零信任网络安全――软件定义边界SDP技术架构指南

第1章 软件定义边界（SDP）概述 1 1.1 变化的边界 1 1.2 零信任理念的起源与发展 2 1.3 国家政策引导 4 1.4 SDP的基本概念 5 1.5 SDP的主要功能 7 1.6 零信任网络和SDP 8 1.6.1 为什么需要零信任网络和SDP 8 1.6.2 零信任网络和SDP能解决的问题 10 1.7 SDP与十二大安全威胁 11 1.8 SDP的商业与技术优势 13 第2章 SDP架构 15 2.1 SDP架构的构成 15 2.2 单包授权（SPA） 16 2.2.1 SPA模型 16 2.2.2 SPA的优势 17 2.2.3 SPA的局限 18 2.3 SDP的工作原理 18 2.4 请求与验证过程 19 2.5 访问控制 20 2.6 部署模式 21 第3章 SDP协议 22 3.1 基本信息 22 3.2 AH―控制器协议 24 3.3 IH―控制器协议 27 3.4 动态通道模式下的IH―AH协议 30 3.5 SDP与VPN的差异 32 3.6 SDP日志 33 第4章 SDP架构部署模式 36 4.1 客户端―网关模式 36 4.2 客户端―服务器模式 37 4.3 服务器―服务器模式 39 4.4 客户端―服务器―客户端模式 40 4.5 客户端―网关―客户端模式 41 4.6 网关―网关模式 42 4.7 各模式适用场景 42 第5章 SDP应用场景 45 5.1 部署SDP需要考虑的问题 45 5.2 SDP与企业信息安全要素集成 46 5.3 SDP的应用领域 56 5.3.1 具有分支机构的企业 57 5.3.2 多云企业 57 5.3.3 具有外包服务人员和访客的企业 58 5.3.4 跨企业协作 59 5.3.5 具有面向公众的服务的企业 60 5.3.6 SDP的适用场景 60 第6章 SDP帮助企业安全上云 62 6.1 IaaS安全概述 62 6.2 技术原理 63 6.2.1 IaaS参考架构 63 6.2.2 IaaS的安全性更复杂 64 6.2.3 安全要求和传统安全工具 66 6.2.4 SDP的作用 70 6.2.5 SDP的优势 71 6.3 IaaS应用场景 72 6.3.1 开发人员安全访问IaaS环境 72 6.3.2 业务人员安全访问在IaaS环境中运行的企业应用系统 76 6.3.3 安全管理面向公众的服务 81 6.3.4 在创建新的服务器实例时更新用户访问权限 83 6.3.5 访问服务供应商的硬件管理平台 86 6.3.6 通过多企业账号控制访问 88 6.4 混合云和多云环境 89 6.5 替代计算模型和SDP 89 6.6 容器和SDP 90 第7章 SDP防分布式拒绝服务（DDoS）攻击 91 7.1 DDoS和DoS攻击的定义 91 7.2 DDoS攻击向量 92 7.3 SDP是DDoS攻击的防御机制 95 7.4 HTTP泛洪攻击与SDP防御 97 7.5 TCP SYN泛洪攻击与SDP防御 98 7.6 UDP反射攻击与SDP防御 99 7.7 网络层次结构与DDoS攻击 100 7.7.1 网络层次结构 100 7.7.2 针对Memcached的大规模攻击 102 第8章 SDP满足等保2.0要求 104 8.1 等保2.0 104 8.2 SDP与等保2.0的五项要求 105 8.2.1 安全通用要求 105 8.2.2 云计算安全扩展要求 106 8.2.3 移动互联安全扩展要求 107 8.2.4 物联网安全扩展要求 108 8.2.5 工业控制系统安全扩展要求 109 8.3 SDP满足等保2.0**级要求 111 8.4 SDP满足等保2.0第二级要求 112 8.5 SDP满足等保2.0第三级要求 124 8.6 SDP满足等保2.0第四级要求 141 第9章 SDP战略规划与部署迁移 160 9.1 安全综述 160 9.1.1 战略意义 160 9.1.2 确定战略的实施愿景 163 9.2 制订战略行动计划 165 9.2.1 规划先行的目的 165 9.2.2 零信任成熟度模型 166 9.3 战略实施方针和概念验证 171 9.4 实施零信任战略 176 9.5 部署迁移 177 第10章 其他零信任架构 180 10.1 NIST的零信任架构 180 10.1.1 零信任相关概念 180 10.1.2 零信任架构及逻辑组件 184 10.1.3 零信任架构的常见方案 186 10.1.4 抽象架构的常见部署方式 187 10.1.5 信任算法 191 10.1.6 网络与环境组件 193 10.1.7 与零信任架构相关的威胁 194 10.1.8 零信任架构及与现有指引的相互作用 197 10.1.9 迁移到零信任架构 200 10.1.10 当前的零信任技术水平 204 10.2 Google的BeyondCorp 210 10.2.1 BeyondCorp概述 210 10.2.2 802.1x 213 10.2.3 前端架构（访问代理） 214 10.2.4 部署 219 10.2.5 迁移 221 10.2.6 关注用户体验 226 10.2.7 挑战与经验 232 10.3 微软的零信任安全模型 235 10.3.1 微软的零信任安全模型 236 10.3.2 简化参考架构 237 10.3.3 零信任成熟度模型 237 10.3.4 零信任架构的部署 238 10.4 Forrester的零信任架构 239 第11章 SDP和零信任实践案例 241 11.1 奇安信：零信任安全解决方案在大数据中心的实践案例 241 11.1.1 安全挑战 241 11.1.2 部署 242 11.2 云深互联：SDP在电信运营领域的实践案例 243 11.2.1 需求分析 243 11.2.2 深云SDP解决方案 244 11.2.3 部署 246 11.2.4 实施效果 246 11.3 深信服：基于零信任理念的精益信任安全访问架构 247 11.3.1 身份管理 247 11.3.2 优秀实践 248 11.4 360：SDP在360安全大脑中的设计和考虑 251 11.4.1 360安全大脑 252 11.4.2 SDP如何在360安全大脑中落地 252 11.5 绿盟科技：零信任安全解决方案 253 11.5.1 企业数字化转型的安全挑战 253 11.5.2 零信任安全解决方案 253 11.5.3 解决方案组件 254 11.5.4 零信任安全解决方案的访问流程 255 11.5.5 零信任安全解决方案的实施效果 256 11.6 缔盟云：SDP和零信任在防DDoS攻击方面的实践 256 11.6.1 遵循SDP和零信任原则 257 11.6.2 产品优势 258 11.7 上海云盾：基于SDP和零信任的云安全实践―端安全加速 258 11.7.1 核心模块 259 11.7.2 端安全加速的应用场景 260 11.8 缔安科技：SDP解决方案在金融企业中的应用 261 11.8.1 客户需求 261 11.8.2 解决方案 262 11.9 安几科技：天域SDP解决方案 263 11.9.1 背景 263 11.9.2 描述 264 参考文献 266 附录A 缩写 269 附录B 术语 276