云計(jì)算、移動(dòng)互聯(lián)的快速發(fā)展,讓越來越多的企業(yè)開始嘗試將自身各類業(yè)務(wù)系統(tǒng)遷移至云端。隨著企業(yè)上云,傳統(tǒng)的安全邊界變的越來越模糊,傳統(tǒng)基于固定邊界的防護(hù)方案已經(jīng)開始失效無法工作,需要新的安全模型來應(yīng)對(duì)企業(yè)上云帶來的安全威脅。面對(duì)這一問題云安全聯(lián)盟于2013年提出軟件定義邊界(Software Defined Perimeter, SDP)。2017年上海云盾基于SDP及第一代云安全防護(hù)成果推出首個(gè)下一代云安全解決方案《隱身云安全》,經(jīng)過一年的實(shí)踐和打磨,已經(jīng)成功落地商用,并且在持續(xù)探索更多的應(yīng)用場(chǎng)景。
第一代云安全:替身云安全
替身云安全是集中構(gòu)建一整套安全能力和安全管理的資源池,用戶在“替身云”里暫時(shí)“隱藏”和“躲避”,從而解決身份、訪問、加密、應(yīng)用、數(shù)據(jù)、內(nèi)容等層面的安全問題。目前這個(gè)領(lǐng)域里有CASB、云WAF、云DDoS等典型方案,國內(nèi)外知名廠商代表包括上海云盾、cloudflare、incapsula等。
同時(shí),各大傳統(tǒng)安全廠商也正在將自身傳統(tǒng)領(lǐng)域的優(yōu)勢(shì)復(fù)制到云安全領(lǐng)域,形成vFW,vDPI、vWAF、vDLP等統(tǒng)一安全資源池,集成到云環(huán)境中。上海云盾的第一代云安全歷經(jīng)5年,經(jīng)過數(shù)次大小版本的更新迭代,SAAS平臺(tái)累計(jì)注冊(cè)用戶8萬+,服務(wù)網(wǎng)站數(shù)量40萬+。抵御1Tbps峰值DDOS,日均攔截6億+次攻擊。平臺(tái)底層具備海量資源快速調(diào)度、快速生效、用戶隔離等技術(shù)沉淀,團(tuán)隊(duì)成員具備豐富的云安全運(yùn)營經(jīng)驗(yàn)。
公司圍繞用戶需求創(chuàng)新了多個(gè)功能模塊:比如政府網(wǎng)站最關(guān)心的內(nèi)容安全,針對(duì)此問題,上海云盾全球首創(chuàng)了網(wǎng)站快照功能,可對(duì)網(wǎng)站內(nèi)容隨時(shí)復(fù)原,隨時(shí)切換版本,且可以分時(shí)分區(qū)對(duì)快照做訪問控制,理論上在敏感時(shí)期,源服務(wù)器可以完全關(guān)閉,而對(duì)外依然可以展現(xiàn)正常內(nèi)容。該平臺(tái)在世界互聯(lián)網(wǎng)大會(huì)、G20、金磚五國等重大活動(dòng)安保中發(fā)揮重要作用,得到眾多政府部門及客戶的好評(píng)。
下一代云安全:隱身云安全
不同于替身的概念,過去雖然為用戶構(gòu)建了前端強(qiáng)健的替身資源,但是替身始終還是繞不開被動(dòng)挨打問題,新的云安全時(shí)代里,如何才能真正化被動(dòng)為主動(dòng)?安全技術(shù)在發(fā)展初期,對(duì)于邊界的安全防范主要是在網(wǎng)絡(luò)出口布置硬件防火墻,隨著IT架構(gòu)的變化,邊界越來越模糊,云的租戶不滿足共用防火墻,希望得到更個(gè)性化的服務(wù)。軟件定義邊界SDP方案應(yīng)運(yùn)而生。SDP架構(gòu)核心采用預(yù)授權(quán)、預(yù)認(rèn)證、預(yù)調(diào)度、可視化等幾項(xiàng)技術(shù)。
SDP的大腦是SDP Controller(SDP控制器),在業(yè)務(wù)驅(qū)動(dòng)的前提下,它在訪問者和資源之間建立動(dòng)態(tài)和細(xì)粒度的“業(yè)務(wù)訪問隧道”。不同于傳統(tǒng)VPN隧道,SDP的隧道是按照業(yè)務(wù)需求來生成的,也就是說這是一種單包和單業(yè)務(wù)的訪問控制,SDP控制器建立的訪問規(guī)則只對(duì)被授權(quán)的用戶和服務(wù)開放,密鑰和策略也是動(dòng)態(tài)和僅供單次使用的。
通過這種類似“白名單”的訪問控制形式,網(wǎng)絡(luò)中未被授權(quán)的陌生訪問在TCP鏈接建立階段就是完全被屏蔽和拒絕的,這種“臨時(shí)并單一”的訪問控制方式,將私有云資源對(duì)非法用戶完全屏蔽,便大大防止了門外“野蠻陌生人”對(duì)云的暴力攻擊(如DDoS流量攻擊)、精準(zhǔn)打擊(如APT高級(jí)持續(xù)威脅)、漏洞利用(如心臟出血漏洞)等,通過構(gòu)建“暗黑網(wǎng)絡(luò)”來減小網(wǎng)絡(luò)的被攻擊面。
SDP解決方案基于該理念框架,重新定義云安全,打造萬物互聯(lián)、全民上云時(shí)代下的安全連接、安全智能、安全賦能。
● 安全連接
基于可信簽名構(gòu)建每個(gè)終端的“VPN隧道”,形成零信任網(wǎng)絡(luò),拒絕了一切外部攻擊威脅。中心思想是企業(yè)不應(yīng)自動(dòng)信任內(nèi)部或外部的任何人/事/物,所有授權(quán)前,應(yīng)對(duì)任何試圖接入企業(yè)系統(tǒng)的人/事/物進(jìn)行驗(yàn)證。
● 安全智能
通過安全大腦,以人為安全中心,采用人工智能身份認(rèn)證、攻擊欺騙等技術(shù)識(shí)別連接背后的人。同時(shí)構(gòu)建了一個(gè)全新的安全邊界,動(dòng)態(tài)變幻,迷惑攻擊者。
● 安全賦能
安全是企業(yè)發(fā)展的推動(dòng)器,絕不該阻礙其發(fā)展。從早期的軟件防火墻,到網(wǎng)站安全加速云,再到如今的下一代云安全,上海云盾一直致力于幫助企業(yè)安全高效地上云,安全快速地連接。以業(yè)務(wù)為驅(qū)動(dòng),以人為安全中心,賦能企業(yè)及行業(yè)發(fā)展。
替身+隱身:兩大產(chǎn)品體系雙護(hù)航
在公司近10年的發(fā)展歷史中,上海云盾積累深厚行業(yè)經(jīng)驗(yàn),不斷進(jìn)行技術(shù)創(chuàng)新,現(xiàn)已形成以替身安全+隱身安全的兩大產(chǎn)品理念,即將發(fā)布的五星產(chǎn)品體系。在老一代廠商依舊停留于替身云安全時(shí),上海云盾已經(jīng)率先邁入隱身云安全時(shí)代,能夠滿足企業(yè)復(fù)雜的IT架構(gòu)所面臨的高級(jí)安全威脅。保護(hù)核心資產(chǎn)數(shù)據(jù),構(gòu)建可信安全網(wǎng)絡(luò)。