【白山云 李国】化整为“零”云原生构建白山云零信任安全之路

白山云零信任安全之路演讲人：李国白山云科技20182018.05数据应用集成产品“数聚蜂巢Orchsym”2020.06连续3年入选Gartner全球20182018.05数据应用集成产品“数聚蜂巢Orchsym”2020.06连续3年入选Gartner全球CDN服务市场指南报告边缘云全球战略升级2015220152015.04白山云在贵州注册成立2015.07云分发产品正式上线20120162016.03在美国西雅图成立北美白山2016.07SD-WAN产品正式上线2022020发布2020.102018.12入选2018.12入选德勤“2018亚太区高科技高成长500强”，排名37中国互联网百强企业”20172021220212017.03获得信通院颁发的“可信云”认证2017.07云安全产品“深度威胁识别2017.03获得信通院颁发的“可信云”认证2017.07云安全产品“深度威胁识别ATD”正式发布20192021.072019.04可信云SASE成熟度(首批)先进级认证收购上海云盾，云安全产品体系进一步丰富2019.11新加2019.11新加坡子公司成立，深化海外布局Serverless计算服务产品Function@Edge发布2022023总收入、安全+边缘计算营收、海外营收实现跨越式增长2022“网络安全一体化”，发布零信任应用可信访问(Access)2.0版本，并与SD-WAN深度融合深耕细作海外市场，上线伊拉克节点，与PLDT、阿吉兰兄弟控股集团等开启战略合作数字白山白山云科技成立于2015年，中国的独立边缘云服务提供商，服务于政府机构以及全球企业、开发者。基于全球边缘云平台BaishanCanvas，白山云提供全球大能力，向1000+企业例如：抖音、小红书、新浪微博、搜狐、淘宝等提供服务，间接为中国近84%、海外2.1亿+互联网用户提供相关优质服务。1400+全球边缘节点100+海外运营商实现互联合作4.5T+海外防御能力250+覆盖海内外城市60T+全网运营及储备带宽5000亿+每日处理全球请求数地缘政治风险推动网络安全建设全面加速——习近平《在网络安全和信息化工作座谈会上的讲话》地缘政治国际安全对抗中国面临严峻威胁个别国家强化网络威慑战略国际上争夺和控制网络空间战略资源、抢占规则制定权和战略制高点、谋求战略主动权的竞争日趋激烈。个别国家强化网络威慑战略，加剧网络空间军备竞赛，世界和平受到新的挑战。网络安全战进入真实战场2022年2月，乌克兰多个政府部门与银行网站受DDoS攻击瘫痪，美英官员认为其来自俄罗斯军事情报部门GRU产产业政策网络安全政策文件密集出台2019.12《信息安全技术网络安全等级保护基本要求》2020.4《网络安全审查办法》2021.6《中华人民共和国数据安全法》2021.9《网络安全漏洞管理规定》《关键信息基础设施安全保护条例》2021.11《中华人民共和国个人信息保护法》事件驱动事件驱动9月2日深夜，一次大规模DDoS攻击导致多家俄罗斯银行系统宕机，部分服务无法正常使用巴西国库在8月13日遭遇勒索软件攻击，这是勒索软件首次成功攻击国家核心金融系统黑客利用太阳风公司的网管软件漏洞，攻陷了多个美国联邦机构及财富500强企业网络全国突发大面积断网，导致企业、餐馆、普通家庭等无法使用网络，经济损失巨大设备物联网司设备新场景、新要求边界协同，全场景协作人、财、事、物协同统一、灵活、高效、便捷安全、可控PaaS据信通院调查统计：2020年超过半数的企业对数据中心与云资源池的互联需求强烈设备物联网司设备新场景、新要求边界协同，全场景协作人、财、事、物协同统一、灵活、高效、便捷安全、可控PaaS据信通院调查统计：2020年超过半数的企业对数据中心与云资源池的互联需求强烈。SaaSIaaS带数据中心办公软件企业内部内部应用基础设施地方客户现场第三方咖啡厅供应商居家员工出差办公区域员工...员工员工外出“数据出走”第三方ITIT“四化”访问用户多身份化办公地域随时随地化终端设备多元化(BYOD)基础设施云平台化、混合化用户体验遗留的内网应用，如何被用户随时随地快速访问？用户体验遗留的内网应用，如何被用户随时随地快速访问？可管理如何针对身份、行为、资源、信息化做统一管控？为管控传统方式已经无法满足新IT架构的变化。安全和用户体验如何平衡？牺牲安全提升用户体验，还是降低用户体验提升安全性？安安全传统内网网络边界消失，用户、数据、系统的安全性如何保障？白山零信任安全产品能力矩阵地、安全地访问企业本地和云上资源。白山零信任安全之路场景价值短视频APP电商APP社交APP互联网员工合作伙伴用户CRMO365HRM总部地、安全地访问企业本地和云上资源。