基于边界构筑的安全防护体系
 
　　面对“云化”开始失效
 
　　云计算、移动互联的快速发展，让越来越多的企业开始尝试将自身各类业务系统迁移至云端。
 
　　随着企业上云，传统的安全边界变的越来越模糊，传统基于固定边界的防护方案已经开始失效无法工作，需要新的安全模型来应对企业上云带来的安全威胁。面对这一问题云安全联盟于2013年提出软件定义边界(Software Defined Perimeter, SDP)。2017年上海云盾基于SDP及第一代云安全防护成果推出首个下一代云安全解决方案《隐身云安全》，经过一年的实践和打磨，已经成功落地商用，并且在持续探索更多的应用场景。
 
　　第一代云安全
 
　　替身云安全
 
　　替身云安全是集中构建一整套安全能力和安全管理的资源池，用户在“替身云”里暂时“隐藏”和“躲避”，从而解决身份、访问、加密、应用、数据、内容等层面的安全问题。
 
　　目前这个领域里有CASB、云WAF、云DDoS等典型方案，国内外知名厂商代表包括上海云盾、cloudflare、incapsula等。
 
　　同时，各大传统安全厂商也正在将自身传统领域的优势复制到云安全领域，形成vFW，vDPI、vWAF、vDLP等统一安全资源池，集成到云环境中。
 
　　上海云盾的第一代云安全历经5年，经过数次大小版本的更新迭代，SAAS平台累计注册用户8万+，服务网站数量40万+。抵御1Tbps峰值DDOS，日均拦截6亿+次攻击。平台底层具备海量资源快速调度、快速生效、用户隔离等技术沉淀，团队成员具备丰富的云安全运营经验。
 
　　公司围绕用户需求创新了多个功能模块：比如政府网站最关心的内容安全，针对此问题，上海云盾全球首创了网站快照功能，可对网站内容随时复原，随时切换版本，且可以分时分区对快照做访问控制，理论上在敏感时期，源服务器可以完全关闭，而对外依然可以展现正常内容。该平台在世界互联网大会、G20、金砖五国等重大活动安保中发挥重要作用，得到众多政府部门及客户的好评。
 
　　下一代云安全
 
　　隐身云安全
 
　　不同于替身的概念，过去虽然为用户构建了前端强健的替身资源，但是替身始终还是绕不开被动挨打问题，新的云安全时代里，如何才能真正化被动为主动？
 
　　安全技术在发展初期，对于边界的安全防范主要是在网络出口布置硬件防火墙，随着IT架构的变化，边界越来越模糊，云的租户不满足共用防火墙，希望得到更个性化的服务。软件定义边界SDP方案应运而生。
 
　　SDP架构核心采用预授权、预认证、预调度、可视化等几项技术。

　　如上图所示，SDP的大脑是SDP Controller（SDP控制器），在业务驱动的前提下，它在访问者和资源之间建立动态和细粒度的“业务访问隧道”。不同于传统VPN隧道，SDP的隧道是按照业务需求来生成的，也就是说这是一种单包和单业务的访问控制，SDP控制器建立的访问规则只对被授权的用户和服务开放，密钥和策略也是动态和仅供单次使用的。
 
　　通过这种类似“白名单”的访问控制形式，网络中未被授权的陌生访问在TCP链接建立阶段就是完全被屏蔽和拒绝的，这种“临时并单一”的访问控制方式，将私有云资源对非法用户完全屏蔽，便大大防止了门外“野蛮陌生人”对云的暴力攻击（如DDoS流量攻击）、精准打击（如APT高级持续威胁）、漏洞利用（如心脏出血漏洞）等，通过构建“暗黑网络”来减小网络的被攻击面。
 
　　上海云盾的SDP解决方案基于该理念框架，重新定义云安全，打造万物互联、全民上云时代下的安全连接、安全智能、安全赋能。
 
　　● 安全连接
 
　　基于可信签名构建每个终端的“VPN隧道”，形成零信任网络，拒绝了一切外部攻击威胁。中心思想是企业不应自动信任内部或外部的任何人/事/物，所有授权前，应对任何试图接入企业系统的人/事/物进行验证。
 
　　● 安全智能
 
　　通过安全大脑，以人为安全中心，采用人工智能身份认证、攻击欺骗等技术识别连接背后的人。同时构建了一个全新的安全边界，动态变幻，迷惑攻击者。
 
　　● 安全赋能
 
　　安全是企业发展的推动器，绝不该阻碍其发展。从早期的软件防火墙，到网站安全加速云，再到如今的下一代云安全，上海云盾一直致力于帮助企业安全高效地上云，安全快速地连接。以业务为驱动，以人为安全中心，赋能企业及行业发展。
 
　　替身+隐身
 
　　两大产品体系双护航
 
　　在公司近10年的发展历史中，上海云盾积累深厚行业经验，不断进行技术创新，现已形成以替身安全+隐身安全的两大产品理念，即将发布的五星产品体系。
 
　　在老一代厂商依旧停留于替身云安全时，上海云盾已经率先迈入隐身云安全时代，能够满足企业复杂的IT架构所面临的高级安全威胁。