化整为“零”，云原生构建白山云零信任安全之路

化整为“零”，云原生构建白山云零信任安全之路 演讲人：李国白山云科技 白山云八年历程 2015 2015.04 白山云在贵州注册成立 2017 2018 2018.05 数据应用集成产品 “数聚蜂巢Orchsym”发布 2018.12 入选德勤“2018亚太区高科技高成长500强”，排名37 2020 2020.06 连续3年入选Gartner全球CDN服务市场指南报告 2020.10 入选中国互联网协会“2020年度中国互联网百强企业” 2021 2023 边缘云全球战略升级 总收入、安全+边缘计算营收、海外营收实现跨越式增长 2022 2015.07 云分发产品正式上线 2016 2016.03 在美国西雅图成立北美白山 2016.07 SD-WAN产品正式上线 2017.03 获得信通院颁发的“可信云”认证 2017.07 云安全产品“深度威胁识别ATD”正式发布 2019 2019.04 收购上海云盾，云安全产品体系进一步丰富 2019.11 新加坡子公司成立，深化海外布局 2021.06 发布BaishanCanvas边缘云平台 2021.07 可信云SASE成熟度（首批）先进级认证 2021.12 Serverless计算服务产品Function@Edge发布 “网络安全一体化”，发布零信任应用可信访问（Access）2.0版本，并与SD-WAN深度融合 深耕细作海外市场，上线伊拉克节点，与PLDT、阿吉兰兄弟控股集团等开启战略合作 数字白山 白山云科技成立于2015年，中国的独立边缘云服务提供商，服务于政府机构以及全球企业、开发者。基于全球边缘云平台BaishanCanvas，白山云提供全球边缘资源、分发、网络、安全、iPaaS五大能力，向1000+企业例如：抖音、小红书、新浪微博、搜狐、淘宝等提供服务，间接为中国近84%、海外2.1亿+互联网用户提供相关优质服务。 1400+ 全球边缘节点 100+ 海外运营商实现互联合作 4.5T+ 海外防御能力 250+ 覆盖海内外城市 60T+ 全网运营及储备带宽 5000亿+ 每日处理全球请求数 地缘政治风险推动网络安全建设全面加速 增强网络安全防御能力和威慑能力。网络安全的本质在对抗，对抗的本质在攻防两端能力较量人家用的是飞机大炮，我们这里还用大刀长矛，那是不行的，攻防力量要对等 ——习近平《在网络安全和信息化工作座谈会上的讲话》 地缘政治国际安全对抗中国面临严峻威胁 个别国家强化网络威慑战略 国际上争夺和控制网络空间战略资源、抢占规则制定权和战略制高点、 产业政策网络安全政策文件密集出台 2019.12 《信息安全技术网络安全等级保护基本要求》 2021.9 事件驱动重大安全事故频发，网络安全警钟长鸣 9月2日深夜，一次大规模DDoS攻击导致多家俄罗斯银行系统宕机，部分服务无法正常使用 巴西国库在8月13日遭遇勒索软件攻击，这是勒索软件首次成功攻 谋求战略主动权的竞争日趋激烈。个别国家强化网络威慑战略，加剧网络空间军备竞赛，世界和平受到新的挑战。 网络安全战进入真实战场 2022年2月，乌克兰多个政府部门与银行网站受DDoS攻击瘫痪，美英官员认为其来自俄罗斯军事情报部门GRU 2020.4 《网络安全审查办法》 2021.6 《中华人民共和国数据安全法》 《网络安全漏洞管理规定》 《关键信息基础设施安全保护条例》 2021.11 《中华人民共和国个人信息保护法》 击国家核心金融系统 黑客利用太阳风公司的网管软件漏洞，攻陷了多个美国联邦机构及财富500强企业网络 全国突发大面积断网，导致企业、餐馆、普通家庭等无法使用网络，经济损失巨大 任何设备公司设备BYOD物联网 数字化时代企业IT架构变化 IT“四化” 访问用户多身份化办公地域随时随地化 终端设备多元化（BYOD）基础设施云平台化、混合化 任何地方 客户 出差 员工现场 用户 供应商第三方 员工外出 办公区域 员工 ... 