Especificación

Estandarización del protocolo

OpenNHP se está estandarizando a través del IETF y de la CSA para garantizar la interoperabilidad, la revisión de seguridad y la adopción a escala industrial.

La principal autoridad en seguridad en la nube

Especificación Zero Trust de CSA

La Cloud Security Alliance (CSA), la principal organización mundial en estándares de seguridad en la nube con más de 500 miembros corporativos, entre ellos AWS, Google, Microsoft y Alibaba, ha publicado una guía completa sobre «Stealth Mode SDP for Zero Trust Network Infrastructure» que introduce NHP.

📘

Stealth Mode SDP for Zero Trust Network Infrastructure

Documento Ver en CSA →
Organización Cloud Security Alliance (CSA)
Grupo de trabajo ZT5 - Pilar: redes (Zero Trust Research)
Autores principales Benfeng Chen, Justin Posey, Yuanyuan Liu
Colaboradores Michael Roza, Leon Zeng, Jason Garbis
Revisores Justin Bowen, George Chi, Xinpi Du, Philip Griffiths, Matias Katz, Prashant Khanwale, Vaibhav Malik, Dr. Victor Monga, Surendra Narang, Dharnisha Narasappa, Chinaza Obidike, Srinivasa Ravi Teja Peri, Venkataramana Ragothaman, Shashank Shelat, Jen Trahan, Washima Tuleun
Equipo de CSA Erik Johnson

Contenido del documento

  • Panorama de amenazas impulsadas por IA

    Análisis de amenazas de escaneo, reconocimiento y explotación de día cero impulsadas por IA

  • Arquitectura y flujo de trabajo de NHP

    Componentes principales (NHP-Agent, NHP-Server, NHP-AC) y flujo de trabajo completo del protocolo

  • Marco criptográfico

    Noise Protocol, formato de cabecera del mensaje y especificación de 18 tipos de mensaje

  • Guía de integración

    Patrones de integración con SDP, DNS y FIDO, con consideraciones de implementación

  • Registro y cumplimiento

    Tipos de registro, formato, transmisión y requisitos de auditoría de cumplimiento

«La visibilidad de red por defecto de TCP/IP ha facilitado gran parte de la actividad maliciosa actual. Dado nuestro panorama de amenazas y la adopción generalizada de Zero Trust como conjunto de principios y mejores prácticas, creemos que ahora tenemos el imperativo de orientar nuestras tecnologías de red principales hacia una postura de denegación por defecto, alineada con conceptos emergentes como la ciberseguridad preventiva de Gartner, que pone énfasis en denegar, engañar e interrumpir las amenazas antes de que puedan lanzarse o tener éxito.»
— Especificación Stealth Mode SDP de la CSA, Resumen
El organismo de estándares tras Internet

Internet-Draft del IETF

El Internet Engineering Task Force (IETF), la organización que definió TCP/IP, HTTP, TLS, DNS y prácticamente todos los protocolos básicos de Internet, está ahora estandarizando NHP. Con más de 9000 RFC publicadas, el IETF es la autoridad de referencia en estándares de protocolos de Internet.

📄

draft-opennhp-ztcpp-nhp

Estado Internet-Draft activo
Grupo de trabajo Zero Trust Control and Policy Protocol (ZTCPP)
Publicado 1 de enero de 2026
Autores Benfeng Chen
Documento Ver en el Datatracker del IETF →

Participe en la estandarización

Únase al esfuerzo de estandarización de NHP en el IETF. ¡Las contribuciones son bienvenidas!

Desarrollo de la RFC Lista de correo ZTCPP

Aspectos destacados de la especificación

🏗️

Arquitectura del protocolo

Define los componentes NHP-Agent, NHP-Server, NHP-AC y ASP, con una clara separación de responsabilidades para lograr escalabilidad y seguridad.

🔐

Marco criptográfico

Basado en el Noise Protocol Framework con los patrones de handshake XX, IK y K. Utiliza Curve25519, ChaCha20-Poly1305 y HKDF.

📦

Formatos de mensaje

Especificación completa de NHP-KNK (Knock), NHP-ACK, NHP-AOP, NHP-ACC y otros tipos de mensaje con codificación binaria.

🔗

Patrones de integración

Guía para integrarse con SDP, DNS, autenticación FIDO y motores de políticas Zero Trust.

Fundamento

Construido sobre estándares de la industria

NHP se basa en estándares y protocolos de seguridad consolidados y hace referencia a ellos.

📋

NIST SP 800-207

Directrices de arquitectura Zero Trust del National Institute of Standards and Technology.

🔒

RFC 8446 (TLS 1.3)

NHP complementa a TLS proporcionando autenticación previa a la conexión y ocultación del servicio.

RFC 9000 (QUIC)

NHP puede proteger servicios basados en QUIC con las mismas capacidades de ocultación que con TCP.

🔐

RFC 9180 (HPKE)

Hybrid Public Key Encryption, referenciado para escenarios avanzados de encapsulación de claves.

🎵

Noise Protocol Framework

La base criptográfica para los patrones de handshake y el intercambio de claves de NHP.

🏢

CSA SDP Spec v2.0

Especificación Software Defined Perimeter de Garbis, Koilpillai, Islam, Flores, Bailey, Chen et al. (marzo de 2022).

Contribuya a la estandarización de NHP

Ayude a dar forma al futuro de las redes Zero Trust. Revise la especificación, envíe comentarios y participe en el proceso del IETF.

Leer el borrador del IETF Contribuir en GitHub