【李新顺】 SDP架构下的安全矩阵设计（19页）.pdf

《【李新顺】 SDP架构下的安全矩阵设计（19页）.pdf》由会员分享，可在线阅读，更多相关《【李新顺】 SDP架构下的安全矩阵设计（19页）.pdf（19页珍藏版）》请在三个皮匠报告文库上搜索。

1、SDP架构下的安全矩阵设计单位：云涌科技 主讲人：李新顺股票代码：68806001.背景前言02.零信任安全矩阵实践02-1 五大SDP安全控制02-2 增强IAM、行为分析和态势感知 02-3 主机可信计算 02-4 零信任远程浏览器隔离 02-5 边缘网关隔离0 1背景前言04年成立 云涌科技创立于2004年，是国内较早将嵌入式技术应用于工业互联网、工业物联网信息安全领域的公司之一。5个机构总部位江苏泰州，同时在北京、郑州、南京、深圳设有4个分支机构，集研发、生产、销售、服务为一体。1/3研发团队公司研发人员占比44.79%，本科以上员工占比90%。人员涵盖信息安全、嵌入式系统、工业自动化

2、、物联网，零信任，可信计算等多个技术领域。500家客户公司累计推出上百款产品，服务客户超过500家、现场稳定运行设备超过30万台。特别是在电力调度安全和配网自动化安全等领域，公司具有较强的核心竞争力。公 司 介 绍鸡蛋不要放在一个篮子里没有一种安全框架能解决所有场景的安全问题没有单点的安全控制永远不会被绕过串行的多层安全控制链不能解决累积攻击采用最新的安全框架，组合已有成熟传统技术，矩阵式的安全控制联动使攻击者在每个阶段的攻击清零，达到最佳防护效果零信任方案提供商有责任，也是最佳的一体化安全矩阵的规划和建设者0 2零信任安全矩阵实践零 信 任 安 全 矩 阵 实 践基于SDP架构的五层安全保护

3、体系通过边缘计算节点的全生命周期管理和基于设备指纹的身份认证实现服务隔离，以远程安全浏览器隔离实现关键数据的数据防泄漏和安全运维以灵活配置的用户行为分析策略，威胁情报数据保证持续验证和动态授权通过集成服务主机侧的可信计算技术实现主动安全零 信 任 解 决 方 案 建 设 目 标 的 8 个 保 证：正 确 的 人，使 用 正 确 的 设 备，通 过 正 确 的 应 用，在 正 确 的 时 间，正 确 的 地点，用 正 确 的 身 份，以 正 确 的 权 限，访 问 正 确 的 服 务五 大 S D P 安 全 控 制端口扫描，握手攻击，服务隐藏 ，减少攻击面U D P 实 现 真 正 的 单

4、包 授 权需 要 解 决 的 问 题：UDP传输不可靠性的用户体验 加密问题 重放攻击，多IP处理 UDP flood攻击，SPA轻量化的问题SPA五 大 S D P 安 全 控 制持续检测安全基线的检测版本，补丁，密码策略，防火墙，远程端口开放.病毒及恶意程序检测响应策略制定响应策略集中配置全局或服务级别MFA/告警/阻断终端设备检测五 大 S D P 安 全 控 制传 输 层 加 密强制所有传输通道TLS 消 除 弱 加 密SHA1 cbc padding oracle attackRSA 1024 多 隧 道 技 术服务级别控制，支持应用层虚拟主机级别的服务授权，性能更高，控制粒度更细m

5、TLS五 大 S D P 安 全 控 制缺省静态规则：默认拒绝一切访问基于SPA的包过滤动态规则建立和删除规则实施于任何用户设备和网关，网关与网关，网关与控制器规则有时效性，自动过期动态防火墙五 大 S D P 安 全 控 制应用绑定通过管理控制中心设定只有授权的白名单应用进程可以通过TLS隧道传输数据，消除木马病毒在后台的网络访问隐患多隧道模式控制每个服务隧道只有管理员配置的对应服务的客户 端应用可以访问基 于 S D P 框 架 的 安 全 矩 阵真正的零信任不信任任何其他的安全节点的防御是完全成功的根据不同的业务场景和安全需求等级，运维能力，可以在轻量级的SDP网络安全框架上，通过统一的

6、管理，提供不同的安全联动节点增 强 I A M、行 为 分 析 和 态 势 感 知 任何用户使用行为的改变都是可疑的使用地点，时间，设备更换 基于持续审计日志分析的攻击报警 客户端使用环境的安全基线的变化 威胁情报平台,EDR 和 XDR的集成，提高监控预警响应能力，自动化运维，快速应对突发威胁 主 机 可 信 计 算静态度量重要配置参数可信验证可信引导程序可信验证动态度量基于服务端可信计算的四大主动防御体系主 机 可 信 计 算 从系统引导阶段开始提供全面的操作系统内核级程序运行控制、核心进程防护、关键目录保护等安全机制，逐步建立完善的服务器操作系统级安全管理体系，给予服务器主动防御的能力，

7、保障服务器的运行安全、数据安全及安全管理，为服务器提供全面的安全防护有效的防止供应链的攻击和勒索病毒的植入和运行。极大降低类似SolarWinds事件和美国油管事件的发生概率零 信 任 远 程 浏 览 器 隔 离零信任 不同于远程桌面，而是流式浏览的协议转换访问实现隔离，用户可能遇到的任何恶意软件或病毒不会扩散到企业的服务器上 阅后即毁的系统保证服务器每次都是接受来自一个最干净的客户端 定制的静态系统镜像和网络策略防止木马和病毒下载，加载和钓鱼网站，跨站攻击，os注入 数据隔离，本地不落地，保证了企业敏感数据的泄露风险 类似堡垒机的功能，简化高安全业务系统的网络访问规则一定不要信任用户的运行环境是安全的！零 信 任 远 程 浏 览 器 隔 离最重要的事情浏览器本身也是需要保护的资源，应该在SDP框架的保护下，数据流通过SDP的TLS实现多层加密传输边 缘 网 关 隔 离物联网系统微隔离架构 物联网的设备端和边缘端，不像云端的服务运行在一个严格管控的安全物理环境，设备接入的认证方式相对简单基于设备的全生命周期管理，可以在设备出厂，证书绑定，设备入网，设备升级，设备淘汰的各个环节进行安全控制和监控动态设置各边缘网关安全策略和实时检测各边缘网关的安全态势以边缘网关作为枢纽，实现东西向和南北向的边界隔离，及时切断和孤立单个节点的攻击扩散，保证云端数据中心的关键资产数据云雾边端