CSA Zero-Trust-Spezifikation
Die Cloud Security Alliance (CSA) – die weltweit führende Organisation für Cloud-Sicherheitsstandards mit über 500 Unternehmensmitgliedern, darunter AWS, Google, Microsoft und Alibaba – hat einen umfassenden Leitfaden mit dem Titel „Stealth Mode SDP for Zero Trust Network Infrastructure" veröffentlicht, in dem NHP vorgestellt wird.
Stealth Mode SDP for Zero Trust Network Infrastructure
Inhalt des Dokuments
- ✓KI-gestützte Bedrohungslandschaft
Analyse KI-gestützter Scans, Aufklärung und Zero-Day-Ausnutzung
- ✓NHP-Architektur & Ablauf
Kernkomponenten (NHP-Agent, NHP-Server, NHP-AC) und vollständiger Protokollablauf
- ✓Kryptografisches Framework
Noise Protocol, Nachrichtenkopfformat und Spezifikation von 18 Nachrichtentypen
- ✓Integrationsleitfaden
Integrationsmuster für SDP, DNS und FIDO mit Hinweisen zur Implementierung
- ✓Logging & Compliance
Log-Typen, Format, Übertragung und Anforderungen an Compliance-Auditing
„Die standardmäßige Netzwerksichtbarkeit von TCP/IP hat einen Großteil der heutigen schädlichen Aktivitäten ermöglicht. Angesichts der aktuellen Bedrohungslage und der breiten Verbreitung von Zero Trust als Sammlung von Prinzipien und Best Practices glauben wir, dass wir jetzt verpflichtet sind, unsere Kern-Netzwerktechnologien auf eine Default-Deny-Haltung umzustellen – eine, die mit neuen Konzepten wie Gartners präemptiver Cybersicherheit übereinstimmt, bei der es darum geht, Bedrohungen zu verweigern, zu täuschen und zu stören, bevor sie starten oder Erfolg haben können."— CSA Stealth Mode SDP Specification, Abstract
IETF Internet-Draft
Die Internet Engineering Task Force (IETF) – die Organisation, die TCP/IP, HTTP, TLS, DNS und praktisch jedes Kern-Internetprotokoll definiert hat – standardisiert nun NHP. Mit über 9.000 veröffentlichten RFCs ist die IETF die oberste Autorität für Internet-Protokollstandards.
draft-opennhp-ztcpp-nhp
Beteiligen Sie sich an der Standardisierung
Beteiligen Sie sich an der IETF-NHP-Standardisierung. Beiträge willkommen!
Höhepunkte der Spezifikation
Protokollarchitektur
Definiert die Komponenten NHP-Agent, NHP-Server, NHP-AC und ASP mit klarer Trennung der Zuständigkeiten für Skalierbarkeit und Sicherheit.
Kryptografisches Framework
Basiert auf dem Noise Protocol Framework mit den Handshake-Mustern XX, IK und K. Verwendet Curve25519, ChaCha20-Poly1305 und HKDF.
Nachrichtenformate
Vollständige Spezifikation von NHP-KNK (Knock), NHP-ACK, NHP-AOP, NHP-ACC und weiteren Nachrichtentypen mit binärer Kodierung.
Integrationsmuster
Leitfaden zur Integration mit SDP, DNS, FIDO-Authentifizierung und Zero-Trust-Policy-Engines.
Auf Industriestandards aufgebaut
NHP baut auf etablierten Sicherheitsstandards und -protokollen auf und verweist auf sie.
NIST SP 800-207
Leitlinien zur Zero-Trust-Architektur vom National Institute of Standards and Technology.
RFC 8446 (TLS 1.3)
NHP ergänzt TLS, indem es Authentifizierung vor dem Verbindungsaufbau und Dienst-Verbergung bietet.
RFC 9000 (QUIC)
NHP kann QUIC-basierte Dienste mit denselben Verbergungsfähigkeiten wie TCP schützen.
RFC 9180 (HPKE)
Hybrid Public Key Encryption, referenziert für fortgeschrittene Szenarien der Schlüsselverkapselung.
Noise Protocol Framework
Die kryptografische Grundlage für die Handshake-Muster und den Schlüsselaustausch von NHP.
CSA SDP Spec v2.0
Software-Defined-Perimeter-Spezifikation von Garbis, Koilpillai, Islam, Flores, Bailey, Chen u. a. (März 2022).
Zur NHP-Standardisierung beitragen
Helfen Sie, die Zukunft des Zero-Trust-Netzwerks zu gestalten. Prüfen Sie die Spezifikation, reichen Sie Feedback ein und beteiligen Sie sich am IETF-Prozess.