《软件定义边界(SDP)标准规范2.0》.pdfVIP

© 2022 云安全联盟大中华区版权所有 2 目录 1. 介绍9 1.1 意义9 1.2 范围9 1.3 读者9 2. SDP 设计10 2.1 SDP 概念 11 2.2 SDP 的架构和组件 11 2.3 SDP 部署模型 14 2.4 SDP 工作流程 16 2.5 IH 加载流程示例19 2.6 单包授权(SPA)20 2.7 组件之间的传输层双向认证22 2.8 设备校验23 2.9 软件定义边界SDP 与物联网设备24 2.10 访问策略24 3. SDP 协议26 3.1 AH- 接受主机 控制器协议26 3.2 IH-控制器协议28 3.3 IH–AH 协议31 3.4 日志34 总结37 参考文献37 A SDP SDN NFV 附录 ： ， 和 39 B OSI/SDP 附录 ： 组件映射40 © 2022 云安全联盟大中华区版权所有 8 1. 介绍 软件定义边界(SDP)架构提供了动态灵活的网络安全边界部署能力，以在不安全网络上对应 用和服务进行隔离。SDP 提供了隔离的、按需的和动态配置的可信逻辑层，缓解来自企业内外 部的网络攻击。SDP 对未经授权实体进行资产隐藏，建立信任后才允许连接，并通过单独的控制 平面和数据平面管理整个系统。 企业借助 SDP，可以实现零信任安全的目标，并且建立有效性 和弹性的安全体系，从而摆脱传统 （且基本无效）的基于物理边界防御的模型。 1.1 意义 该规范是对国际云安全联盟CSA 的软件定义边界工作组 (SDP WG) 于 2014 年 4 月发布的 《软件定义边界 (SDP) 标准规范V1.0》 （以下简称“SDP v1”）的升级。 NPE Non-Person 尽管初版的规范是完整的，但没有充分讨论组件加载流程、保护 非人类实体（ 1 Entities）等方面的问题 。 此外，自 SDP v1 发布以来，SDP 架构得到业界广泛认可，并包含在 我们现在所说的零信任理念中。相比初版，本次修订版本的SDP 标准规范进行了扩展和加强（包 含对内容的添加、澄清和延展），并反映了当前最新的零信任行业状态。 值得一提的是，该修订版基于SDP 工作组发布的 SDP v1 及后期发布的其他文档进行修订， 特别是基于 《SDP 术语表》和 《SDP 架构指南》。 这两个文档的链接在本文的“参考文献”章节。 1.2 范围 该标准规范包含了 SDP 的架构组件、交互流程和基础安全通信协议，重点关注控制平面如 何在安全边界内授权安全连接，以及数据平面如何在在发起主机IH 和接受主机AH （服务器、设 备、服务）之间实现安全连接。 1.3 读者 本标准规范的目标受众是： • 在企业中部署零信任和SDP 产品的解决方案架构师和安全主管 • 在方案中使用SDP 架构实施零信任安全理念的供应商和技术提供商 1 非人类实体 （NPE）是一个具有数字身份的实体，在网络空间中行动，但不是人类行为者。这可以包括硬件设备、 软件应用和信息制品。 ©