近日，《SDP標準規(guī)范1.0》正式發(fā)布。此規(guī)范由中國云安全聯盟(C-CSA)秘書處組織CSA大中華區(qū)SDP工作組專家進行翻譯，包括華云數據在內的多家企業(yè)代表與行業(yè)專家參與了本次《SDP標準規(guī)范1.0》的編寫工作。

2019年初，依托自己多年來在云計算安全領域技術的積累，華云數據正式加入中國云安全聯盟，成為聯盟理事單位。這與華云多年來堅持的“自主、安全、可控”的研發(fā)理念密不可分。

中國云安全聯盟（C-CSA）是CSA大中華區(qū)的合作伙伴，得到國務院和各部委認可，是中國第一個在安全行業(yè)全面對接國際產業(yè)和標準組織的非盈利性組織。C-CSA致力于將國際安全標準、技術、課程及優(yōu)秀實踐引入中國，服務中國企業(yè)，并協助網信辦、信安標委等機構將國內安全政策、安全標準和實踐成果介紹到國外，在國際上為中國安全發(fā)聲。

當前，隨著信息化的不斷深入，基于互聯網及各種專網部署的業(yè)務應用系統已非常普及，如何確保這些業(yè)務應用和數據的安全訪問是當前網絡安全的基礎性問題之一。但現有網絡條件下難以避免的各種先天缺陷和日趨復雜的應用場景，以及網絡協議自身的廣泛脆弱性和安全策略配置不嚴謹所帶來的安全隱患成為常態(tài)，一味地堵漏洞、打補丁、防病毒等被動式防御和局部式治理、增量式修復的防護策略，已不能適應多變的網絡安全形勢?；趥鹘y網絡安全模型、以邊界防護為核心的防護理念和措施也已不能滿足應用和數據保護的需求，需要建立強信任、強可控、強防護的全域安全。

軟件定義邊界（Software Defined Perimeter，SDP）作為新一代網絡安全解決理念，最早由云安全聯盟（CSA）于2013年提出，其整個中心思想是通過軟件的方式，在移動+云時代，構建起一個虛擬的企業(yè)邊界，利用基于身份的訪問控制，來應對邊界模糊化帶來的控制粒度粗、有效性差問題，以此達到保護企業(yè)數據安全的目的。經過多年發(fā)展，SDP技術在國際上越來越被廣泛應用，Google的BeyondCorp以及美國國防部、中情局都已經采用SDP軟件實現了安全辦公。

本次發(fā)布的《SDP標準規(guī)范1.0》描述了“軟件定義邊界(SDP)協議”，旨在提供按需、動態(tài)配置的安全隔離網絡。安全隔離網絡是與所有不安全網絡隔離的可信網絡，避免受到網絡攻擊。SDP 協議基于的工作流程 是由美國國防部(DoD)發(fā)明并被一些聯邦機構(Federal Agencies)使用?；谶@些工作流程的網絡提供了更高級別的安全性，但與傳統企業(yè)網絡相比，它們被認為非常難以使用。

軟件定義邊界(SDP)雖然基于廣義的 DoD 工作流程，但已為商業(yè)用途而將其修改，使其能與現有的企業(yè)安全控制兼容。在適用的情況下，SDP 遵循 NIST 關于加密協議的指南，SDP 可用于政府應用，例如安全訪FedRAMP 認證的云網絡以及企業(yè)應用程序，或實現對公有云的安全移動訪問。

《SDP標準規(guī)范1.0》報告包括以下內容：

一、SDP架構

SDP 的體系結構由兩部分組成:SDP 主機和 SDP 控制器。SDP 主機可以發(fā)起連接或接受連接。這些操作通過安全控制通道與 SDP 控制器交互來管理。 因此，在 SDP 中，控制平面與數據平面分離以實現完全可擴展的系統。 此外，為便于擴展與保證正常使用，所有組件都可以是多個實例的。

二、SDP工作流

三、SDP協議實現

客戶端—網關模型；客戶端—服務器模型；服務器—服務器模型；客戶端—服務器—客戶端模型。

四、SDP應用

企業(yè)應用隔離、私有云和混合云、軟件即服務（SaaS）、基礎設施即服務（IaaS）、平臺即服務（PaaS）。

五、SDP 協議

六、日志

七、SDP 標準規(guī)范

無論是一個企業(yè)、一個服務提供者、還是一個獨立的實踐者，這項研究都能夠給您帶來幫助。該文檔將提高您對與IaaS環(huán)境相關的特定網絡訪問所面臨的挑戰(zhàn)，并通過軟件定義邊界SDP來幫助您解決這些問題。

未來，華云數據將在堅持自主研發(fā)安全可控的產品技術，積極參加聯盟的安全技術標準的制定，在中國云安全聯盟的支持下開展國際網絡治理，探索與新一代云計算，人工智能，物聯網，區(qū)塊鏈，5G等新興技術的研究，并加強與聯盟、政府、合作伙伴的協同合作，在云時代加速前行，致力于為我國云計算安全貢獻力量。

zhangnn