软件定义边界SDP技术实践探索_第1页
软件定义边界SDP技术实践探索_第2页
软件定义边界SDP技术实践探索_第3页
软件定义边界SDP技术实践探索_第4页
软件定义边界SDP技术实践探索_第5页
已阅读5页,还剩20页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、软件定义边界(SDP)技术实践探索The Journey of Building Software-Defined Perimeter (SDP)(1) Introduction to SDPTrend:Cloud Security is Taking Place of Traditional IT SecurityDriver:Cloud is taking place oftraditional IT# 阿里云2018年营收超200亿人民币,较上年同期增长超过100% # IBM2018第四季度营收为217.60亿美元,较上年同期下滑3%市值96.74亿市值122.23亿市值127.00亿

2、Cloud TransformationTraditional IT Security Model“Wall”based Physical PerimeterCloud-oriented Security ModelZero-Trust based Software-Defined PerimeterApp ServerCloud Adoption, Mobile, IoT, 5G Past:Most servers and end 楼 -user devices are inside the “wall”. Enterprise security are mainly focused on

3、Intranet protection.1.Client2.Controller3.GatewayIaaSData CenterSDP Security Architecture defined by CSAFuture:No clear boundary between Intranet and Internet. No matter where the servers are users are located, users would always be able to securely access authorized dataCloud Transformation1.Client

4、 客户端SDP Security Model Architecture2.Controller 控制器3.Gateway 网关IaaS 云IDC数据中心SDP Advantages网络隐身 Information Hiding隐藏服务器地址、端口,使之不被扫描发现预验证 Pre-authentication在连接服务器之前,先验证用户和设备的合法性预授权 Pre-authorization用户只能看到被授权访问的应用(最小权限原则)扩展性 Extensibility基于标准协议,可以方便与其它安全系统集成应用级的访问准入 Application Layer Access用户只有应用层的访问权限

5、,无网络级的访问来自于国际云安全联盟官方定义:/group/software-defined-perimeter/三大组件 ComponentsClient:设备、身份验证Controller:配置策略,管理连接Gateway:网络隐身,访问控制SDP:Software-Defined-Perimeter(软件定义边界)SDP Security ModelCSA Published SDP Spec 1.0 in 2014Traditional Security: Body Armor挑战:再坚固的墙也有漏洞,世界上不存在没有漏洞的程序SDP Security: Invisible Cloak

6、优势:敌人无法攻击看不见的目标,再尖锐的矛也没用Information Hiding: A New Approach of SecurityThe SDP Approach of Security: Information Hiding防弹衣Securely Access Resources based on Zero-Trust Principles:The SDP Approach of Security: Zero Trust(2) SDP ImplementationGartner 2019 Market Guide: Zero-Trust Network Access (a.k.a.

7、 SDP) 云深互联成为中国区唯一入选ZTNA市场指南的产商,同时入选的还有美国对标Zscaler和OKTA,以及巨头微软、Google、思科、赛门铁克等云深互联深云SDP深云DeepCloud SDP listed in Gartner 2019 ZTNA Market Guide深云SDP客户端Enterplorer企业浏览器:企业B/S应用的统一安全入口Enterport企业安全代理:企业C/S应用的安全入口深云Manager安全管控平台深云隐盾网关深云DataAware安全态势感知平台深云AiGuard AI安全预警平台深云SDP安全大脑IdP(如AD、LDAP)云端应用内网应用深云S

8、DP客户端(Enterplorer企业浏览器)数据通道 控制通道深云SDP安全大脑深云Manager安全管控平台用户身份管理与安全验证设备管理与安全验证应用管理与权限控制数据防泄密控制深云DataAware安全态势感知平台安全办公态势大屏用户行为审计数据统计报表深云AiGuard AI安全预警平台用户深云SDP隐盾网关业务系统服务器的隐身防护罩深云SDP:中国SDP领军品牌Gartner 2019年SDP行业报告中国区唯一入选产品深云DeepCloud SDPDeepCloud SDP Client: Cross-platform Managed BrowserMacOSWindowsAndr

9、oidiOS深云DeepCloud SDP Client Enterprise Browser核心优势易部署维护全平台支持、无需电脑加入Windows域、支持非受控/BYOD设备极致用户体验无需VPN拨号、无需切换浏览器、无缝单点登录、 内网外网一致的办公体验全程数据安全保护全程数据加密、防止终端恶意软件/浏览器插件 劫持数据、数字水印、文档不落地等DLP功能细粒度用户行为审计文件下载、页面内容保存/复制/打印、页面停留、设备上其他可疑进程等用户侧细粒度信息(3) SDP User Case StudyBackground:Branch offices and partners need to

10、 access someenterprise applications. As the locations are distributed and devices are not managed, MPLS or VPN are not good options. The enterprise decided to migrate the applications to public cloud.Challenges:As application servers are accessible on public Internet, theyare frequently under attack

11、s or crawler scanning.Case Study: Secure Transition to Cloud 安全迁移上云SDP User Case Study场景:营业厅日常访问业务支撑系统十余个:翼工程、网络运营一体化平台、2/3G移动客户体验管理平台(CEM)、4G移动 客户体验管理平台(CEM)、综合外呼平台系统、渠道销售实况监控、县支局长 工作台、门店承包助手、代理商4.0、BSS3.0等。营业厅特点:位置分散:20个地级市级分公司、90个县级分公司人员复杂:直营店、合作网点、代理网点多种类型变化频繁:100+个直营店、200+个合作/代理网点当前方案:将营业厅10多个业

12、务支撑系统迁移到电信云上,方便访问痛点:核心业务支撑系统暴露在公网上,经常受到黑客扫描和攻击SDP User Case Study解决企业上云的安全问题深云SDP企业浏览器深 云隐 盾 网 关业务系统授权访问普通浏览器病毒木马程序OK网站代码安全漏洞SQL注入攻击 XSS跨站脚本攻击等端口扫描工具DDoS攻击让业务系统只对授权的深云SDP企业浏览器可见,对其他工具完全不可见SDP User Case StudySDP User Case Study上线结果:10多个业务系统从互联网上彻底“隐身”只有授权深云SDP企业浏览器能够访问营业厅业务人员只需要安装,并登录企业浏览器就可以办公通过短信验证

13、、硬件设备绑定等功能,使原来业务系统的身份验证更加安全5000+激活用户,3000+日活每天支撑超过3000万RMB的业务操作电信营业厅实拍图SDP User Case Study(4) SDP Working Group in ChinaIntroduction to China SDP Working Group为提高Software Defined Perimeter(软件定义边界,即SDP)在中国企业的应用,在中国云 安全联盟的支持下 ,CSA 大中华区成立SDP工作组。工作组于2019年3月成立,首批参与单位有: 阿里云、腾讯云、京东云、IBM、奇安信、深信服、绿盟科技、Ucloud、顺丰科技、天融信、云 深互联、中宇万通、华云数据、三未信安、上元信安、安全狗、易安联、联软科技、上海云盾、缔盟云、信诺时代、

人人文库> 全部分类> 专业文献 > IT计算机

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论