Ciberseguridad de confianza cero

En los últimos años, las tecnologías de la información y las comunicaciones (TIC) nacionales se han desarrollado rápidamente, y las empresas han aplicado las nuevas tecnologías al entorno empresarial, impulsando su aplicación y desarrollo digital. Al mismo tiempo, han surgido muchos problemas de seguridad de la información, como fugas y robo de información de los usuarios, pérdida de datos causada por virus, suspensión de negocios causada por ataques externos, etc., que han tenido un gran impacto en el desarrollo de las empresas y la sociedad. . Garantizar que los sistemas de TI cada vez más complejos de las empresas puedan operar de manera segura y confiable a largo plazo se ha convertido en un enorme desafío al que se enfrentan muchos tomadores de decisiones de TI en las empresas. Además, con la introducción de una serie de leyes, regulaciones y diversos estándares marcados por la promulgación de la “Ley de Ciberseguridad de la República Popular China”, la seguridad de las redes se ha convertido en una importante estrategia nacional. La ciberseguridad no es sólo una cuestión interna dentro de la empresa, sino también una parte importante de las operaciones comerciales legales y de cumplimiento de la empresa.

Con el auge de nuevas tecnologías como la computación en la nube, big data, Internet móvil, Internet de las cosas (IoT) y las comunicaciones móviles de quinta generación (5G), es difícil adaptarse a la arquitectura de seguridad de red tradicional. Las necesidades de desarrollo de los tiempos. La revolución tecnológica de la arquitectura de seguridad de red se está produciendo silenciosamente y es reconocida por cada vez más tomadores de decisiones de TI empresariales.

En el concepto de seguridad tradicional, los servidores y equipos de la oficina terminal de una empresa se ejecutan principalmente en la red interna. Por lo tanto, la seguridad de la red de la empresa gira principalmente en torno a la construcción del "muro" de la red, es decir, basado en la protección de fronteras. Sin embargo, los límites de seguridad física tienen limitaciones inherentes. Con la integración de la computación en la nube, big data, Internet móvil, Internet de las cosas y otras tecnologías, es imposible para las empresas limitar los datos a sus propias redes internas. Por ejemplo, si una empresa quiere ir a la nube, no puede instalar la nube pública en su propio firewall; si una empresa quiere desarrollar una oficina móvil y el Internet de las cosas, el firewall no puede cubrir todos los rincones externos; Para adoptar big data, inevitablemente tendrá que cooperar con sus socios en el intercambio de datos. Por lo tanto, el modelo tradicional de límites de seguridad se está desintegrando gradualmente con la tendencia del desarrollo de nuevas tecnologías. En la nueva era de Internet de todo, se ha convertido en un obstáculo para el desarrollo empresarial.

En este contexto, surgió una nueva generación de arquitectura de seguridad de red basada en el concepto de confianza cero. Rompe los límites de seguridad tradicionales y ya no utiliza de forma predeterminada la seguridad dentro de los límites físicos de la empresa. Ya no juzga si los usuarios y los dispositivos son confiables en función de su ubicación en la red. En cambio, siempre verifica la identidad del usuario. legalidad y permisos del dispositivo, es decir, seguir el concepto de confianza cero de “Nunca confíes, siempre verifica”. Bajo el concepto de confianza cero, la ubicación de la red ya no importa y los límites de seguridad de la empresa están completamente definidos a través del software "Donde están los datos, hay seguridad". Basándose en sus propias ventajas, SDP se ha convertido en la mejor opción para resolver muchos problemas de seguridad en la nueva era. Su seguridad y facilidad de uso también se han verificado a través de la práctica de una gran cantidad de empresas. Para promover la implementación de la tecnología SDP en China, CSA (Gran China) estableció el grupo de trabajo SDP en 2019.

Basado en varios logros del grupo de trabajo SDP, este libro resume y organiza las teorías y conceptos dispersos en diferentes literaturas, presenta la arquitectura completa de SDP en detalle de arriba a abajo y la combina con una gran Número de casos prácticos, que proporcionan a los lectores una guía completa sobre la arquitectura de tecnología de límites definida por software.

(1) Tomadores de decisiones sobre seguridad de la información empresarial. Este libro proporciona orientación técnica completa y referencias de casos para que los tomadores de decisiones en materia de seguridad de la información empresarial diseñen estrategias de seguridad de la información empresarial basadas en SDP.

