重庆小潘seo博客

当前位置:首页 > 重庆网络营销 > 小潘杂谈 >

小潘杂谈

完美SDP解决方案,重新定义云安全

时间:2020-08-13 20:15:13 作者:重庆seo小潘 来源:
基于边界构筑的安全防护体系:面对“云化”开始失效 云计算、移动互联的快速发展,让越来越多的企业开始尝试将自身各类业务系统迁移至云端。随着企业上云,传统的安全边界变的越来越模糊,传统基于固定边界的防护方案已经开始失效无法工作,需要新的安全模型

基于边界构筑的安全防护体系:面对“云化”开始失效

云计算、移动互联的快速发展,让越来越多的企业开始尝试将自身各类业务系统迁移至云端。随着企业上云,传统的安全边界变的越来越模糊,传统基于固定边界的防护方案已经开始失效无法工作,需要新的安全模型来应对企业上云带来的安全威胁。面对这一问题云安全联盟于2013年提出软件定义边界(Software Defined Perimeter, SDP)。2017年上海云盾基于SDP及第一代云安全防护成果推出首个下一代云安全解决方案《隐身云安全》,经过一年的实践和打磨,已经成功落地商用,并且在持续探索更多的应用场景。

第一代云安全:替身云安全

替身云安全是集中构建一整套安全能力和安全管理的资源池,用户在“替身云”里暂时“隐藏”和“躲避”,从而解决身份、访问、加密、应用、数据、内容等层面的安全问题。目前这个领域里有CASB、云WAF、云ddos等典型方案,国内外知名厂商代表包括上海云盾、cloudflare、incapsula等。

同时,各大传统安全厂商也正在将自身传统领域的优势复制到云安全领域,形成vFW,vDPI、vWAF、vDLP等统一安全资源池,集成到云环境中。上海云盾的第一代云安全历经5年,经过数次大小版本的更新迭代,SAAS平台累计注册用户8万+,服务网站数量40万+。抵御1Tbps峰值DDOS,日均拦截6亿+次攻击。平台底层具备海量资源快速调度、快速生效、用户隔离等技术沉淀,团队成员具备丰富的云安全运营经验。

公司围绕用户需求创新了多个功能模块:比如政府网站最关心的内容安全,针对此问题,上海云盾全球首创了网站快照功能,可对网站内容随时复原,随时切换版本,且可以分时分区对快照做访问控制,理论上在敏感时期,源服务器可以完全关闭,而对外依然可以展现正常内容。该平台在世界互联网大会、G20、金砖五国等重大活动安保中发挥重要作用,得到众多政府部门及客户的好评。

下一代云安全:隐身云安全

不同于替身的概念,过去虽然为用户构建了前端强健的替身资源,但是替身始终还是绕不开被动挨打问题,新的云安全时代里,如何才能真正化被动为主动?安全技术在发展初期,对于边界的安全防范主要是在网络出口布置硬件防火墙,随着IT架构的变化,边界越来越模糊,云的租户不满足共用防火墙,希望得到更个性化的服务。软件定义边界SDP方案应运而生。SDP架构核心采用预授权、预认证、预调度、可视化等几项技术。

如上图所示,SDP的大脑是SDP Controller(SDP控制器),在业务驱动的前提下,它在访问者和资源之间建立动态和细粒度的“业务访问隧道”。不同于传统VPN隧道,SDP的隧道是按照业务需求来生成的,也就是说这是一种单包和单业务的访问控制,SDP控制器建立的访问规则只对被授权的用户和服务开放,密钥和策略也是动态和仅供单次使用的。

通过这种类似“白名单”的访问控制形式,网络中未被授权的陌生访问在TCP链接建立阶段就是完全被屏蔽和拒绝的,这种“临时并单一”的访问控制方式,将私有云资源对非法用户完全屏蔽,便大大防止了门外“野蛮陌生人”对云的暴力攻击(如DDoS流量攻击)、精准打击(如APT高级持续威胁)、漏洞利用(如心脏出血漏洞)等,通过构建“暗黑网络”来减小网络的被攻击面。

SDP解决方案基于该理念框架,重新定义云安全,打造万物互联、全民上云时代下的安全连接、安全智能、安全赋能。

●牥踩??