【白山云 李國】化整為“零”云原生構建白山云零信任安全之路.pdf

《【白山云 李國】化整為“零”云原生構建白山云零信任安全之路.pdf》由會員分享，可在線閱讀，更多相關《【白山云 李國】化整為“零”云原生構建白山云零信任安全之路.pdf（20頁珍藏版）》請在三個皮匠報告上搜索。

1、化整為“零”，云原生構建白山云零信任安全之路演講人：李國 白山云科技 白山云八年歷程2015.04白山云在貴州注冊成立2015.07云分發產品正式上線20152016.03在美國西雅圖成立北美白山2016.07SD-WAN產品正式上線201620172017.07云安全產品“深度威脅識別ATD”正式發布 2017.03獲得信通院頒發的“可信云”認證20182018.05數據應用集成產品“數聚蜂巢Orchsym”發布2018.12入選德勤“2018亞太區高科技高成長500強”，排名372020202320192019.04收購上海云盾，云安全產品體系進一步豐富2019.11新加坡子公司成立，深化

2、海外布局2020.06連續3年入選Gartner全球CDN服務市場指南報告2020.10入選中國互聯網協會“2020年度中國互聯網百強企業”邊緣云全球戰略升級總收入、安全+邊緣計算營收、海外營收實現跨越式增長20212021.06發布Baishan Canvas邊緣云平臺2021.07可信云SASE成熟度（首批）先進級認證2021.12Serverless計算服務產品FunctionEdge發布2022“網絡安全一體化”，發布零信任應用可信訪問（Access）2.0版本，并與SD-WAN深度融合深耕細作海外市場，上線伊拉克節點，與PLDT、阿吉蘭兄弟控股集團等開啟戰略合作數字白山白山云科技成立

3、于2015年，中國的獨立邊緣云服務提供商，服務于政府機構以及全球企業、開發者?；谌蜻吘壴破脚_Baishan Canvas，白山云提供全球邊緣資源、分發、網絡、安全、iPaaS五大能力，向1000+企業例如：抖音、小紅書、新浪微博、搜狐、淘寶等提供服務，間接為中國近84%、海外2.1億+互聯網用戶提供相關優質服務。1400+全球邊緣節點60T+全網運營及儲備帶寬250+覆蓋海內外城市4.5T+海外防御能力100+海外運營商實現互聯合作5000億+每日處理全球請求數地緣政治風險推動網絡安全建設全面加速增強網絡安全防御能力和威懾能力。網絡安全的本質在對抗，對抗的本質在攻防兩端能力較量 人家用的是

4、飛機大炮，我們這里還用大刀長矛，那是不行的，攻防力量要對等習近平在網絡安全和信息化工作座談會上的講話地緣政治國際安全對抗中國面臨嚴峻威脅個別國家強化網絡威懾戰略國際上爭奪和控制網絡空間戰略資源、搶占規則制定權和戰略制高點、謀求戰略主動權的競爭日趨激烈。個別國家強化網絡威懾戰略，加劇網絡空間軍備競賽，世界和平受到新的挑戰。網絡安全戰進入真實戰場2022年2月，烏克蘭多個政府部門與銀行網站受 DDoS攻擊癱瘓，美英官員認為其來自俄羅斯軍 事情報部門GRU產業政策網絡安全政策文件密集出臺 2019.12 信息安全技術網絡安全等級保護基本要求 2020.4 網絡安全審查辦法 2021.6 中華人民共和

5、國數據安全法 2021.9 網絡安全漏洞管理規定關鍵信息基礎設施安全保護條例 2021.11中華人民共和國個人信息保護法事件驅動重大安全事故頻發，網絡安全警鐘長鳴9月2日深夜，一次大規模DDoS攻擊 導致多家俄羅斯銀行系統宕機，部分 服務無法正常使用巴西國庫在8月13日遭遇勒索軟件攻 擊，這是勒索軟件首次成功攻擊國家 核心金融系統黑客利用太陽風公司的網管軟件漏洞，攻陷了多個美國聯邦機構及財富 500 強企業網絡全國突發大面積斷網，導致企業、餐 館、普通家庭等無法使用網絡，經濟 損失巨大數字化時代企業IT架構變化IT“四化”訪問用戶多身份化辦公地域隨時隨地化終端設備多元化（BYOD）基礎設施云平

