等保2.0的解决方案，“零信任架构”SDP介绍

1、背景

今天在杭州跟一个金融客户交流网络安全方面的需求，结合他们公司的安全标准，给他们推荐了SDP产品。下面稍微给大家介绍下SDP产品的一些细节内容。

2019年底国家推出了《信息安全技术网络安全等级保护基本要求 GB/T 22239-2019》标准，也就是大家常说的“安全等级保护2.0”简称“等保2.0”，其中明确规定了降低互联网暴露面的要求。就是要求尽量减少暴露在互联网上的端口、IP地址等网络信息。从而降低政府、事业单位等被黑客攻击的风险。

2、SDP理念

随着信息安全行业中攻防技术的不断升级，安全攻防技术升级，世界范围内越来越多的安全公司开始将人工智能、机器学习、自然语言处理等技术运用到安全产品中，加强自己的安全防御能力。

随着互联网技术不断地发展，传统行业的信息化逐渐向移动化转变，使得企业信息、人员和服务等都与网络深度绑定，从过去相对独立、分散的网络转变为深度融合、相互依赖的整体。

随着企业的业务系统逐步迁移到云端，业务逐渐接入终端移动端，网络的架构更加复杂，使得传统的网络边界日益模糊。传统的安全边界不再坚固，企业网络架构转向“无边界”化。企业的网络安全也正遭受严重的威胁。常见的几种威胁：APT攻击、DDoS攻击、常见病毒攻击等。

3、SDP安全架构

SDP全称是Software Defined Perimeter，即软件定义边界，是由国际云安全联盟CSA于2013年提出的基于零信任(Zero Trust)理念的新一代网络安全技术架构。SDP的设计理念是“零信任”架构设计。就是对未取得安全策略认可的一切设备、信息都置为“不可信”，直至通过设置好的策略后取得信息后方可执行。零信任架构建议围绕业务系统创建一种以身份为中心的全新边界，而不是像VPN一样建立一条“基于网络边界的信任机制”。传统的VPN是以授权给每个人一个可供登录的账号密码，创建了一条加密的虚拟通道，直接连接到企业的内网。至于连接后在内网作了哪些操作动作以及是否存在违规风险操作是无法监控的。而SDP的理念是先由客户端发起一个连接请求，通过SPA（单包授权），首先接入到的是控制器服务，由控制器服务认证鉴权，认证通过后会将需要连接的内网地址、端口等下发给客户端，并且连接的隧道是加密的。通过认证后客户端才会知道真正自己要连接的内网服务器的IP和端口。在没有取得授权之前客户端是无法知道真正的内网接入的IP和端口的。

控制器的作用不只是认证授权，还会配置一系列的安全接入的策略。以账号密码等多因子认证，实现了“预认证”“预授权”并下发单次接入通道，下发“最小化权限原则”不会将所有内网的操作权限和资源都公开。后续会根据设定的安全策略，逐步地“持续信任评估”，如根据用户所处的网络环境、连接工具、常用的IP、操作习惯等因素判断信任程度。在零信任模型中，所有业务系统都隐藏在安全网关后面。

SDP的通信加密隧道可以采用临时密钥机制，周期性地更新认证的临时密钥，保障了加密隧道的安全性。并且数据在传输过程中使用密钥签名，可以有效地防止在传输过程中被黑客模拟篡改，数据一旦校验失败，SDP安全网络会丢弃异常的数据包。一般的SDP隧道的数据以UDP包形式传输，一旦被丢弃会自动重发。数据包传输成功后会动态变更请求头信息，做到防重放攻击，即使黑客拿到了之前的正确请求消息并向隧道重放请求，安全网关也会自动丢弃。

SDP架构设计图

4.CZSP 认证

2020年国际云安全联盟大中华区组织了第一届的CZSP的专业认证考试，通过考试的人员授予国际认可的证书。

5.SDP产品

各个厂商的SDP产品实现的逻辑大不相同，有的是基于已有的VPN技术改造，如：深信服，有的基于简单的零信任理念设计，如：安恒、华安网信、深云互联、指掌易、易安联、联软等

这里只是简单的讲解了下SDP的原理及相关的一些信息，具体细节的技术和问题，如果大家有兴趣可以留言讨论或者私信单聊。