员工 设备外带 企业内部 数据中心 办公软件 内部应用 “数据出走” 云平台 IaaSPaaSSaaS 新场景、新要求 边界协同，全场景协作人、财、事、物协同 统一、灵活、高效、便捷安全、可控 居家咖啡厅 第三方基础设施 据信通院调查统计： 2020年超过半数的企业对数据中心与云资源池的互联需求强烈。 数字化时代新IT架构带来的挑战 安全 传统内网网络边界消失， 用户、数据、系统的安全性如何保障？ 用户体验 遗留的内网应用， 如何被用户随时随地快速访问？ 可管理 如何针对身份、行为、资源、信息化做统一管控？ 数据泄露、非法攻击、“内鬼”、影子资产…… 层层跳转、资源维护、换网掉线、访问延时…… 内部员工、外部伙伴、内外资源、行为管控…… 传统方式已经无法满足新IT架构的变化。 安全和用户体验如何平衡？ 牺牲安全提升用户体验，还是降低用户体验提升安全性？ 白山零信任安全产品能力矩阵 白山零信任安全之路场景价值 为企业提供简单、快速、安全的内网和互联网访问服务，确保分布在全球各地的用户都能随时随地、快速安全地访问企业本地和云上资源。 员工 合作伙伴用户 用户/设备身份上下文分析 短视频APP电商APP 互联网社交APP CRMO365 SaaS应用HRM 私有应用 OA ERPMES SRMAPS 白山云全球PoP加速 总部 分支地点 PC Mobile IoT设备 •基于身份的业务网准入控制（PA） •隐藏暴露面 •防黑防入侵 •身份/设备/地点/行为/权限 安全威胁识别 •基于身份的互联网准出控制（IA） •自定义应用访问策略 •实时阻断恶意软件、钓鱼、APT •内容分类拦截策略 •上网审计 敏感数据识别 任何地方的实体 ZeroTrustAccess 任何地方的资源 白山零信任安全基石，统一管控：连接+加速+安全可信 120ms 130ms 130ms 200+ms 40ms 120ms 连接加速 边界安全 全球资源访问，毫秒级响应 •覆盖全球的节点是边缘云的基石，已下沉到城域网，解决全球访问“最后一公里”的问题 白山零信任安全产品架构 图例 云AD AD域..... 控制指令数据连接 基于代理服务，隐藏内部 控制平面数据平面 访问端可信检测 带宽管理应用控制行为审计安全防护远程浏览器 身份管理中心 身份验证 边缘节点 访问控制引擎 ...... 边缘节点 访问控制引擎 安全、加速 策略引擎 访问权限动态调整 NAT 阻断入向连接 持续信任评估 防火墙 连接器 企业内部 数据安全网关 灾备线路 服务； 应用服务 禁止外部向企业内部的入向访问连接，确保内部服务安全。 基于安全基线进行全方位终端安全防护 依据业务类型自动调整安全访问策略 访问基线设定 普通应用访问： 敏感应用访问： ✓是否安装杀毒软件 ✓网络环境是否安全 ✓连接IP是否为IP库异常IP ✓是否安装杀毒软件 ✓是否打开系统防火墙 ✓是否安全最新的系统补丁 ✓网络环境是否安全 ✓连接IP是否为IP库异常IP ✓用户行为是否异常 基于威胁情报实现安全接入互联网 互联网应用 云端威胁情报 确保任何一台终端、任何一个办公职场安全地接入到互联网，有效防护恶意软件、勒索病毒、APT攻击、钓鱼链接、非法站点等多种新型高级威胁，实现检测、拦截、定位、取证一体化。 