軟件定義邊界SDP技術(shù)實(shí)踐探索_第1頁
軟件定義邊界SDP技術(shù)實(shí)踐探索_第2頁
軟件定義邊界SDP技術(shù)實(shí)踐探索_第3頁
軟件定義邊界SDP技術(shù)實(shí)踐探索_第4頁
軟件定義邊界SDP技術(shù)實(shí)踐探索_第5頁
已閱讀5頁,還剩20頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、軟件定義邊界(SDP)技術(shù)實(shí)踐探索The Journey of Building Software-Defined Perimeter (SDP)(1) Introduction to SDPTrend:Cloud Security is Taking Place of Traditional IT SecurityDriver:Cloud is taking place oftraditional IT# 阿里云2018年?duì)I收超200億人民幣,較上年同期增長超過100% # IBM2018第四季度營收為217.60億美元,較上年同期下滑3%市值96.74億市值122.23億市值127.00億

2、Cloud TransformationTraditional IT Security Model“Wall”based Physical PerimeterCloud-oriented Security ModelZero-Trust based Software-Defined PerimeterApp ServerCloud Adoption, Mobile, IoT, 5G Past:Most servers and end 樓 -user devices are inside the “wall”. Enterprise security are mainly focused on

3、Intranet protection.1.Client2.Controller3.GatewayIaaSData CenterSDP Security Architecture defined by CSAFuture:No clear boundary between Intranet and Internet. No matter where the servers are users are located, users would always be able to securely access authorized dataCloud Transformation1.Client

4、 客戶端SDP Security Model Architecture2.Controller 控制器3.Gateway 網(wǎng)關(guān)IaaS 云IDC數(shù)據(jù)中心SDP Advantages網(wǎng)絡(luò)隱身 Information Hiding隱藏服務(wù)器地址、端口,使之不被掃描發(fā)現(xiàn)預(yù)驗(yàn)證 Pre-authentication在連接服務(wù)器之前,先驗(yàn)證用戶和設(shè)備的合法性預(yù)授權(quán) Pre-authorization用戶只能看到被授權(quán)訪問的應(yīng)用(最小權(quán)限原則)擴(kuò)展性 Extensibility基于標(biāo)準(zhǔn)協(xié)議,可以方便與其它安全系統(tǒng)集成應(yīng)用級(jí)的訪問準(zhǔn)入 Application Layer Access用戶只有應(yīng)用層的訪問權(quán)限

5、,無網(wǎng)絡(luò)級(jí)的訪問來自于國際云安全聯(lián)盟官方定義:/group/software-defined-perimeter/三大組件 ComponentsClient:設(shè)備、身份驗(yàn)證Controller:配置策略,管理連接Gateway:網(wǎng)絡(luò)隱身,訪問控制SDP:Software-Defined-Perimeter(軟件定義邊界)SDP Security ModelCSA Published SDP Spec 1.0 in 2014Traditional Security: Body Armor挑戰(zhàn):再堅(jiān)固的墻也有漏洞,世界上不存在沒有漏洞的程序SDP Security: Invisible Cloak

6、優(yōu)勢:敵人無法攻擊看不見的目標(biāo),再尖銳的矛也沒用Information Hiding: A New Approach of SecurityThe SDP Approach of Security: Information Hiding防彈衣Securely Access Resources based on Zero-Trust Principles:The SDP Approach of Security: Zero Trust(2) SDP ImplementationGartner 2019 Market Guide: Zero-Trust Network Access (a.k.a.

7、 SDP) 云深互聯(lián)成為中國區(qū)唯一入選ZTNA市場指南的產(chǎn)商,同時(shí)入選的還有美國對(duì)標(biāo)Zscaler和OKTA,以及巨頭微軟、Google、思科、賽門鐵克等云深互聯(lián)深云SDP深云DeepCloud SDP listed in Gartner 2019 ZTNA Market Guide深云SDP客戶端Enterplorer企業(yè)瀏覽器:企業(yè)B/S應(yīng)用的統(tǒng)一安全入口Enterport企業(yè)安全代理:企業(yè)C/S應(yīng)用的安全入口深云Manager安全管控平臺(tái)深云隱盾網(wǎng)關(guān)深云DataAware安全態(tài)勢感知平臺(tái)深云AiGuard AI安全預(yù)警平臺(tái)深云SDP安全大腦IdP(如AD、LDAP)云端應(yīng)用內(nèi)網(wǎng)應(yīng)用深云S

8、DP客戶端(Enterplorer企業(yè)瀏覽器)數(shù)據(jù)通道 控制通道深云SDP安全大腦深云Manager安全管控平臺(tái)用戶身份管理與安全驗(yàn)證設(shè)備管理與安全驗(yàn)證應(yīng)用管理與權(quán)限控制數(shù)據(jù)防泄密控制深云DataAware安全態(tài)勢感知平臺(tái)安全辦公態(tài)勢大屏用戶行為審計(jì)數(shù)據(jù)統(tǒng)計(jì)報(bào)表深云AiGuard AI安全預(yù)警平臺(tái)用戶深云SDP隱盾網(wǎng)關(guān)業(yè)務(wù)系統(tǒng)服務(wù)器的隱身防護(hù)罩深云SDP:中國SDP領(lǐng)軍品牌Gartner 2019年SDP行業(yè)報(bào)告中國區(qū)唯一入選產(chǎn)品深云DeepCloud SDPDeepCloud SDP Client: Cross-platform Managed BrowserMacOSWindowsAndr

