安全挑战
1.企业边界逐渐模糊,业务的分布化,安全设备难以部署

随着企业数字化转型,企业大量采用了云计算和大数据技术,越来越多的业务和数据迁移到公有云之上。由于业务系统的建设和分布广泛,难以继续基于传统边界构筑安全防线,企业的边界已经逐渐模糊。

2.传统的基于网络ACL的管理粒度逐渐失效

只有对业务进行合理有效的安全保护,才能保证企业的信息化系统。而传统的网络ACL技术,难以构建基于业务的访问隔离策略,也无法适应基于业务的管理要求。

3.全网安全管理强度和效果难以一致

随着业务系统的建设和分布更加广泛,不同部署位置的环境差异、部署方式的差异等,导致传统方案难以在所有位置构建强度一致的安全策略。

4.老旧系统的访问安全成为关键隐患

大量已长期使用或逐渐失效的老旧业务系统往往缺少维护,难以进行安全升级及加固。它们直接暴露业务及访问,会造成难以预期的安全隐患。


解决方案

数字化转型让企业将大量业务和数据迁移到公有云上,业务系统的建设和分布变得更加广泛,原有边界瓦解,安全设备难以部署。

奇安信业务访问隔离解决方案采用全新的安全代理引流设计,通过防火墙ACL配合,使得任何业务的访问均需通过安全代理网关中转,无需改变网络拓扑即可实现业务访问流量的牵引调度;并通过集中管理平台对部署在不同位置的所有安全代理网关下发一致的安全策略,从而实现全网的统一安全管控效果。

业务访问隔离解决方案

在各个分支机构及数据中心业务系统前,部署安全代理网关,提供多种协议的代理服务。

安全代理网关采用全新的安全代理引流方案,通过防火墙ACL配合,任何业务的访问需要通过安全代理设备进行访问中转,在不改变网络拓扑的情况下,进行业务访问流量的牵引调度。将全网的业务访问流量,限制为仅允许通过指定路径访问,从而解决访问路径收口的问题。

安全代理网关作为业务访问的统一接入点,可以进行对业务访问的精细化策略控制,包括:

• 对所有访问的认证和授权处理,禁止任何未认证的访问行为

• 基于业务的访问权限设置,如允许特定人访问指定的业务系统

• 限制针对业务的各种具体操作,如限制指定资源的上传或外发

• 可对任何上传下载内容进行完整的内容合规性检测和安全性扫描,从而保证完整传输内容的安全性和合规性

安全代理网关可以以物理硬件方式部署在企业分支边界,也可以以虚拟化方式部署在数据中心或企业云边界,有效解决多种业务形态和访问边界的部署难题。

通过统一的集中管理平台,可以对部署在不同位置的安全代理网关采用一致性的安全策略,对于全网任何位置的接入访问,不受任何网络环境及部署环境的影响,都可达到统一的安全管控强度,从而实现全网统一安全管控。


方案特点

业务访问隔离解决方案

采用安全代理的方式进行流量牵引,在不改变物理及网络拓扑的前提下,有效解决边界访问路径不收敛的问题。

基于代理架构构建安全隔离及内容检测能力,可以对各种业务访问进行精细化的管控,同时对双向内容进行完整的安全及合规性检查,从而保证各种业务访问的合规性及安全性。

安全代理网关支持硬件形态及虚拟化部署等多种部署方式,既可以以物理形态部署在企业边界,也可以以虚拟化形态部署数据中心,同时还可适配多种公有云平台,从而提供各种业务形态及部署环境下的产品部署方案。

采用全自研的代理隔离及访问控制引擎,具有高性能高可靠等多种优势。

通过设备或软件堆叠提供主主模式的多机扩容方案及高可靠方案,满足企业级的可靠性及扩容要求。

支持对各种形态的安全代理网关进行集中管理,使部署在分支机构边界、数据中心、企业云等任何位置的安全代理网关,具有统一的安全控制策略强度,避免出现安全管理缺口。

支持HTTPS加载,可以对老旧HTTP业务进行HTTPS加固,从而保护业务的传输安全。
应用价值

奇安信业务访问隔离解决方案在不改变物理及网络拓扑的前提下,有效解决边界访问路径不收敛的问题,并实现了对各种业务访问的精细化管控,还可以对双向内容进行完整的安全及合规性检查,从而保证各种业务访问的合规性及安全性。