化整为“零”，云原生构建白山云零信任安全之路

化整为“零”，云原生构建白山云零信任安全之路演讲人：李国 白山云科技 白山云八年历程2015.04白山云在贵州注册成立2015.07云分发产品正式上线20152016.03在美国西雅图成立北美白山2016.07SD-WAN产品正式上线201620172017.07云安全产品“深度威胁识别ATD”正式发布 2017.03获得信通院颁发的“可信云”认证20182018.05数据应用集成产品“数聚蜂巢Orchsym” 发布2018.12入选德勤“2018亚太区高科技高成长500强”，排名372020202320192019.04收购上海云盾，云安全产品体系进一步丰富2019.11新加坡子公司成立，深化海外布局2020.06连续3年入选Gartner全球CDN服务市场指南报告2020.10入选中国互联网协会“2020年度中国互联网百强企业”边缘云全球战略升级总收入、安全+边缘计算营收、海外营收实现跨越式增长20212021.06发布Baishan Canvas边缘云平台2021.07可信云SASE成熟度（首批）先进级认证2021.12Serverless计算服务产品Function@Edge发布2022“网络安全一体化”，发布零信任应用可信访问（Access）2.0版本，并与SD-WAN深度融合深耕细作海外市场，上线伊拉克节点，与PLDT、阿吉兰兄弟控股集团等开启战略合作 数字白山白山云科技成立于2015年，中国的独立边缘云服务提供商，服务于政府机构以及全球企业、开发者。基于全球边缘云平台Baishan Canvas，白山云提供全球边缘资源、分发、网络、安全、iPaaS五大能力，向1000+企业例如：抖音、小红书、新浪微博、搜狐、淘宝等提供服务，间接为中国近84%、海外2.1亿+互联网用户提供相关优质服务。 1400+全球边缘节点60T+全网运营及储备带宽250+覆盖海内外城市4.5T+海外防御能力100+海外运营商实现互联合作5000亿+每日处理全球请求数 地缘政治风险推动网络安全建设全面加速增强网络安全防御能力和威慑能力。网络安全的本质在对抗，对抗的本质在攻防两端能力较量 人家用的是飞机大炮，我们这里还用大刀长矛，那是不行的，攻防力量要对等——习近平《在网络安全和信息化工作座谈会上的讲话》地缘政治国际安全对抗中国面临严峻威胁个别国家强化网络威慑战略国际上争夺和控制网络空间战略资源、抢占规则制定权和战略制高点、谋求战略主动权的竞争日趋激烈。个别国家强化网络威慑战略，加剧网络空间军备竞赛，世界和平受到新的挑战。网络安全战进入真实战场2022年2月，乌克兰多个政府部门与银行网站受 DDoS攻击瘫痪，美英官员认为其来自俄罗斯军 事情报部门GRU产业政策网络安全政策文件密集出台 2019.12 《信息安全技术网络安全等级保护基本要求》 2020.4 《网络安全审查办法》 2021.6 《中华人民共和国数据安全法》 2021.9 《网络安全漏洞管理规定》《关键信息基础设施安全保护条例》 2021.11《中华人民共和国个人信息保护法》事件驱动重大安全事故频发，网络安全警钟长鸣9月2日深夜，一次大规模DDoS攻击 导致多家俄罗斯银行系统宕机，部分 服务无法正常使用巴西国库在8月13日遭遇勒索软件攻 击，这是勒索软件首次成功攻击国家 核心金融系统黑客利用太阳风公司的网管软件漏洞， 攻陷了多个美国联邦机构及财富 500 强企业网络全国突发大面积断网，导致企业、餐 馆、普通家庭等无法使用网络，经济 损失巨大 数字化时代企业IT架构变化IT“四化”访问用户多身份化办公地域随时随地化终端设备多元化（ BYOD）基础设施云平台化、混合化新场景、新要求边界协同，全场景协作人、财、事、物协同统一、灵活、高效、便捷安全、可控企业内部办公区域员工...员工第三方基础设施内部应用办公软件数据中心设备外带公司设备BYOD物联网任何设备“数据出走”云平台IaaSPaaSSaaS据信通院调查统计：2020年超过半数的企业对数据中心与云资源池的互联需求强烈。任何地方咖啡厅居家出差客户现场员工外出员工供应商第三方用户 数字化时代新IT架构带来的挑战安全传统内网网络边界消失，用户、数据、系统的安全性如何保障？数据泄露、非法攻击、“内鬼”、影子资产 ......用户体验遗留的内网应用，如何被用户随时随地快速访问？层层跳转、资源维护、换网掉线、访问延时 ......可管理如何针对身份、行为、资源、信息化做统一管控？内部员工、外部伙伴、内外资源、行为管控 ......传统方式已经无法满足新IT架构的变化。安全和用户体验如何平衡？牺牲安全提升用户体验，还是降低用户体验提升安全性？ 白山零信任安全产品能力矩阵 白山零信任安全之路场景价值员工合作伙伴用户总部分支地点PCMobileIoT设备短视频APP电商APP社交APP互联网CRMO365HRMSaaS应用OAERPSRMMESAPS私有应用白山云全球PoP加速•基于身份的业务网准入控制（PA）•隐藏暴露面•防黑防入侵•身份/设备/地点/行为/权限•基于身份的互联网准出控制（IA）•自定义应用访问策略•实时阻断恶意软件、钓鱼、APT•内容分类拦截策略•上网审计安全威胁识别敏感数据识别用户/设备 身份上下文分析Zero Trust Access任何地方的实体任何地方的资源为企业提供简单、快速、安全的内网和互联网访问服务，确保分布在全球各地的用户都能随时随地、快速安全地访问企业本地和云上资源。 