基于边界构筑的安全防护体系
面对“云化”开始失效
云计算、移动互联的快速发展,让越来越多的企业开始尝试将自身各类业务系统迁移至云端。
随着企业上云,传统的安全边界变的越来越模糊,传统基于固定边界的防护方案已经开始失效无法工作,需要新的安全模型来应对企业上云带来的安全威胁。面对这一问题云安全联盟于2013年提出软件定义边界(Software Defined Perimeter, SDP)。2017年上海云盾基于SDP及第一代云安全防护成果推出首个下一代云安全解决方案《隐身云安全》,经过一年的实践和打磨,已经成功落地商用,并且在持续探索更多的应用场景。
第一代云安全
替身云安全
替身云安全是集中构建一整套安全能力和安全管理的资源池,用户在“替身云”里暂时“隐藏”和“躲避”,从而解决身份、访问、加密、应用、数据、内容等层面的安全问题。
目前这个领域里有CASB、云WAF、云DDoS等典型方案,国内外知名厂商代表包括上海云盾、cloudflare、incapsula等。
同时,各大传统安全厂商也正在将自身传统领域的优势复制到云安全领域,形成vFW,vDPI、vWAF、vDLP等统一安全资源池,集成到云环境中。
上海云盾的第一代云安全历经5年,经过数次大小版本的更新迭代,SAAS平台累计注册用户8万+,服务网站数量40万+。抵御1Tbps峰值DDOS,日均拦截6亿+次攻击。平台底层具备海量资源快速调度、快速生效、用户隔离等技术沉淀,团队成员具备丰富的云安全运营经验。
公司围绕用户需求创新了多个功能模块:比如政府网站最关心的内容安全,针对此问题,上海云盾全球首创了网站快照功能,可对网站内容随时复原,随时切换版本,且可以分时分区对快照做访问控制,理论上在敏感时期,源服务器可以完全关闭,而对外依然可以展现正常内容。该平台在世界互联网大会、G20、金砖五国等重大活动安保中发挥重要作用,得到众多政府部门及客户的好评。
下一代云安全
隐身云安全
不同于替身的概念,过去虽然为用户构建了前端强健的替身资源,但是替身始终还是绕不开被动挨打问题,新的云安全时代里,如何才能真正化被动为主动?
安全技术在发展初期,对于边界的安全防范主要是在网络出口布置硬件防火墙,随着IT架构的变化,边界越来越模糊,云的租户不满足共用防火墙,希望得到更个性化的服务。软件定义边界SDP方案应运而生。
SDP架构核心采用预授权、预认证、预调度、可视化等几项技术。
如上图所示,SDP的大脑是SDP Controller(SDP控制器),在业务驱动的前提下,它在访问者和资源之间建立动态和细粒度的“业务访问隧道”。不同于传统VPN隧道,SDP的隧道是按照业务需求来生成的,也就是说这是一种单包和单业务的访问控制,SDP控制器建立的访问规则只对被授权的用户和服务开放,密钥和策略也是动态和仅供单次使用的。
通过这种类似“白名单”的访问控制形式,网络中未被授权的陌生访问在TCP链接建立阶段就是完全被屏蔽和拒绝的,这种“临时并单一”的访问控制方式,将私有云资源对非法用户完全屏蔽,便大大防止了门外“野蛮陌生人”对云的暴力攻击(如DDoS流量攻击)、精准打击(如APT高级持续威胁)、漏洞利用(如心脏出血漏洞)等,通过构建“暗黑网络”来减小网络的被攻击面。
上海云盾的SDP解决方案基于该理念框架,重新定义云安全,打造万物互联、全民上云时代下的安全连接、安全智能、安全赋能。
● 安全连接
基于可信签名构建每个终端的“VPN隧道”,形成零信任网络,拒绝了一切外部攻击威胁。中心思想是企业不应自动信任内部或外部的任何人/事/物,所有授权前,应对任何试图接入企业系统的人/事/物进行验证。
● 安全智能
通过安全大脑,以人为安全中心,采用人工智能身份认证、攻击欺骗等技术识别连接背后的人。同时构建了一个全新的安全边界,动态变幻,迷惑攻击者。
● 安全赋能
安全是企业发展的推动器,绝不该阻碍其发展。从早期的软件防火墙,到网站安全加速云,再到如今的下一代云安全,上海云盾一直致力于帮助企业安全高效地上云,安全快速地连接。以业务为驱动,以人为安全中心,赋能企业及行业发展。
替身+隐身
两大产品体系双护航
在公司近10年的发展历史中,上海云盾积累深厚行业经验,不断进行技术创新,现已形成以替身安全+隐身安全的两大产品理念,即将发布的五星产品体系。
在老一代厂商依旧停留于替身云安全时,上海云盾已经率先迈入隐身云安全时代,能够满足企业复杂的IT架构所面临的高级安全威胁。
保护核心资产数据,构建可信安全网络。