6、臺化、混合化新場景、新要求邊界協同，全場景協作人、財、事、物協同統一、靈活、高效、便捷安全、可控企業內部辦公區域員工.員工第三方基礎設施內部應用辦公軟件數據中心設備外帶公司設備BYOD物聯網任何設備“數據出走”云平臺IaaSPaaSSaaS據信通院調查統計：2020年超過半數的企業對數據中心與云資源池的互聯需求強烈。任何地方咖啡廳居家出差客戶現場員工外出員工供應商第三方用戶數字化時代新IT架構帶來的挑戰安全傳統內網網絡邊界消失，用戶、數據、系統的安全性如何保障？數據泄露、非法攻擊、“內鬼”、影子資產 用戶體驗遺留的內網應用，如何被用戶隨時隨地快速訪問？層層跳轉、資源維護、換網掉線、訪問延時 可

7、管理如何針對身份、行為、資源、信息化做統一管控？內部員工、外部伙伴、內外資源、行為管控 傳統方式已經無法滿足新IT架構的變化。安全和用戶體驗如何平衡？犧牲安全提升用戶體驗，還是降低用戶體驗提升安全性？白山零信任安全產品能力矩陣白山零信任安全之路場景價值員工合作伙伴用戶總部分支地點PCMobileIoT設備短視頻APP電商APP社交APP互聯網CRMO365HRMSaaS應用OAERPSRMMESAPS私有應用白山云全球PoP加速基于身份的業務網準入控制（PA）隱藏暴露面防黑防入侵身份/設備/地點/行為/權限基于身份的互聯網準出控制（IA）自定義應用訪問策略實時阻斷惡意軟件、釣魚、APT內容分類

8、攔截策略上網審計安全威脅識別敏感數據識別用戶/設備 身份上下文分析Zero Trust Access任何地方的實體任何地方的資源為企業提供簡單、快速、安全的內網和互聯網訪問服務，確保分布在全球各地的用戶都能隨時隨地、快速安全地訪問企業本地和云上資源。白山零信任安全基石，統一管控：連接+加速+安全可信 覆蓋全球的節點是邊緣云的基石，已下沉到城域網，解決全球訪問“最后一公里”的問題連接加速邊界安全130ms120ms40ms120ms130ms200+ms全球資源訪問，毫秒級響應企業內部白山零信任安全產品架構 基于代理服務，隱藏內部服務；禁止外部向企業內部的入向訪問連接，確保內部服務安全。身份驗證

9、訪問權限動態調整持續信任評估連接器NAT訪問端可信檢測訪問端可信檢測帶寬管理應用控制行為審計安全防護遠程瀏覽器控制平面數據平面阻斷入向連接圖 例控制指令數據連接災備線路身份管理中心 防火墻應用服務安全、加速數據安全網關AD域.云AD訪問控制引擎邊緣節點訪問控制引擎邊緣節點.策略引擎訪問基線設定基于安全基線進行全方位終端安全防護依據業務類型自動調整安全訪問策略普通應用訪問：p是否安裝殺毒軟件p網絡環境是否安全p連接IP是否為IP庫異常IP敏感應用訪問：p是否安裝殺毒軟件p是否打開系統防火墻p是否安全最新的系統補丁p網絡環境是否安全p連接IP是否為IP庫異常IPp用戶行為是否異?；谕{情報實現安

10、全接入互聯網確保任何一臺終端、任何一個辦公職場安全地接入到互聯網，有效防護惡意軟件、勒索病毒、APT攻擊、釣魚鏈接、非法站點等多種新型高級威脅，實現檢測、攔截、定位、取證一體化。PoP白山SASE網絡PoPPoPPoPPoP安全DNS互聯網應用Client安全訪問釣魚網站勒索軟件不合規內容APT攻擊木馬&C2惡意軟件云端威脅情報客戶端劫持DNS解析全鏈路安全加固保護基于白山邊緣云的應用可信網絡用戶終端抗DDoS/CCBot防護WAF掃描觀測防篡改攻擊防護網絡流量管控網絡流量可視化協議、端口訪問控制威脅防御數據保護行為管理、審計DNS、URL、文件類型、寬帶控制訪問控制訪問策略身份認證訪問門戶用