客户端劫持DNS解析 Client 安全访问 •钓鱼网站 •勒索软件 •不合规内容 •APT攻击 •木马&C2 •恶意软件 安全DNS PoP PoP 白山SASE网络 PoP PoP PoP SaaS应用 本地应用 全链路安全加固保护 基于白山边缘云的应用可信网络 攻击防护 协议、端口 DNS、URL、 文件类型、宽带控制 用户、链路、资源、审计 用户终端 •抗DDoS/CC •Bot防护 •WAF •扫描观测 •防篡改 •网络流量管控 •网络流量可视化 •访问控制 •威胁防御 •数据保护 •行为管理、审计 •访问控制 •访问策略 •身份认证 •访问门户 互联网业务统一访问入口管控 Access 应用 用户 Windows 主机 Linux 恶意攻击 收敛暴露面，先认证，再连接，拒绝非法访问 •资源收口，减少攻击面 •资源隐藏，先认证再连接，对外不可见 •身份认证，最小化授权，收放自如 •精细化授权管控 •资源访问审计，安全事件可追溯 白山零信任安全产品体系 安全联动 安全加固最小授权 身份认证 内网隐身 基于零信任理念，构建端到端的五维安全纵深防御体系，保障网络安全性、访问安全性。 策略引擎 控制引擎 安全联动 SASE：BaishanCanvas统一平台能力/第三方能力：SIEM、SOAR、UEBA多平台协作（按需集成） 安全加固 BaishanCanvas统一平台WAF、抗DDoS（按需开通） 身份认证 单点登录、联合身份认证、自动化服务认证 内网隐身 连接器单向连接，隐藏内网IP和端口 链路加密 安全代理 最小授权 应用粒度授权，仅针对校验有权限的用户建立连接 白山零信任安全访问架构 AD域 持续安全评估 机器学习引擎大数据分析规则引擎 用户行为评估威胁情报检测 ... 海外 北京 上海 广州 SaaS服务 访问控制引擎 PoP 身份管理中心 身份验证 权限调整 PoP PoP 云端控制台 客户端 访问端安全检测 •应用控制 •行为审计 •安全防护 业务价值 暴露面收敛 海外总部 深圳 PoP 全球安全组网SD-WAN PoP PoP 私有云/总部数据中心 安全组网零信任访问加速 云端统一分析 监控中心Analytics威胁情报可视化大屏logs资产巡检 某新零售公司零信任整体方案 SASE云端控制中心 节点调度 策略引擎 信任评估 AI + MS 数据中心 （马鞍山IDC） 混合云 边缘云服务 分支办公（CPE旁路部署） CPE (L4tunnel) 零信任client 零信任client 内部应用互联网应用自建应用 VCPE 白山云全球1000+自建边缘节点 零信任服务细粒度动态授权SSO CPE (L4tunnel) 智慧工厂（CPE串联部署） 零信任client IoT设备 边界 服务部 （零信任接入） 智慧零售 （CPE串联接入） Internet IAMUEBA 安全服务 WAAPDDoS SSL/TLS国密算法智能备源 网络/加速服务SD-WANCDNDNS ClientConnector (L4-L7tunnel) 自建应用访问 （DNS-cname） 互联网访问 （DNS） 安全 互联网用户 零信任client ClientConnector(L4-L7tunnel) 出差员工 边界安全 CPE (L4tunnel) 零信任client 零信任client 北京总部 零信任总部 北京分支 Web门户员工 上海分支 白山全球边缘网络 零信任client 零信任分支 Web门户员工 零信任client零信任 Web门户 分支员工 亚洲分支美洲区域中东区域欧洲区域 权限业务 终端身份网络 五步实现一体化建设 某央企零信任安全办公网建设 全球节点覆盖，统一调度、接近接入、智能选路 SD-WAN灵活组网，并对关键业务例如视频会议进行加速 零信任安全接入保障可信用户通过可信终端访问可信应用 总部IDC 化整为“零”-白山零信任安全之路邀您共建全面开放网络安全能力，实现生态共赢，护航数字中国 用户 员工网民合作伙伴 总部分支 安全组网 网络力量 白山 边缘云安全 安全力量 WAF防护一DDoS防护 共有云 互联网 SaaS 网站APP应用 CRMO365 国内海外位置 PCMobile 物联网车联网设备 … 访问加速 暴露面收敛零信任访问 覆盖六大洲、国内外250+城市、1400+节点 API保护端点安全 ……… 私有云应用 应用 专有云内部 HRM OAERPSRMMESAPS 成就不可预知的需求,