基於邊界構築的安全防護體系
面對“雲化”開始失效
雲計算、移動互聯的快速發展,讓越來越多的企業開始嘗試將自身各類業務系統遷移至雲端。
隨著企業上雲,傳統的安全邊界變的越來越模糊,傳統基於固定邊界的防護方案已經開始失效無法工作,需要新的安全模型來應對企業上雲帶來的安全威脅。面對這一問題雲安全聯盟於2013年提出軟件定義邊界(Software Defined Perimeter, SDP)。2017年上海雲盾基於SDP及第一代雲安全防護成果推出首個下一代雲安全解決方案《隱身雲安全》,經過一年的實踐和打磨,已經成功落地商用,並且在持續探索更多的應用場景。
第一代雲安全
替身雲安全
替身雲安全是集中構建一整套安全能力和安全管理的資源池,用戶在“替身雲”裡暫時“隱藏”和“躲避”,從而解決身份、訪問、加密、應用、數據、內容等層面的安全問題。
目前這個領域裡有CASB、雲WAF、雲DDoS等典型方案,國內外知名廠商代表包括上海雲盾、cloudflare、incapsula等。
同時,各大傳統安全廠商也正在將自身傳統領域的優勢複製到雲安全領域,形成vFW,vDPI、vWAF、vDLP等統一安全資源池,集成到雲環境中。
上海雲盾的第一代雲安全歷經5年,經過數次大小版本的更新迭代,SAAS平臺累計註冊用戶8萬+,服務網站數量40萬+。抵禦1Tbps峰值DDOS,日均攔截6億+次攻擊。平臺底層具備海量資源快速調度、快速生效、用戶隔離等技術沉澱,團隊成員具備豐富的雲安全運營經驗。
公司圍繞用戶需求創新了多個功能模塊:比如政府網站最關心的內容安全,針對此問題,上海雲盾全球首創了網站快照功能,可對網站內容隨時復原,隨時切換版本,且可以分時分區對快照做訪問控制,理論上在敏感時期,源服務器可以完全關閉,而對外依然可以展現正常內容。該平臺在世界互聯網大會、G20、金磚五國等重大活動安保中發揮重要作用,得到眾多政府部門及客戶的好評。
下一代雲安全
隱身雲安全
不同於替身的概念,過去雖然為用戶構建了前端強健的替身資源,但是替身始終還是繞不開被動挨打問題,新的雲安全時代裡,如何才能真正化被動為主動?
安全技術在發展初期,對於邊界的安全防範主要是在網絡出口佈置硬件防火牆,隨著IT架構的變化,邊界越來越模糊,雲的租戶不滿足共用防火牆,希望得到更個性化的服務。軟件定義邊界SDP方案應運而生。
SDP架構核心採用預授權、預認證、預調度、可視化等幾項技術。
如上圖所示,SDP的大腦是SDP Controller(SDP控制器),在業務驅動的前提下,它在訪問者和資源之間建立動態和細粒度的“業務訪問隧道”。不同於傳統VPN隧道,SDP的隧道是按照業務需求來生成的,也就是說這是一種單包和單業務的訪問控制,SDP控制器建立的訪問規則只對被授權的用戶和服務開放,密鑰和策略也是動態和僅供單次使用的。
通過這種類似“白名單”的訪問控制形式,網絡中未被授權的陌生訪問在TCP鏈接建立階段就是完全被屏蔽和拒絕的,這種“臨時並單一”的訪問控制方式,將私有云資源對非法用戶完全屏蔽,便大大防止了門外“野蠻陌生人”對雲的暴力攻擊(如DDoS流量攻擊)、精準打擊(如APT高級持續威脅)、漏洞利用(如心臟出血漏洞)等,通過構建“暗黑網絡”來減小網絡的被攻擊面。
上海雲盾的SDP解決方案基於該理念框架,重新定義雲安全,打造萬物互聯、全民上雲時代下的安全連接、安全智能、安全賦能。
● 安全連接
基於可信簽名構建每個終端的“VPN隧道”,形成零信任網絡,拒絕了一切外部攻擊威脅。中心思想是企業不應自動信任內部或外部的任何人/事/物,所有授權前,應對任何試圖接入企業系統的人/事/物進行驗證。
● 安全智能
通過安全大腦,以人為安全中心,採用人工智能身份認證、攻擊欺騙等技術識別連接背後的人。同時構建了一個全新的安全邊界,動態變幻,迷惑攻擊者。
● 安全賦能
安全是企業發展的推動器,絕不該阻礙其發展。從早期的軟件防火牆,到網站安全加速雲,再到如今的下一代雲安全,上海雲盾一直致力於幫助企業安全高效地上雲,安全快速地連接。以業務為驅動,以人為安全中心,賦能企業及行業發展。
替身+隱身
兩大產品體系雙護航
在公司近10年的發展歷史中,上海雲盾積累深厚行業經驗,不斷進行技術創新,現已形成以替身安全+隱身安全的兩大產品理念,即將發佈的五星產品體系。
在老一代廠商依舊停留於替身雲安全時,上海雲盾已經率先邁入隱身雲安全時代,能夠滿足企業複雜的IT架構所面臨的高級安全威脅。
保護核心資產數據,構建可信安全網絡。
預約演示申請:https://yundun.jinshuju.com/f/ZjHlCG
閱讀更多 安在信息安全新媒體 的文章
