隨着企業上雲,傳統的安全邊界變的越來越模糊,各自割裂、基於固定邊界的被動式防護產品已經開始失效無法工作,需要新的安全模型來應對企業上雲帶來的安全威脅。YUNDUN基於SDP&零信任安全理念,構建端邊雲一體化縱深安全加速產品-安全加速SDK,解決PC客戶端、移動、IoT新場景下面臨的各種安全問題。
零信任&隱身安全
以往的雲安全產品大多基於DNS方式接入,存在解析生效時間長、易被劫持、安全節點易暴露的問題。此種防禦方式通過統一接管互聯網流量,將風險識別和安全能力前置到各個邊緣,本質上還是被動式“替身”對抗模式,考驗防守方的資源能力。
不同於替身的概念,安全加速SDK核心思想是默認不信任外部任何人/事/物,只對通過驗證和被授權的用戶開放“訪問隧道”,實現被保護對象的隱身。通過貫通雲端彈性防護資源、網絡和終端設備,形成了安全可信的虛擬邊界,實現全網的協同防護與有效管控。
安全加速SDK技術架構
終端可信檢測
在終端嵌入安全加速SDK後,可精準評估每個終端當前運行環境信息(虛擬機、模擬器、root/越獄等),並通過應用風險監測(動態注入、調試、重打包等),綜合評估信譽等級,爲智能調度、身份可信識別提供多維度參考數據。
雲端安全管控
該模塊支持用戶在虛擬邊界內個性化定義訪問控制規則,可針對終端進行多因子身份認證、精細化權限管理與控制。安全規則實時下發到彈性安全代理節點上,只有滿足規則的請求才可以訪問企業應用,有效解決了傳統安全產品有效性差、控制力度粗、雲租戶共用防火牆策略的問題。
雲端AI大腦
基於安全代理日誌與終端風險監測數據,AI大腦爲終端劃分不同安全信譽等級,進而將不同信譽風險的終端拆分調度到獨立的、隔離的網絡中,徹底分隔非法攻擊流量與正常訪問流量。結合日誌,多維度事件關聯可快速定位風險終端,大大提升了攻擊溯源效率。
安全加速SDK通過爲每個通過可信檢測的終端智能分配不同安全節點,隔離不同風險等級終端訪問的資源,極大地增加了惡意用戶攻擊的難度。每個終端和雲端安全代理通過私密安全隧道進行數據交互,創新的報文認證與校驗技術,不同的終端使用的密鑰均不相同,讓一切網絡破解和嗅探成爲不可能。通過端、雲協同,形成零信任網絡,拒絕了一切外部攻擊威脅。
應用場景
YUNDUN應用零信任理念以全新的視角打破了傳統被動防禦思路,以創新的端邊雲一體架構,結合多年的黑灰產、攻擊手法研究和線上實戰對抗經驗積累,構建主動、智能、縱深的安全防禦體系,解決數字業務各類安全問題。
-
DDoS防禦——開創三階複合對抗模型,通過 一階本地資源隱藏-》二階智能風控調度-》三階高防資源兜底,將傳統單一的硬件+硬性資源對抗轉移到了多維度軟件+彈性資源對抗,主動免疫DDoS攻擊威脅;
三階複合對抗模型
-
Bot自動化防禦——依託設備風險識別和可信通信能力,杜絕未經認證的一切流量,可防護:惡意註冊、撞庫、大流量CC攻擊、薅羊毛等安全問題;
-
入侵防禦——隱藏業務真實主機,黑客無法在互聯網上發起掃描和定向入侵,無需擔心0DAY/NDAY;
-
鏈路安全——一機一密,一鏈一密保證數據傳輸安全,黑客無法抓包獲取業務內容數據,無法做任何僞造和重放攻擊請求;
-
App防篡改——對APP應用的每個文件分配唯一識別指紋,替換任何一個文件均會導致無法運行,防止廣告病毒植入、二次打包、仿冒釣魚等惡意破解;
-
反外掛——通過設備風險識別功能,可以動態抵禦調試、注入、設備篡改、等外掛;
-
替代DNS——SDK智能風控調度替代域名解析,無需DNS,避免DNS攻擊和劫持;
-
安全合規——符合等保2.0通信傳輸、入侵防範要求,助力合規。
基於SDP的安全加速SDK摒棄了傳統攻防資源對抗模式,更注重於終端治理、風險隔離、安全可信、部署海量分佈式防護資源,目前已廣泛應用於遊戲、電商、醫療、教育等各類APP上,保護了超過數千萬終端的安全訪問。隨着 5G 時代的來臨,基於 SDP 和零信任安全理念落地的創新安全產品極有可能成爲未來解決全球網絡安全問題的基石。