白山零信任安全基石，统一管控：连接+加速+安全可信•覆盖全球的节点是边缘云的基石，已下沉到城域网，解决全球访问“最后一公里”的问题连接加速边界安全130ms120ms40ms120ms130ms200+ms全球资源访问，毫秒级响应 企业内部白山零信任安全产品架构基于代理服务，隐藏内部服务；禁止外部向企业内部的入向访问连接，确保内部服务安全。身份验证访问权限动态调整持续信任评估连接器NAT访问端可信检测带宽管理应用控制行为审计安全防护远程浏览器控制平面数据平面阻断入向连接图 例控制指令数据连接灾备线路身份管理中心 防火墙应用服务安全、加速数据安全网关AD域.....云AD访问控制引擎边缘节点访问控制引擎边缘节点......策略引擎 访问基线设定基于安全基线进行全方位终端安全防护依据业务类型自动调整安全访问策略普通应用访问：p是否安装杀毒软件p网络环境是否安全p连接IP是否为IP库异常IP敏感应用访问：p是否安装杀毒软件p是否打开系统防火墙p是否安全最新的系统补丁p网络环境是否安全p连接IP是否为IP库异常IPp用户行为是否异常✓✓✓✓✓✓✓✓✓ 基于威胁情报实现安全接入互联网确保任何一台终端、任何一个办公职场安全地接入到互联网，有效防护恶意软件、勒索病毒、APT攻击、钓鱼链接、非法站点等多种新型高级威胁，实现检测、拦截、定位、取证一体化。PoP白山SASE网络PoPPoPPoPPoP安全DNS互联网应用Client安全访问•钓鱼网站•勒索软件•不合规内容•APT攻击•木马&C2•恶意软件云端威胁情报客户端劫持DNS解析 全链路安全加固保护基于白山边缘云的应用可信网络用户终端•抗DDoS/CC•Bot防护•WAF•扫描观测•防篡改攻击防护•网络流量管控•网络流量可视化协议、端口•访问控制•威胁防御•数据保护•行为管理、审计DNS、URL、文件类型、宽带控制•访问控制•访问策略•身份认证•访问门户用户、链路、资源、审计SaaS应用本地应用 互联网业务统一访问入口管控收敛暴露面，先认证，再连接，拒绝非法访问用户恶意攻击WindowsLinuxAccess应用主机•资源收口，减少攻击面•资源隐藏，先认证再连接，对外不可见•身份认证，最小化授权，收放自如•精细化授权管控•资源访问审计，安全事件可追溯 白山零信任安全产品体系基于零信任理念，构建端到端的五维安全纵深防御体系，保障网络安全性、访问安全性。安全联动SASE：Baishan Canvas统一平台能力/第三方能力：SIEM、SOAR、UEBA多平台协作（按需集成）安全加固Baishan Canvas统一平台WAF、抗DDoS（按需开通）最小授权应用粒度授权，仅针对校验有权限的用户建立连接身份认证单点登录、联合身份认证、自动化服务认证内网隐身连接器单向连接，隐藏内网IP和端口安全联动安全加固最小授权身份认证内网隐身控制引擎策略引擎安全代理链路加密 白山零信任安全访问架构全球安全组网SD-WANPoPPoPPoPPoPPoPPoPv...AD域 身份管理中心身份验证访问控制引擎云端控制台客户端访问端安全检测•应用控制•行为审计•安全防护权限调整私有云/总部数据中心暴露面收敛安全组网零信任访问加速业务价值威胁情报检测用户行为评估机器学习引擎大数据分析规则引擎持续安全评估北京上海深圳广州海外海外总部SaaS服务 某新零售公司零信任整体方案数据中心（马鞍山IDC）混合云自建应用内部应用InternetSASE云端控制中心AIMS+信任评估节点调度策略引擎VCPECPE (L4 tunnel) 网络/加速服务SD-WAN CDN DNS 安全服务WAAP DDoSSSL/TLS 国密算法 智能备源 零信任服务细粒度动态授权 SSOIAM UEBA边缘云服务白山云全球1000+自建边缘节点零信任clientIoT设备零信任client服务部（零信任接入）智慧零售（CPE串联接入）智慧工厂（CPE串联部署）边界安全边界安全云端统一分析监控中心Analyticslogs威胁情报可视化大屏资产巡检互联网应用零信任client零信任client分支办公（CPE旁路部署）CPE (L4 tunnel)Client Connector(L4-L7 tunnel)CPE (L4 tunnel)互联网用户出差员工零信任clientClient Connector(L4-L7 tunnel)互联网访问（DNS）自建应用访问（DNS-cname） 某央企零信任安全办公网建设白山全球边缘网络分支员工零信任Web门户零信任client亚洲分支美洲区域中东区域欧洲区域分支员工零信任Web门户零信任client北京分支上海分支总部员工零信任Web门户零信任client北京总部总部IDC五步实现一体化建设网络身份终端业务权限全球节点覆盖，统一调度、接近接入、智能选路SD-WAN灵活组网，并对关键业务例如视频会议进行加速零信任安全接入保障可信用户通过可信终端访问可信应用 化整为“零”- 白山零信任安全之路邀您共建全面开放网络安全能力，实现生态共赢，护航数字中国员工 网民合作伙伴用户PC Mobile物联网 车联网...设备总部 分支国内 海外位置网站 APP应用互联网CRM O365HRMSaaS应用OA ERPSRM MESAPS内部应用网络力量安全力量白山边缘云安全覆盖六大洲、国内外250+城市、1400+节点访问加速暴露面收敛零信任访问安全组网一DDoS防护API保护WAF防护端点安全.........共有云专有云私有云 成就不可预知的需求,防护不可预知的风险