11、戶、鏈路、資源、審計SaaS應用本地應用互聯網業務統一訪問入口管控收斂暴露面，先認證，再連接，拒絕非法訪問用戶惡意攻擊WindowsLinuxAccess應用主機資源收口，減少攻擊面資源隱藏，先認證再連接，對外不可見身份認證，最小化授權，收放自如精細化授權管控資源訪問審計，安全事件可追溯白山零信任安全產品體系基于零信任理念，構建端到端的五維安全縱深防御體系，保障網絡安全性、訪問安全性。安全聯動SASE：Baishan Canvas統一平臺能力/第三方能力：SIEM、SOAR、UEBA多平臺協作（按需集成）安全加固Baishan Canvas統一平臺WAF、抗DDoS（按需開通）最小授權應用粒度

12、授權，僅針對校驗有權限的用戶建立連接身份認證單點登錄、聯合身份認證、自動化服務認證內網隱身連接器單向連接，隱藏內網IP和端口安全聯動安全加固最小授權身份認證內網隱身控制引擎策略引擎安全代理鏈路加密白山零信任安全訪問架構全球安全組網SD-WANPoPPoPPoPPoPPoPPoPv.AD域 身份管理中心身份驗證訪問控制引擎云端控制臺客戶端訪問端安全檢測應用控制行為審計安全防護權限調整私有云/總部數據中心暴露面收斂安全組網零信任訪問加速業務價值威脅情報檢測用戶行為評估機器學習引擎大數據分析規則引擎持續安全評估北京上海深圳廣州海外海外總部SaaS服務某新零售公司零信任整體方案數據中心（馬鞍山IDC）

13、混合云自建應用內部應用InternetSASE云端控制中心AIMS+信任評估節點調度策略引擎VCPECPE(L4 tunnel)網絡/加速服務SD-WAN CDN DNS 安全服務WAAP DDoSSSL/TLS 國密算法 智能備源 零信任服務細粒度動態授權 SSOIAM UEBA邊緣云服務邊緣云服務白山云全球1000+自建邊緣節點零信任clientIoT設備零信任client服務部（零信任接入）智慧零售（CPE串聯接入）智慧工廠（CPE串聯部署）邊界安全邊界安全云端統一分析監控中心Analyticslogs威脅情報可視化大屏資產巡檢互聯網應用零信任client零信任client分支辦公（CP

14、E旁路部署）CPE(L4 tunnel)Client Connector(L4-L7 tunnel)CPE(L4 tunnel)互聯網用戶出差員工零信任clientClient Connector(L4-L7 tunnel)互聯網訪問（DNS）自建應用訪問（DNS-cname）某央企零信任安全辦公網建設白山全球邊緣網絡分支員工零信任Web門戶零信任client亞洲分支美洲區域中東區域歐洲區域分支員工零信任Web門戶零信任client北京分支上海分支總部員工零信任Web門戶零信任client北京總部總部IDC五步實現一體化建設網絡身份終端業務權限全球節點覆蓋，統一調度、接近接入、智能選路SD-W

15、AN靈活組網，并對關鍵業務例如視頻會議進行加速零信任安全接入保障可信用戶通過可信終端訪問可信應用化整為“零”-白山零信任安全之路邀您共建全面開放網絡安全能力，實現生態共贏，護航數字中國員工 網民合作伙伴用戶PC Mobile物聯網 車聯網設備設備總部 分支國內 海外位置位置網站 APP應用互聯網互聯網CRM O365HRMSaaSSaaS應用應用OA ERPSRM MESAPS內部內部應用應用網絡力量安全力量白山邊緣云安全覆蓋六大洲、國內外250+城市、1400+節點訪問加速暴露面收斂零信任訪問安全組網一DDoS防護API保護WAF防護端點安全共有云專有云私有云成 就 不 可 預 知 的 需 求,防 護 不 可 預 知 的 風 險