完美SDP解决方案，重新定义云安全

基于边界构筑的安全防护体系：面对“云化”开始失效

云计算、移动互联的快速发展，让越来越多的企业开始尝试将自身各类业务系统迁移至云端。随着企业上云，传统的安全边界变的越来越模糊，传统基于固定边界的防护方案已经开始失效无法工作，需要新的安全模型来应对企业上云带来的安全威胁。面对这一问题云安全联盟于2013年提出软件定义边界(Software Defined Perimeter, SDP)。2017年上海云盾基于SDP及第一代云安全防护成果推出首个下一代云安全解决方案《隐身云安全》，经过一年的实践和打磨，已经成功落地商用，并且在持续探索更多的应用场景。

第一代云安全：替身云安全

替身云安全是集中构建一整套安全能力和安全管理的资源池，用户在“替身云”里暂时“隐藏”和“躲避”，从而解决身份、访问、加密、应用、数据、内容等层面的安全问题。目前这个领域里有CASB、云WAF、云ddos等典型方案，国内外知名厂商代表包括上海云盾、cloudflare、incapsula等。

同时，各大传统安全厂商也正在将自身传统领域的优势复制到云安全领域，形成vFW，vDPI、vWAF、vDLP等统一安全资源池，集成到云环境中。上海云盾的第一代云安全历经5年，经过数次大小版本的更新迭代，SAAS平台累计注册用户8万+，服务网站数量40万+。抵御1Tbps峰值DDOS，日均拦截6亿+次攻击。平台底层具备海量资源快速调度、快速生效、用户隔离等技术沉淀，团队成员具备丰富的云安全运营经验。

公司围绕用户需求创新了多个功能模块：比如政府网站最关心的内容安全，针对此问题，上海云盾全球首创了网站快照功能，可对网站内容随时复原，随时切换版本，且可以分时分区对快照做访问控制，理论上在敏感时期，源服务器可以完全关闭，而对外依然可以展现正常内容。该平台在世界互联网大会、G20、金砖五国等重大活动安保中发挥重要作用，得到众多政府部门及客户的好评。

下一代云安全：隐身云安全

不同于替身的概念，过去虽然为用户构建了前端强健的替身资源，但是替身始终还是绕不开被动挨打问题，新的云安全时代里，如何才能真正化被动为主动？安全技术在发展初期，对于边界的安全防范主要是在网络出口布置硬件防火墙，随着IT架构的变化，边界越来越模糊，云的租户不满足共用防火墙，希望得到更个性化的服务。软件定义边界SDP方案应运而生。SDP架构核心采用预授权、预认证、预调度、可视化等几项技术。

如上图所示，SDP的大脑是SDP Controller（SDP控制器），在业务驱动的前提下，它在访问者和资源之间建立动态和细粒度的“业务访问隧道”。不同于传统VPN隧道，SDP的隧道是按照业务需求来生成的，也就是说这是一种单包和单业务的访问控制，SDP控制器建立的访问规则只对被授权的用户和服务开放，密钥和策略也是动态和仅供单次使用的。

通过这种类似“白名单”的访问控制形式，网络中未被授权的陌生访问在TCP链接建立阶段就是完全被屏蔽和拒绝的，这种“临时并单一”的访问控制方式，将私有云资源对非法用户完全屏蔽，便大大防止了门外“野蛮陌生人”对云的暴力攻击（如DDoS流量攻击）、精准打击（如APT高级持续威胁）、漏洞利用（如心脏出血漏洞）等，通过构建“暗黑网络”来减小网络的被攻击面。

SDP解决方案基于该理念框架，重新定义云安全，打造万物互联、全民上云时代下的安全连接、安全智能、安全赋能。

●牥踩??