迁移方法进行介绍,在战略规划和部署迁移层面为企业提供指导。
第10章对NIST、Google、微软及Forrester的零信任架构与实现进行介绍。
第11章精选了国内主要的SDP和零信任实践案例,对其进行介绍。
(1)本书主要基于公有云的IaaS产品,如Amazon Web Services、Microsoft Azure、Google Compute Engine和Rackspace Public Cloud等。其相关用例和方法同样适用于私有化部署的IaaS,如基于VMware或OpenStack的私有云等。
(2)按照SDP规范实现商业化的厂商与没有严格按照SDP规范进行产品开发的厂商,在构建产品的过程中,有不同架构、方法和能力。本书对厂商保持中立并避免涉及与头部厂商相关的能力。如果有因为厂商能力产生的差异化案例,本书尽量使用“也许、典型的、通常”等词语来解释这些差异,避免减弱本书的可读性。
(3)高可用性和负载均衡不在本书的讨论范围内。
(4)SDP策略模型不在本书的讨论范围内。本书讨论的SDP用例和方法也适用于平台即服务(PaaS)。
(5)下列内容为引用文字。
零信任网络又称软件定义边界(SDP),是围绕某个应用或某组应用创建的基于身份和上下文的逻辑访问边界。应用是隐藏的,无法被发现,并且通过信任代理限制一组指定实体访问。在允许访问前,代理会验证指定访问者的身份、上下文和策略合规性。该机制将应用资源从公共视野中消除,从而显著缩小可攻击面。
(6)下列内容为数据包格式。
IP TCP AID(32位)密码(32位)计数器(64位)
(7)标题带有“JSON规范格式”字样的方框中的内容为JSON文件的标准格式。
JSON规范格式
{
“sid”:<256-bit IH Session ID>,
“seed”:<32-bit SPA seed>,
“counter”:<32-bit SPA counter>
[
“id”:<32-bit Service ID>
]
}
二、区块链原理
区块链是一种分布式共享记账的技术,它要做的事情就是让参与的各方能够在技术层面建立信任关系。
区块链可以大致分成两个层面,一是做区块链底层技术;二是做区块链上层应用,即基于区块链的改造、优化或者创新应用。
区块链的核心意义到底是什么,我们的理解是,区块链最核心的意义是参与方之间建立数据信用,通过单方面的对抗,在明确规定下打造单方面的生态共同保障完整机会,这是一个体系,这种建立可以结束没有区块链之前的问题,没有区块链之前,在数据共享的时候是无法做到有新的共享,即使做定向也只是给你一个接口,区块链有了以后,让参与方是实现信用的共享,欢迎关注兄弟连区块链学院。
三、微隔离安全原理
微隔离安全原理是:微隔离通过单个中央策略将安全性实施分配到每个单独的系统。微隔离仍然依靠传统的网络安全技术,例如访问控制网络。是专门为解决关键网络安全问题而设计的,可以降低风险并使安全性能够适应不断变化的IT环境。
提到微隔离,我们有必要先回顾一下零信任架构的概念。零信任是一个全新的安全机制和构想,即所有资产都必须先经过身份验证和授权,然后才能启动与另一资产的通信。
SDP是一种零信任实现框架,通过使用微隔离在资产之间创建信任关系,将零信任安全性概念应用于网络中。SDP可以作为有效的网络安全控制措施,使组织更能抵御传统的网络安全攻击。
因此,微隔离是基于SDP实现零信任架构的重要技术,但是与很多新兴技术一样,SDP也有很多实现方法和路径,不同的企业需要根据自身需求以及不同方法的优缺点来选择适合自己的道路。
需要重点指出的是,微隔离不仅是面向数据中心的技术。Cross说:“许多安全事件始于最终用户工作站,因为员工单击钓鱼链接,或者他们的系统受到其他方式的破坏。”从最初的感染点开始,攻击者可以流窜到整个企业网络。
他解释说:“微隔离平台应该能够通过单个控制台在数据中心,云工作负载和最终用户工作站上实施策略。”“它还应该能够阻止攻击在任何这些环境中的横向传播。”