SDP如何帮助企业安全上云北京网络安全大会2019 -在线下载 -AI解读-standardlibrary.site

北京网络安全大会 SDP如何帮助企业安全上云 ——零信任安全的实践与探索 CONTENNTS 目录 NO.1 软件定义边界（ SDP ）介绍 NO.2 深云SDP的落地实践探索 NO.3 深云SDP的技术实践探索软件定义边界(SDP)-- 关于云深互联（北京）科技有限公司云深互联取名自“只在此山中，云深不知处“ 古诗。旨在通过新一代SDP（软件定义边界）网络隐身技术，让企业数据“隐身”于互联网之中，让黑客无从发起攻击，从而有效保护企业的数据资产。让每一家企业的数据可以安全上云并高效地互联互通。软件定义边界(SDP)-- 云安全联盟SDP工作组国际云安全联盟（大中华区）SDP工作组 https://www.c-csa.cn/ruanjiandingyibianjieSDP.html Software Defined Perimeter（软件定义边界，即SDP）安全模型由国际云安全联盟CSA于2014年提出，已经在国外广泛成功应用，有效地帮助企业解决上云的安全问题。为了提高SDP安全模型在中国的实践和创新，中国市场CSA大中华区于2019年3月成立SDP工作组，首批参与单位有：阿里云、腾讯云、京东云、奇安信、深信服、绿盟科技、Ucloud、顺丰科技、天融信、云深互联、中宇万通、华云数据、三未信安、上元信安、安全狗、易安联、联软科技、上海云盾、缔盟云等30 多家企业。云深互联担任组长单位。软件定义边界(SDP)-- 时代变革进入万物互联时代，企业安全无法再100%依赖防火墙变革1：数据开始“出墙” 变革2：内网不再100%安全云计算、移动互联网、IoT物联网等新技术出现和采用， APT攻击、勒索病毒等黑客技术的发展，以及企业WIFI/5G 让企业数据不再局限在内网等无线方式接入，让黑客更容易渗透进内网防火墙防火墙云 WIFI/5G接入企业应用内网服务器移动、IoT … 移动、IoT 软件定义边界(SDP)-- 零信任安全理念传统“城墙”安全理念已经过时，“零信任”才是未来软件定义边界(SDP)-- CSA定义SDP安全模型零信任理念落地方案：国际云安全联盟CSA定义了SDP安全模型 SDP：Software-Defined-Perimeter（软件定义边界） SDP安全模型架构图 SDP核心优势 2.管控平台网络隐身 Information Hiding 3.应用网关隐藏服务器地址、端口，使之不被扫描发现预验证 Pre-authentication 云在连接服务器之前，先验证用户和设备的合法性预授权 Pre-authorization 1.客户端用户只能看到被授权访问的应用（最小权限原则）内网三大组件应用级的访问准入 Application Layer Access 用户只有应用层的访问权限，无网络级的访问 1. Client：设备、身份验证 2. Controller：配置策略，管理连接 3. Gateway：网络隐身，访问控制扩展性 Extensibility 基于标准协议，可以方便与其它安全系统集成来自于国际云安全联盟官方定义：https://cloudsecurityalliance.org/group/software-defined-perimeter/ 软件定义边界(SDP)-- 技术原理 SDP通过网络隐身和用户身份控制，帮助企业安全上云？？城墙隐身防护罩类比：服务器上云就好像把保险箱从“家里”被移动到了“室外广场”，暴露在公众视野下，将经受7x24的黑客攻击，再坚固的保险箱都可能被击破，因为天下没有无漏洞的程序。SDP就好像给保险箱加上一层网络隐身“隐身罩”，黑客没法攻击看不见的东西。软件定义边界(SDP)-- 国外成功应用 SDP（软件定义边界）已经在国外成功广泛应用 SDP有效防止12大安全威胁中的 10大安全威胁* 1. 数据泄露 2. 弱身份、密码与访问管理 3. 不安全的界面和API 接口 4. 系统和应用程序漏洞 5. 账号劫持 6. 内部恶意人员威胁 7. 高级持续威胁攻击（APTS） 8. 数据丢失 9. DDoS拒绝服务 10. 共享技术问题连续4年举办SDP黑客破解大赛，无人攻破 SDP入选《 2017年11大信息安全技术》，《 2018最应投入的10大安全项目》， Gartner《网络服务隔离指南》：“到2021年底，60%的企业将用SDP取代VPN” 美国硅谷SDP创业公司Zscaler于2018年纳斯达克上市，市值已超过100亿美金。以色列SDP创业公司Safe-T也于2018年在以色列股市上市。 