联软科技零信任UniSDP安全接入方案.pptxVIP

互联网接入安全解决方案联软科技零信任UniSDP安全接入方案构建可控的互联世界联软科技

contents目录1安全形势与发展34SDP落地步骤及建设要素联软UniSDP适用场景5案例分享2联软UniSDP解决方案

零信任发展及实践

数字化转型导致边界模糊化物理边界移动办公合作伙伴云IoT/OT物理边界传统网络边界扩大用户多样化设备多样化平台多样化业务多样化

传统网络安全边界防护体系问题频发物理边界外部威胁内部威胁内网完全受信，内部人员不设防，“内鬼”有可乘之机。（IT删库跑路事件频出）传统的办公网安全架构通过网络位置来划分“信任区域”，基于“信任区域”的传统安全架构存在天然的缺陷。外部易渗透、内部不设防终端设备同时连接内网和互联网，很容易遭受钩鱼攻击，成为勒索、挖矿的攻击跳板，突破边界后，由于内网不再做严格的物理隔离，威胁横向肆意扩散。

ввввForrester分析师约翰.金德维格正式提出零信任概念2010年：2013年CSA成立软件定义边界SDP工作组，次年发布SDP标准规范1.02013年：Gartner在安全与风险管理峰会上发布CARTA模型并提出零信任是实现CARTA宏图的初始步骤2017年：美国国家标准与技术研究院（NIST）发布SP800-207:ZeroTrustArchitecture零信任体系结构正式版本2020年：ввв联软科技孵化软件定义边界系统2018年：联软科技正式发布UniSDP2019年：发布统一终端安全访问零信任解决方案。2020年：вввв零信任发展路线与联软实践GoogleBeyondCorp实施落地，2014年陆续发布6篇相关论文介绍其零信任真正落地实践，从此众多公司纷纷效仿2011-2017年：零信任架构的核心理念：以身份为中心，先认证，后连接从不信任，总是校验；持续风险信任评估；动态访问控制；SDP入选信通院安全产业白皮书2019年：联软科技推出基于RBAC技术的NAC；提出TDNA（可信数字网络架）理念；发布基于零信任理念的EMM产品；2004-2017年：

零信任理念的三大技术实践

零信任最佳落地实践技术-SDP软件定义边界CSO最应投入的十大安全项目Gartner2018年2023年2023年淘汰VPN，替换为ZTNAZTNA的其他应用基于ZTNA构建生态圈业务应用Gartner2019MarketGuideforZeroTrustNetworkAccess2022年80%40%60%提出SDP定义2013年CSASDP目标SDP的中心思想是通过软件的方式，在移动+云时代，构建起一个虚拟的企业边界，利用基于身份的访问控制，来应对边界模糊化带来的控制粒度粗、有效性差问题，以此达到保护企业数据安全的目的Gartner定义中SDP等同于ZTNA

零信任最佳落地实践技术-SDP软件定义边界云安全联盟（CSA）于2013年首次提出基于零信任理念的新一代网络安全模型：SDP2017/2018Gartner十大安全技术Gartner提出零信任是实现CARTA宏图的初始步骤Gartner预测SDP入选信通院安全产业白皮书Gartner定义中SDP等同于ZTNA

SDP架构及核心原则网络隐身InformationHiding隐藏服务器地址、端口，使之不被扫描发现预验证Pre-authentication在连接服务器之前，先验证用户和设备的合法性预授权Pre-authorization用户只能看到被授权访问的应用(最小权限原则)应用级的访问准入ApplicationLayerAccess用户只有应用层的访问权限，无网络级的访问扩展性Extensibility基于标准协议，可以方便与其它安全系统集成12345云服务器内网服务器软件定义边界架构模型（SDP）SDP连接接受主机（网关）SDP控制器SDP连接发起主机（客户端）SDP连接接受主机（网关）控制平面：数据平面：

SDP如何打断攻击链搜寻目标弱点，如登录入口或暴露面使用漏洞和后门制作可发送的武器载体将网络武器包向目标投递在受害者的系统上运行利用代码在目标位置安装恶意软件为攻击者建立可远程控制目标系统的路径攻击者远程操作其预期目标安装植入弱点利用载荷投放武器构建侦查操作目标命令与控制极大收敛暴露面控制平面与数据平面分离服务隐身SPA单包授权你不能攻击你看不见的系统极大提高攻击者成本抗DOSToken、流量加密、应用分段与隔离、客户端持续动态设备验证、访问行为可视、实时事件响应，贯穿整个零信任模型的按需授权和最小权限原则可以有效限制攻击者在行动阶段的活动。14年-16年，CSA共组织了4次黑客大赛公开所有信息的前提下，被攻击千万次