近年来,传统边界安全的失效已然是业界的共识。据SonicWall在2023年发布的网络威胁报告,在整个2022年度,恶意软件、网络入侵、加密劫持和物联网恶意软件出现明显增长。可以说,在缺少体系化防御措施的情况下,在各个行业网络攻击的态势更趋于严重。
频发的网络安全事件,一方面是由于在数字化转型过程中,随着云化、移动化网络架构的普及,传统的安全边界被打破,且应用多样化、架构微服务化的趋势使得攻击面也剧增。
另一方面,企业所面临的安全威胁也更加多样,技术的进步在惠及企业的同时,也为不法分子提供了武装。近年来,新的攻击手段层出不穷,且攻击的锚点也在持续增加,从网络层、应用层、业务层到API攻击无一幸免。
“网络安全具有明显的‘木桶效应’,攻破一个薄弱环节就全线瓦解。” 网宿科技副总裁、首席安全官吕士表表示,网络安全需要从全局出发,通过体系化的核心逻辑,实现安全的所有模块同样的高水位。
何为“体系化安全”?具体来看,网宿安全“体系化安全”主要包含面向Web安全的WAAP全站防护体系、面向企业生产与办公安全的SASE办公安全一体化体系以及面向企业安全建设的MSS综合安全服务托管体系。
WAAP全站防护体系:守护Web安全
WAAP(Web Application and API protection),即Web 应用防护和 API 防护。2021年,Gartner分析师Jeremy D'Hoinne和Adam Hils创造了WAAP一词,这可以看作是对WAF(Web Application Firewall,Web应用程序防火墙)的一次进化与革新,旨在提高业内厂商和用户企业对API安全防护的重视程度——API作为企业数字化转型的重要基础设施已逐渐成为攻击者的主要攻击目标。
根据Gartner的预测,到2026年,超过40%的拥有C端应用程序的企业,将依靠WAAP来缓解僵尸攻击,尽管2022年该比例不到10%。当前,云Web应用程序和API保护市场迅速增长。
基于WAAP理念,网宿安全采用云化服务的方式,集成DDoS云清洗、Bot管理、API安全和Web攻击防护四大能力,替代Web安全各个安全能力的简单叠加,可为企业提供覆盖Web基础设施、应用和业务的一体化防护方案。值得一提的是,网宿WAAP是全国首家通过中国信通院(WAAP)安全能力检验的WAAP安全防护方案。
DDoS云清洗是网宿安全依托于自身的资源优势,结合大数据分析,自主研发的防护算法,能够实时检测并清洗各类DDoS攻击,平台防护能力超15T/10亿QPS。
分布式Bot管理网络结合风控决策大脑,采用人机对抗、设备指纹、AI模型、威胁情报等关键技术,实现对业务风险的分层治理。
在API安全方面,网宿WAAP通过对API资产及风险进行盘点,对API流量进行实时的精细化检测与防护,以此保障API数据安全及业务的高可用。
对于WEB攻击的防护,网宿WAAP能防御各类Web攻击,避免网站恶意入侵,同时由于搭载了全站隔离技术,能够有效隐藏网站源码、JS、API、开发框架等暴露面,保障业务数据安全。
据吕士表介绍,网宿WAAP可提供L3-L7层威胁纵深防御,防护引擎的架构,以网宿资源、数据、实战经验和AI驱动的智能防护技术为能力底座,在复杂攻击场景下,通过通用模块和场景化防护模块的联动防护,能有效提升对抗效率和防护能力。较叠加安全方案,网宿WAAP可处理延时减少30%、响应速度提高5倍、防护效果提高30%以上并大大简化运营复杂度, 显著提高运营效率。
事前,通过一键接入并识别web资产提前发现资产暴露面;事中,通过DDoS/CC防护、Web攻击防护、分布式Bot管理、API安全管理及全站隔离等技术,在全站防护管理的统一管理下实现Web防护的闭环;事后,网宿安全运营专家通过对数据的聚合分析,可提供业务防范策略优化、安全加固建议等解决方案。这样,网宿WAAP就实现了对Web资产的全生命周期防护。
在2022年中国公有云抗DDoS、云Web应用防火墙市场份额排行中,网宿安全均跻身前5位,网宿WAAP正在获得越来越多合伙伙伴的认可。
SASE办公安全一体化体系:助力办公与生产网络安全
SASE全称 Secure Access Service Edge,即安全访问服务边缘,是Gartner在2019年提出的安全模型,SASE将全面的网络即服务功能与全面的网络安全功能结合起来。