9、oidiOS深云DeepCloud SDP Client Enterprise Browser核心優(yōu)勢易部署維護(hù)全平臺(tái)支持、無需電腦加入Windows域、支持非受控/BYOD設(shè)備極致用戶體驗(yàn)無需VPN撥號(hào)、無需切換瀏覽器、無縫單點(diǎn)登錄、 內(nèi)網(wǎng)外網(wǎng)一致的辦公體驗(yàn)全程數(shù)據(jù)安全保護(hù)全程數(shù)據(jù)加密、防止終端惡意軟件/瀏覽器插件 劫持?jǐn)?shù)據(jù)、數(shù)字水印、文檔不落地等DLP功能細(xì)粒度用戶行為審計(jì)文件下載、頁面內(nèi)容保存/復(fù)制/打印、頁面停留、設(shè)備上其他可疑進(jìn)程等用戶側(cè)細(xì)粒度信息(3) SDP User Case StudyBackground:Branch offices and partners need to

10、 access someenterprise applications. As the locations are distributed and devices are not managed, MPLS or VPN are not good options. The enterprise decided to migrate the applications to public cloud.Challenges:As application servers are accessible on public Internet, theyare frequently under attack

11、s or crawler scanning.Case Study: Secure Transition to Cloud 安全遷移上云SDP User Case Study場景:營業(yè)廳日常訪問業(yè)務(wù)支撐系統(tǒng)十余個(gè):翼工程、網(wǎng)絡(luò)運(yùn)營一體化平臺(tái)、2/3G移動(dòng)客戶體驗(yàn)管理平臺(tái)(CEM)、4G移動(dòng) 客戶體驗(yàn)管理平臺(tái)(CEM)、綜合外呼平臺(tái)系統(tǒng)、渠道銷售實(shí)況監(jiān)控、縣支局長 工作臺(tái)、門店承包助手、代理商4.0、BSS3.0等。營業(yè)廳特點(diǎn):位置分散:20個(gè)地級(jí)市級(jí)分公司、90個(gè)縣級(jí)分公司人員復(fù)雜:直營店、合作網(wǎng)點(diǎn)、代理網(wǎng)點(diǎn)多種類型變化頻繁:100+個(gè)直營店、200+個(gè)合作/代理網(wǎng)點(diǎn)當(dāng)前方案:將營業(yè)廳10多個(gè)業(yè)

12、務(wù)支撐系統(tǒng)遷移到電信云上,方便訪問痛點(diǎn):核心業(yè)務(wù)支撐系統(tǒng)暴露在公網(wǎng)上,經(jīng)常受到黑客掃描和攻擊SDP User Case Study解決企業(yè)上云的安全問題深云SDP企業(yè)瀏覽器深 云隱 盾 網(wǎng) 關(guān)業(yè)務(wù)系統(tǒng)授權(quán)訪問普通瀏覽器病毒木馬程序OK網(wǎng)站代碼安全漏洞SQL注入攻擊 XSS跨站腳本攻擊等端口掃描工具DDoS攻擊讓業(yè)務(wù)系統(tǒng)只對(duì)授權(quán)的深云SDP企業(yè)瀏覽器可見,對(duì)其他工具完全不可見SDP User Case StudySDP User Case Study上線結(jié)果:10多個(gè)業(yè)務(wù)系統(tǒng)從互聯(lián)網(wǎng)上徹底“隱身”只有授權(quán)深云SDP企業(yè)瀏覽器能夠訪問營業(yè)廳業(yè)務(wù)人員只需要安裝,并登錄企業(yè)瀏覽器就可以辦公通過短信驗(yàn)證

13、、硬件設(shè)備綁定等功能,使原來業(yè)務(wù)系統(tǒng)的身份驗(yàn)證更加安全5000+激活用戶,3000+日活每天支撐超過3000萬RMB的業(yè)務(wù)操作電信營業(yè)廳實(shí)拍圖SDP User Case Study(4) SDP Working Group in ChinaIntroduction to China SDP Working Group為提高Software Defined Perimeter(軟件定義邊界,即SDP)在中國企業(yè)的應(yīng)用,在中國云 安全聯(lián)盟的支持下 ,CSA 大中華區(qū)成立SDP工作組。工作組于2019年3月成立,首批參與單位有: 阿里云、騰訊云、京東云、IBM、奇安信、深信服、綠盟科技、Ucloud、順豐科技、天融信、云 深互聯(lián)、中宇萬通、華云數(shù)據(jù)、三未信安、上元信安、安全狗、易安聯(lián)、聯(lián)軟科技、上海云盾、締盟云、信諾時(shí)代、

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論