安几网安:天域SDP解决方案
  • 2020.06.22
  • 1435
  • 上海安几科技有限公司

方案背景
 

传统企业网络架构通过建立一个固定的边界使内部网络与外部世界分离,这个边界包含一系列的防火墙策略来阻止外部用户的进入,但是允许内部用户对外的访问。由于封锁了外部对于内部应用和设施的可见性和可访问性,传统的固定边界确保了内部服务对于外部威胁的安全。
 
对于远程用户访问,最有效的办法也只是VPN接入。但是后期出现了各种各样的问题,云的租户不满足共用防火墙,希望得到更个性化的服务,传统防火墙和VPN不仅接入的体验、访问速度受限,更无法满足租户动态迁移、业务快速部署、策略随需生成、策略及时收回、策略路径可视等要求。另外,BYOD和钓鱼攻击提供了对于内部网络的不可信访问,以及SaaS和IaaS正在改变边界的位置,企业网络架构中的固定的边界模型正在变得过时。
 
  • 很多企业使用的是过时的方法,在旧的网络安全模型下,缺乏对于限制授权用户和第三方访问的解决方案。
  • 大部分的信息安全方面的破坏来自于内部威胁。
  • 一些公司并没有经常回顾访问策略,有的甚至已经几年没有这么做了。当策略制定好后,它们不会或者不去自动实施这些安全策略。
 

方案描述
 

安几网安通过提供基于SDP技术的零信任网络安全解决方案,设计了一个新的安全模型,这个模型可以在有效的安全和策略下获得更好的用户体验。如用户使用什么设备来建立连接的、何时建立连接的、以及用户的角色。这些信息可以集成到特定的访问规则中,基于参数的认证检查和对于资源的访问能够提供对于边界内部和外部威胁更好的防护,从而解决了以上的问题。
 
安几天域SDP要求端点先进行身份验证并获得授权,然后才能获得对受保护实体的网络访问权限。然后,在请求系统和应用程序基础结构之间实时创建加密连接,实现了连接的安全。甚至允许单个数据包到达目标服务之前,对用户及其设备进行身份验证和授权,可以在网络层实施所谓的最小特权。通过向未经授权或未经授权的用户隐藏网络资源来减小攻击面。
 
安几网安基于SDP技术的零信任网络安全解决方案为企业提供对企业内部网络之间、公有云、混合云环境的安全远程访问,并对用户访问做到了细粒度的可见性和控制,能够有效解决使用VPN技术存在的缺点,更为便捷安全的实现远程用户的访问控制。安几天域SDP技术通过在应用访问的会话期间自动创建一个动态隧道,在请求实体和可信资源之间的一对一映射来实现安全连接控制,实现企业的云资源对于未经授权的用户完全不可访问。此外,通过在服务器周围部署暗网,在连接未建立前,不会传输任何DNS信息,内部IP地址或内部网络基础结构的可见端口等信息,实现应用的不可见。
 
安几天域SDP技术可以实现无论基础网络基础结构如何,都直接在用户及其设备之间授予对应用程序和资源的访问权限,根本就没有网络内部和外部的概念。方案关键技术:
 
该解决方案使用的核心技术是基于SDP的加密通讯协议、流式传输协议和多路复用传输协议,实现的核心功能是构造的基于SDP的访问控制代理和访问控制引擎,让企业员工不再需要通过传统的VPN连接进入内网,而是允许从任何网络成功发起访问企业内部资源,并提供云端界面进行对远程访问用户的检测和管理,可以在单个数据包到达目标服务之前,对用户及其设备进行身份验证和授权,在网络层实现最小特权。
 
每个内部资源都隐藏在设备后面。用户必须先进行身份验证,然后才能获得授权服务的可见性并授予访问权限,通过向未经授权或未经授权的用户隐藏网络资源来减小攻击面。基于SDP技术的架构如图所示。
 
SDP架构
 
方案效果
通过实际应用部署后的追踪,除了《SDP如何解决网络安全威胁》提到的安全威胁,安几网安零信任解决方案还能帮助企业实现等保2.0的合规要求:不仅能够帮助客户做好企业的网络安全建设,同时也能够满足等保的基本要求。SDP满足相应等级安全区域边界、安全通信网络、安全计算环境、安全管理中心等要求。