随着云、大数据、物联网、边缘计算以及移动办公的发展,大多数企业或组织拥有了更多位于企业外部的用户、设备、应用程序、服务和数据。企业需要同时满足安全性、云、远程访问和连接要求。Gartner指出,在SASE市场趋势报告中,“客户对简单性、可伸缩性、灵活性、低延迟和普遍安全性的需求迫使WAN边缘和网络安全市场融合。”
根据Gartner对于SASE的描述,SASE将SD-WAN组网、安全性和远程访问融合到统一的云服务中,通过崭新的融合云原生架构为客户提供对现有分散网络的组合和安全控制功能,包括软件定义广域网(SD-WAN)、安全Web网关(SWG)、云访问安全代理(CASB)、网络防火墙(FW)和零信任网络访问(ZTNA)。
目前,SASE已有多种典型的应用场景,包括混合型办公、三方访问、兼并和收购、网络转型、边缘保护等,支持端到端的访问安全控制以帮助各种规模的企业保护用户、应用和数据安全。
网宿安全SASE平台是国内首个基于云原生,以全球分布网络架构提供高度融合的一体化云服务,基于SASE安全架构和零信任安全理念,整合SD-WAN智能网络、全球边缘计算节点及安全防护能力,以统一管理平台和统一客户端的形式,提供一体化办公安全解决方案,可有效降低因企业网络安全边界模糊导致的各种攻击风险,并提升IT效率。
在攻防对抗中,网宿SASE一体化办公安全方案依据“以身份为中心、永不信任,持续校验和动态授权”的零信任理念,建立起端到端系统的零信任防护体系,构建了覆盖“应用、终端、身份、行为、数据”的5层可信防线,实现纵深防御,保障企业网络及IT资产数据安全。
在数据安全治理中,零信任SASE的应用能够以覆盖数据生命周期的闭环防护,一体化解决数据泄露风险。
在安全组网中,网宿自研SD-WAN智能网络,作为零信任SASE平台底座能力之一,融合了广域网优化、关键业务保障、秒级实时监控、多级预警和可视化智能集中运维等技术。网宿SD-WAN平台支持MSTP、SDH、MPLS、Internet、4G/5G等多种接入方式,在客户端部署CPE能将用户流量就近引入到平台,然后通过一个控制系统就能完成对规划、开通、监控、告警、管理操作的集中化管理,并且平台POP节点多技术的应用还能帮企业实现业务隔离、数据加密与转发。
网宿SASE强大的平台能力、全场景的数据安全方案、一体化零信任解决方案以及高水位纵深防护等优势帮助网宿安全赢得了市场认可,并入选了Gartner《2023年中国ICT技术成熟度曲线报告》SASE领域的标杆厂商。
对于许多有意或已经踏上SASE之旅的企业而言,SASE的建设需要全面改变架构、流程和安全意识,因此过渡到完整的SASE架构需要时间。网宿安全建议,对于那些已经走向零信任的企业而言,要达到SASE的演进目标,并非需要重新购买所有的新技术,而是可以结合应用已部署技术以及各种技术组合,将安全效益在SASE框架中最大化利用。
MSS综合安全服务托管体系:服务企业安全体系建设全流程
网宿安全将企业安全体系的建设划分为四个阶段:合规建设期,风险防控期、数据保护期和对抗反制期。
在合规建设期,企业需要确保IT基础设施及线上业务满足监管合规要求,网宿安全能提供等保、密评与数据安全为一体的端到端合规咨询服务来帮助企业完成这一安全建设的基础工作。
在风险防控期,企业提供基于云地联动的安全托管服务,帮助企业快速构建丰富的风险感知能力、提高防护等级。
在进入数据保护期后,企业需要通过整体防控完善内部信任与风险控制机制。网宿安全提供基于PDCA循环的安全运营优化解决方案帮助企业优化安全体系。
在对抗反制期,基于网宿自研安全产品及服务,为企业构建主动防御体系,达到实战赋能、溯源反制能力。
此外,针对多云异构以及混合环境等场景,网宿安全搭载了横跨公有云、私有云以及物理环境一体化的云安全管理平台,提供从边界、主机到数据库层面的安全防护组件,并集成了资产、漏洞、攻击面、日志等多维管理能力,实现可视化的统一安全运营管理。
“数智化”这把双刃剑如何使用,是产业上下亟需解决的课题。网宿安全在网络安全领域深耕超过13年,沉淀了50余项安全能力,平台防护规模超过15Tbps,并且在长期的攻防实战中,积累了丰富的经验、海量的威胁情报数据。未来,网宿安全Web和基础设施防护的一体化、办公和安全的一体化、安全服务和安全托管的一体化的体系化防御能力还将持续演进,助力企业数智化发展,实现安全价值最大化。