云計算、移動互聯的快速發展,讓越來越多的企業開始嘗試將自身各類業務系統遷移至云端。隨著企業上云,傳統的安全邊界變的越來越模糊,傳統基于固定邊界的防護方案已經開始失效無法工作,需要新的安全模型來應對企業上云帶來的安全威脅。面對這一問題云安全聯盟于2013年提出軟件定義邊界(Software Defined Perimeter, SDP)。2017年上海云盾基于SDP及第一代云安全防護成果推出首個下一代云安全解決方案《隱身云安全》,經過一年的實踐和打磨,已經成功落地商用,并且在持續探索更多的應用場景。
第一代云安全:替身云安全
替身云安全是集中構建一整套安全能力和安全管理的資源池,用戶在“替身云”里暫時“隱藏”和“躲避”,從而解決身份、訪問、加密、應用、數據、內容等層面的安全問題。目前這個領域里有CASB、云WAF、云DDoS等典型方案,國內外知名廠商代表包括上海云盾、cloudflare、incapsula等。
同時,各大傳統安全廠商也正在將自身傳統領域的優勢復制到云安全領域,形成vFW,vDPI、vWAF、vDLP等統一安全資源池,集成到云環境中。上海云盾的第一代云安全歷經5年,經過數次大小版本的更新迭代,SAAS平臺累計注冊用戶8萬+,服務網站數量40萬+。抵御1Tbps峰值DDOS,日均攔截6億+次攻擊。平臺底層具備海量資源快速調度、快速生效、用戶隔離等技術沉淀,團隊成員具備豐富的云安全運營經驗。
公司圍繞用戶需求創新了多個功能模塊:比如政府網站最關心的內容安全,針對此問題,上海云盾全球首創了網站快照功能,可對網站內容隨時復原,隨時切換版本,且可以分時分區對快照做訪問控制,理論上在敏感時期,源服務器可以完全關閉,而對外依然可以展現正常內容。該平臺在世界互聯網大會、G20、金磚五國等重大活動安保中發揮重要作用,得到眾多政府部門及客戶的好評。
下一代云安全:隱身云安全
不同于替身的概念,過去雖然為用戶構建了前端強健的替身資源,但是替身始終還是繞不開被動挨打問題,新的云安全時代里,如何才能真正化被動為主動?安全技術在發展初期,對于邊界的安全防范主要是在網絡出口布置硬件防火墻,隨著IT架構的變化,邊界越來越模糊,云的租戶不滿足共用防火墻,希望得到更個性化的服務。軟件定義邊界SDP方案應運而生。SDP架構核心采用預授權、預認證、預調度、可視化等幾項技術。
SDP的大腦是SDP Controller(SDP控制器),在業務驅動的前提下,它在訪問者和資源之間建立動態和細粒度的“業務訪問隧道”。不同于傳統VPN隧道,SDP的隧道是按照業務需求來生成的,也就是說這是一種單包和單業務的訪問控制,SDP控制器建立的訪問規則只對被授權的用戶和服務開放,密鑰和策略也是動態和僅供單次使用的。
通過這種類似“白名單”的訪問控制形式,網絡中未被授權的陌生訪問在TCP鏈接建立階段就是完全被屏蔽和拒絕的,這種“臨時并單一”的訪問控制方式,將私有云資源對非法用戶完全屏蔽,便大大防止了門外“野蠻陌生人”對云的暴力攻擊(如DDoS流量攻擊)、精準打擊(如APT高級持續威脅)、漏洞利用(如心臟出血漏洞)等,通過構建“暗黑網絡”來減小網絡的被攻擊面。
SDP解決方案基于該理念框架,重新定義云安全,打造萬物互聯、全民上云時代下的安全連接、安全智能、安全賦能。
● 安全連接
基于可信簽名構建每個終端的“VPN隧道”,形成零信任網絡,拒絕了一切外部攻擊威脅。中心思想是企業不應自動信任內部或外部的任何人/事/物,所有授權前,應對任何試圖接入企業系統的人/事/物進行驗證。
● 安全智能
通過安全大腦,以人為安全中心,采用人工智能身份認證、攻擊欺騙等技術識別連接背后的人。同時構建了一個全新的安全邊界,動態變幻,迷惑攻擊者。
● 安全賦能
安全是企業發展的推動器,絕不該阻礙其發展。從早期的軟件防火墻,到網站安全加速云,再到如今的下一代云安全,上海云盾一直致力于幫助企業安全高效地上云,安全快速地連接。以業務為驅動,以人為安全中心,賦能企業及行業發展。
替身+隱身:兩大產品體系雙護航
在公司近10年的發展歷史中,上海云盾積累深厚行業經驗,不斷進行技術創新,現已形成以替身安全+隱身安全的兩大產品理念,即將發布的五星產品體系。在老一代廠商依舊停留于替身云安全時,上海云盾已經率先邁入隱身云安全時代,能夠滿足企業復雜的IT架構所面臨的高級安全威脅。保護核心資產數據,構建可信安全網絡。