(2) Profesionales en los campos de la seguridad de la información, la arquitectura empresarial o el cumplimiento de la seguridad. Este libro los guiará en la evaluación, diseño, implementación y operación de soluciones SDP.

(3) Los proveedores de soluciones, proveedores de servicios y proveedores de tecnología se beneficiarán de la información proporcionada en este libro.

(4) Investigadores en el campo de la seguridad.

(5) Personas que estén interesadas en SDP y estén interesadas en trabajar en el campo de la seguridad.

El Capítulo 1 presenta los conceptos básicos y las funciones principales de SDP.

El Capítulo 2 presenta la arquitectura SDP, el principio de funcionamiento, el proceso de conexión, el control de acceso y el modo de implementación.

El Capítulo 3 presenta los protocolos y registros específicos de la arquitectura SDP.

El Capítulo 4 presenta el modo de implementación de la arquitectura SDP y sus escenarios aplicables para realizar preparativos técnicos para que las empresas implementen la arquitectura SDP.

El Capítulo 5 presenta las cuestiones que las empresas deben considerar al implementar SDP, la integración de SDP y elementos de seguridad de la información empresarial, y los campos de aplicación de SDP.

El Capítulo 6 analiza e introduce principios técnicos y escenarios de uso de IaaS para guiar a las empresas en la migración segura a la nube.

El Capítulo 7 mejora el conocimiento y la comprensión de los lectores sobre SDP al demostrar el mecanismo de defensa de SDP contra ataques DDoS.

El Capítulo 8 presenta la aplicación de los requisitos de Protección Reciproca 2.0 del SDP en todos los niveles. A través de una interpretación en profundidad de MLPS 2.0, muestra cómo cumplir con los requisitos de cumplimiento de MLPS 2.0 de la empresa a través de SDP.

El Capítulo 9 presenta el método de migración de implementación y planificación estratégica de SDP y proporciona orientación para las empresas en los niveles de migración de implementación y planificación estratégica.

El Capítulo 10 presenta la arquitectura de confianza cero y la implementación de NIST, Google, Microsoft y Forrester.

El Capítulo 11 selecciona los principales casos de prácticas nacionales de SDP y confianza cero y los presenta.

(1) Este libro se basa principalmente en productos IaaS de nube pública, como Amazon Web Services, Microsoft Azure, Google Compute Engine y Rackspace Public Cloud, etc. Sus casos de uso y métodos relacionados también son aplicables a IaaS implementadas de forma privada, como nubes privadas basadas en VMware u OpenStack.

(2) Los fabricantes que implementan la comercialización de acuerdo con las especificaciones SDP y los fabricantes que no siguen estrictamente las especificaciones SDP para el desarrollo de productos tienen diferentes arquitecturas, métodos y capacidades en el proceso de construcción de productos. Este libro se mantiene neutral respecto a los proveedores y evita mencionar capacidades relacionadas con los principales proveedores. Si hay casos diferenciados debido a las capacidades del fabricante, este libro intentará utilizar palabras como "tal vez, típico, generalmente" para explicar estas diferencias y evitar debilitar la legibilidad del libro.

(3) La alta disponibilidad y el equilibrio de carga están más allá del alcance de este libro.

(4) El modelo de estrategia SDP está más allá del alcance de este libro. Los casos de uso y métodos de SDP que se analizan en este libro también se aplican a la plataforma como servicio (PaaS).

(5) El siguiente contenido es texto citado.

La red de confianza cero, también conocida como perímetro definido por software (SDP), es un límite de acceso lógico basado en la identidad y el contexto creado alrededor de una aplicación o un grupo de aplicaciones. La aplicación está oculta al descubrimiento y restringe el acceso a un conjunto específico de entidades a través de un proxy de confianza. El agente verifica la identidad, el contexto y el cumplimiento de la política de un visitante determinado antes de permitir el acceso. Este mecanismo elimina los recursos de la aplicación de la vista pública, lo que reduce significativamente la superficie de ataque.

(6) El siguiente contenido es el formato del paquete de datos.

IP TCP AID (32 bits) Contraseña (32 bits) Contador (64 bits)

(7) El contenido del cuadro con las palabras "Formato de especificación JSON" en el título es el formato estándar para archivos JSON.

Formato de especificación JSON

{

"sid": lt; ID de sesión IH de 256 bits>,

"seed": lt;semilla SPA de 32 bits;,

"contador": lt;contador SPA de 32 bits;

[

"id": lt;32 -bit ID de servicio;

]

}