Google内部孵化的SDP项目BeyondCorp已经成功应用于谷歌大多数员工的日常办公 * 来自云安全联盟CSA白皮书《SDP for IaaS》国外众多老牌安全产商、CDN产商、电信运营商都推出自己的SDP产品软件定义边界(SDP)- 入围Gartner2019行业报告推荐产商 Gartner定义云安全趋势：零信任网络访问ZTNA（即SDP）云深互联成为中国区唯一入选ZTNA市场指南的产商，同时入选的还有美国对标Zscaler和OKTA，以及巨头微软、Google、思科、赛门铁克等软件定义边界(SDP)-- 深云SDP产品组成深云SDP隐盾网关深云SDP：中国领先的SDP平台 • 应用服务器的隐身防护罩深云SDP客户端深云DataAware安全态势感知平台 • 深云AiGuard AI安全预警平台用的统一安全入口 IdP (如AD、LDAP) 深云SDP安全大脑 • 深云Manager安全管控平台深云SDP安全大脑云端应用用户深云隐盾网关深云SDP客户端（Enterplorer企业浏览器）数据通道控制通道 Enterplorer企业浏览器：企业B/S应 • • 内网应用深云Manager安全管控平台 • 用户身份管理与安全验证 • 设备管理与安全验证 • 应用管理与权限控制 • 数据防泄密控制深云DataAware安全态势感知平台 • 安全办公态势大屏 • 用户行为审计 • 数据统计报表深云AiGuard AI安全预警平台 • （研发中）软件定义边界(SDP)-- 深云SDP产品形态产品三大组件：网关、企业浏览器、大脑 1、深云SAAS平台（上架公有云市场）深云DataAware安全态势感知平台深云AiGuard AI安全预警平台 IdP (如AD、LDAP) 深云Manager安全管控平台深云SDP安全大脑 2、深云安全一体机（私有部署）云端应用深云隐盾网关深云SDP客户端用户包含深云SDP安全大脑、隐盾网关等全套软硬件平台，开箱即用！（Enterplorer企业浏览器）数据通道控制通道内网应用深云SDP的落地实践-- 场景深云SDP的落地实践探索场景：企业上云需求：企业分支机构（门店、营业厅）访问企业业务支撑系统深云SDP的落地实践-- 某电信公司案例场景：营业厅日常访问业务支撑系统十余个：翼工程、网络运营一体化平台、2/3G移动客户体验管理平台（CEM）、4G移动客户体验管理平台（CEM）、综合外呼平台系统、渠道销售实况监控、县支局长工作台、门店承包助手、代理商4.0、BSS3.0等。营业厅特点：（1）位置分散：20个地级市级分公司、90个县级分公司（2）人员复杂：直营店、合作网点、代理网点多种类型（3）变化频繁：100+个直营店、200+个合作/代理网点当前方案：将营业厅10多个业务支撑系统迁移到电信云上，方便访问痛点：核心业务支撑系统暴露在公网上，经常受到黑客扫描和攻击深云SDP的落地实践-- 某电信公司案例深云SDP解决企业上云的安全问题让业务系统只对授权的深云SDP企业浏览器可见，对其他工具完全不可见端口扫描工具普通浏览器病毒木马程序深云授权访问 OK 隐盾业务系统 SQL注入攻击 XSS跨站脚本攻击等网关深云SDP企业浏览器网站代码安全漏洞 DDoS攻击深云SDP的落地实践-- 某电信公司案例上线结果： • 10个业务系统从互联网上彻底“隐身” • 只有授权深云SDP企业浏览器能够访问 • 营业厅业务人员只需要安装，并登录企业浏览器就可以办公 • 通过短信验证、硬件设备绑定等功能，使原来业务系统的身份验证更加安全深云SDP的落地实践-- 某电信公司案例上线结果：XX省电信营业厅实拍图深云SDP的落地实践-- 某电信公司案例深云SDP数字大屏展现全局安全态势，及时发现安全威胁实时掌握业务系统的使用情况访问次数最多的应用访问次数最多的用户实时发现异常访问情况访问量突然飙升的应用（可能正在被攻击）活跃度飙升的用户（可能账号被盗或者有意盗取公司机密）访问地图显示异常的登录（可能遭受攻击或者账号盗取）全局掌握公司的数字办公情况当日活跃用户数实时在线用户数总访问流量总激活用户数总激活办公设备数深云SDP的落地实践-- 总结深云SDP的落地实践探索场景：企业业务系统上云，方便分支机构（门店、营业厅、上下游合作伙伴）访问业务支撑系统需求：既要方便，又要安全解决方案：深云SDP帮助上云的系统实现网络隐身，避免黑客攻击，同时又让授权的用户可以很方便地访问系统深云SDP的技术实践探索-- 7层零信任安全网络隐身 SPA单包授权 mTLS双向加密通信深云SDP 七层零信任安全架构私有DNS 动态防火墙 HTTP数字签名验证加密通信双向密钥验证加密协议动态密钥身份安全设备绑定国密算法加密多因子验证设备信任等级检测终端防泄密本地数据沙箱数字水印应用级访问浏览器行为管控文档不落地访问安全策略细颗粒度用户访问策略态势感知数据访问态势大屏 AI安全自动预警

SDP如何帮助企业安全上云 北京网络安全大会2019

SDP如何帮助企业安全上云北京网络安全大会2019