安全挑戰
1.企業邊界逐漸模糊,業務的分佈化,安全設備難以部署

隨着企業數字化轉型,企業大量採用了雲計算和大數據技術,越來越多的業務和數據遷移到公有云之上。由於業務系統的建設和分佈廣泛,難以繼續基於傳統邊界構築安全防線,企業的邊界已經逐漸模糊。

2.傳統的基於網絡ACL的管理粒度逐漸失效

只有對業務進行合理有效的安全保護,才能保證企業的信息化系統。而傳統的網絡ACL技術,難以構建基於業務的訪問隔離策略,也無法適應基於業務的管理要求。

3.全網安全管理強度和效果難以一致

隨着業務系統的建設和分佈更加廣泛,不同部署位置的環境差異、部署方式的差異等,導致傳統方案難以在所有位置構建強度一致的安全策略。

4.老舊系統的訪問安全成為關鍵隱患

大量已長期使用或逐漸失效的老舊業務系統往往缺少維護,難以進行安全升級及加固。它們直接暴露業務及訪問,會造成難以預期的安全隱患。


解決方案

數字化轉型讓企業將大量業務和數據遷移到公有云上,業務系統的建設和分佈變得更加廣泛,原有邊界瓦解,安全設備難以部署。

奇安信業務訪問隔離解決方案採用全新的安全代理引流設計,通過防火牆ACL配合,使得任何業務的訪問均需通過安全代理網關中轉,無需改變網絡拓撲即可實現業務訪問流量的牽引調度;並通過集中管理平台對部署在不同位置的所有安全代理網關下發一致的安全策略,從而實現全網的統一安全管控效果。


在各個分支機構及數據中心業務系統前,部署安全代理網關,提供多種協議的代理服務。

安全代理網關採用全新的安全代理引流方案,通過防火牆ACL配合,任何業務的訪問需要通過安全代理設備進行訪問中轉,在不改變網絡拓撲的情況下,進行業務訪問流量的牽引調度。將全網的業務訪問流量,限制為僅允許通過指定路徑訪問,從而解決訪問路徑收口的問題。

安全代理網關作為業務訪問的統一接入點,可以進行對業務訪問的精細化策略控制,包括:

• 對所有訪問的認證和授權處理,禁止任何未認證的訪問行為

• 基於業務的訪問權限設置,如允許特定人訪問指定的業務系統

• 限制針對業務的各種具體操作,如限制指定資源的上傳或外發

• 可對任何上傳下載內容進行完整的內容合規性檢測和安全性掃描,從而保證完整傳輸內容的安全性和合規性

安全代理網關可以以物理硬件方式部署在企業分支邊界,也可以以虛擬化方式部署在數據中心或企業雲邊界,有效解決多種業務形態和訪問邊界的部署難題。

通過統一的集中管理平台,可以對部署在不同位置的安全代理網關採用一致性的安全策略,對於全網任何位置的接入訪問,不受任何網絡環境及部署環境的影響,都可達到統一的安全管控強度,從而實現全網統一安全管控。


方案特點


採用安全代理的方式進行流量牽引,在不改變物理及網絡拓撲的前提下,有效解決邊界訪問路徑不收斂的問題。

基於代理架構構建安全隔離及內容檢測能力,可以對各種業務訪問進行精細化的管控,同時對雙向內容進行完整的安全及合規性檢查,從而保證各種業務訪問的合規性及安全性。

安全代理網關支持硬件形態及虛擬化部署等多種部署方式,既可以以物理形態部署在企業邊界,也可以以虛擬化形態部署數據中心,同時還可適配多種公有云平台,從而提供各種業務形態及部署環境下的產品部署方案。

採用全自研的代理隔離及訪問控制引擎,具有高性能高可靠等多種優勢。

通過設備或軟件堆疊提供主主模式的多機擴容方案及高可靠方案,滿足企業級的可靠性及擴容要求。

支持對各種形態的安全代理網關進行集中管理,使部署在分支機構邊界、數據中心、企業雲等任何位置的安全代理網關,具有統一的安全控制策略強度,避免出現安全管理缺口。

支持HTTPS加載,可以對老舊HTTP業務進行HTTPS加固,從而保護業務的傳輸安全。
應用價值

奇安信業務訪問隔離解決方案在不改變物理及網絡拓撲的前提下,有效解決邊界訪問路徑不收斂的問題,並實現了對各種業務訪問的精細化管控,還可以對雙向內容進行完整的安全及合規性檢查,從而保證各種業務訪問的合規性及安全性。