白山零信任安全之路场景价值短视频APP电商APP社交APP互联网员工合作伙伴用户CRMO365HRM总部分支SaaS应用地点MobileIoTOAERPSRMMESAPS设备私有应用 ZeroTrustAccess何地方的资源何地方的实体用户/设备身份白山云全球PoP加速•基于身份的互联网准出控制(IA)•自定义应用访问策略•实时阻断恶意软件、钓鱼、APT•内容分类拦截策略•上网审计 数据识别析基于身份的业务网准入控制(PA)隐藏暴露面防黑防入侵身份/设备/地点/行为/权限•••• 威胁识别白山零信任安全基石，统一管控：连接+加速+安全可信•覆盖全球的节点是边缘云的基石，已下沉到城域网，解决全球访问“最后一公里”的问题1120ms40ms 连接边界安全全球资源访问，毫秒级响应200+ms130ms120ms加速访问权限动态调整云ADAD.....策略引擎控制指令数据连接灾备线路持续信任评估制平面身份验证 内部 数据安全网关应用服务连接器据平面访问端可信检测NAT带宽管理应用控制行为审计安全防护远程浏览器阻断入向连接防火墙白山零信任安全产品架构访问权限动态调整云ADAD.....策略引擎控制指令数据连接灾备线路持续信任评估制平面身份验证 内部 数据安全网关应用服务连接器据平面访问端可信检测NAT带宽管理应用控制行为审计安全防护远程浏览器阻断入向连接防火墙身身份管理中心边缘节点边缘节点访问控制引擎......边缘节点......边缘节点访问控制引擎基于代理服务，隐藏内部服务；禁止外部向企业内部的入向访问连接，确保内部服务安全。据业务类型自动调整安全访问策略访问基线设定敏感应用访问：普通应用访问：据业务类型自动调整安全访问策略访问基线设定敏感应用访问：普通应用访问：是否安装杀毒软件是否打开系统防火墙是否安全最新的系统补丁网络环境是否安全连接IP是否为IP库异常IP用户行为是否异常是否安装杀毒软件网络环境是否安全连接IP是否为IP库异常IP依依情报PoPClientPoP互联网应用安全访问安全DNSPoP客户端劫持白山SASE网络DNS情报PoPClientPoP互联网应用安全访问安全DNSPoP客户端劫持白山SASE网络DNS解析钓鱼网站勒索软件不合规内容APT攻击木马&C2恶意软件••••••PoP确保任何一台终端、任何一个办公职场安全地接入到互联网，有效防护恶意软件、勒索病毒、APT攻击、钓鱼链接、非法站点等多种新型高级威胁，实现检测、拦截、定位、取证一体化。PoPoP•抗DDoS/CC•Bot防护•WAF•扫描观测•抗DDoS/CC•Bot防护•WAF•扫描观测•防篡改应用防护端口DNS、URL、类型、宽带控制•网络流量管控•网络流量可视化•访问控制•访问策略•身份认证•访问门户基于白山边缘云的应用可信网络••访问控制•威胁防御•数据保护•行为管理、审计Access恶意攻击用户WindowsLinux互联网业务统一访问入口管控Access恶意攻击用户WindowsLinux收敛暴露面，先认证，再连接，拒绝非法访问•精细化授权管控溯控制引擎安全代理策略引擎链路加密安全联动基于零信任理念，构建端到端的五维安全纵深防御体系，保障网络安全性、访问安全性。联动SASE：Baishan份认证单点登录、联合身份认证、自动化服务认证控制引擎安全代理策略引擎链路加密安全联动基于零信任理念，构建端到端的五维安全纵深防御体系，保障网络安全性、访问安全性。联动SASE：Baishan份认证单点登录、联合身份认证、自动化服务认证Canvas统一平台能力/第三方能力：SIEM、SOAR、UEBA多平台协作(按需集成)连接器单向连接，隐藏内网IP和端口Canvas统一平台WAF、抗DDoS(按需开通)授权应用粒度授权，仅针对校验有权限的用户建立连接安全加固最小授权身份认证内网隐身加固Baishan权限调整白山零信任安全访问架构AD域...海外身份管理中心身份验证云端控制台北京访问端安全检测•应用控制•行为审计•安全防护端访问控制引擎PoPPoPSaaS服务上海PoP全球安全组网SD-WANPoPPoP暴露面收敛安全组网零信任访问加速广州深圳海外总部私有云/总部数据中心权限调整白山零信任安全访问架构AD域...海外身份管理中心身份验证云端控制台北京访问端安全检测•应用控制•行为审计•安全防护端访问控制引擎PoPPoPSaaS服务上海PoP全球安全组网SD-WANPoPPoP暴露面收敛安全组网零信任访问加速广州深圳海外总部私有云/总部数据中心v大数据分析规则引擎机大数据分析规则引擎威胁情报检测用威胁情报检测业务价值业务价值PoPPoP云端统一分析监控中心Analytics威胁情报可视化大屏logs资产巡检SASE云端制中心节点调度策略引擎信任评估+MSAI分支办公(CPE旁路部署)零信任client零信任云端统一分析监控中心Analytics威胁情报可视化大屏logs资产巡检SASE云端制中心节点调度策略引擎信任评估+MSAI分支办公(CPE旁路部署)零信任client零信任nt混合云应用边缘云服务白山云全球1000+自建边缘节点粒度动态授权EBA网络/加速服务零信任服务CPE(L4tunnel)服务部 (零信任接入)零信任client智慧零售 (CPE串联接入)界安全智慧工厂(CPE串联部署)零信任clientIoT设备界全CPE(L4tunnel)ClientConnector (L4-L7CPE(L4tunnel)tunnel)WAAPDDoSSSLTLS国密算法安全服务能备源 互联网用户零信任nt出差员工自建应用访问 (DNS-cname)互联网访问 DNS)数数据中心 (马鞍山IDC)I