申请试用

“深云SDP如何防止系统安全漏洞风险”

背景

Web应用是一种可以通过Web访问的应用程序,其最大好处是用户可以很方便的访问应用,用户只需要通过浏览器进行访问,而不需要安装其他的软件。随着信息化、互联网、移动化、云计算的不断发展,Web应用的应用范围和场景也在不断扩大,主要的应用方向有网站门户、信息查询系统、网上服务系统(如网银)、电子邮件系统、网上交易系统等。

Web应用在给用户带来越来越多便利性的同时,其自身的安全也面临越来越严峻的挑战。企业的内网应用可以通过传统的安全防护手段如防火墙、入侵检测系统、入侵防御系统等的保护。而互联网是一个开放的生态系统,Web应用要面对更多外部不可知的安全威胁,这种情况下,由于Web应用已经突破了传统防火墙的限制和保护,因此更容易遭受到外部的黑客攻击。常见的Web攻击手段有:

(1)跨站点脚本:黑客插入脚本代码(如JavaScript或ActiveX)到一个输入字符串,导致Web服务器泄露用户名和密码等信息。

(2)SQL注入:一些应用程序通过复制Web客户端输入来创建数据库查询。黑客通过构造一些应用程序没有仔细检查和会被拒绝的字符串,来获取返回的机密数据。

(3)操作系统命令注入:一些应用程序从web输入来创建操作系统命令,就像访问一个文件和显示文件内容。如果输入的字符串没有仔细检查机制,黑客就可以创建输入来显示未经授权的数据、修改文件或系统参数。

(4)会话劫持:黑客通过猜测基于令牌格式知识的会话令牌的内容来获得登录会话的权利。这使得黑客能接管会话并可以得到原来的用户账户信息。

问题分析

Web应用的防护通常会通过WAF(Web Application Firewall,Web应用防护系统)实现,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。

然而,由于业务发展的需要,Web应用也会进行快速迭代,过程中常常会导致引起新的安全漏洞,这令企业防不胜防,通常只能事发之后去补救,而这就给了黑客以可趁之机,黑客利用系统漏洞发动攻击造成企业的数据泄露或服务瘫痪。另外,网络上通过各种手段绕过WAF的方法也层出不穷,常见的有利用pipline绕过、利用分块编码绕过、利用协议未覆盖进行绕过、使用通配符绕过、使用未初始化的bash变量绕过等手段。而且WAF是属于经验性防御,对于新的或者隐蔽的安全漏洞的解决滞后。 那么针对Web应用有没有更好的防护手段呢?答案是:有的。与其被动防御,不如主动“隐藏”自己。传统的安全防护都是基于“边界防护”的思路,所有的安全策略都是基于对“边界”的加固,以此来防御风险;然而随着云计算、移动化等新兴技术的出现,如Web应用这样的已经突破了传统的“边界”,传统的防护手段已经逐渐失效,不能完全保护企业的应用了,这种情况下企业急需找到一种新的安全防护思路,来应对Web应用的安全问题。

软件定义边界(SDP)就是在云时代下的一种全新的安全防护体系。SDP全称是Software Defined Perimeter,即“软件定义边界”,是国际云安全联盟CSA于2013年提出的基于零信任(Zero Trust)理念的新一代网络安全模型。SDP旨在通过软件的方式,在“移动+云”的时代背景下,为企业构建起一个虚拟边界,利用基于身份的访问控制机制,为企业应用和服务穿上“隐身衣”,使网络黑客因看不到目标而无法对企业的资源发动攻击,有效保护企业的数据安全。

深云SDP解决方案

深云SDP解决方案是一个基于零信任网络安全理念和软件定义边界(SDP)网络安全模型构建的业务系统安全访问解决方案。深云SDP产品包含深云SDP安全大脑、深云SDP客户端、深云隐盾网关三大组件,该产品可以基于互联网或各类专网分别建立以授权终端为边界的针对特定应用的虚拟网络安全边界,基于用户身份提供特定应用的最小访问权限;同时深云隐盾网关具备网络隐身功能,特定应用对虚拟边界以外的用户屏蔽网络连接,同时在传统网络安全设备上最大化设置严谨的安全策略以减少隐患、最小化开放网络端口以减少因为网络协议自身漏洞造成的攻击,这样可有效缩小网络攻击面,提高全域网络安全。

1 深云SDP三大组件

深云SDP包含三个组件----深云SDP客户端、深云SDP安全大脑、深云隐盾网关,如下图所示:

(1)深云SDP客户端:深云SDP客户端基于chromium浏览器内核开发,但是区别于市面上其他浏览器,深云SDP客户端主要面向企业办公场景,为保护数据安全、提升工作效率而设计。在深云SDP中,深云SDP客户端用来做各种的身份验证,包括硬件身份,软件身份,生物身份等。

(2)深云SDP安全大脑:深云SDP安全大脑是一个管理控制台,用来对所有的深云SDP客户端进行管理,制定安全策略。深云SDP安全大脑还可以与企业已有的身份管理系统对接

(3)深云隐盾网关:所有对业务系统的访问都是要经过SDP网关的验证和过滤。

2 三大组件工作流程

(1)深云SDP客户端用SPA技术向安全大脑发送访问请求。

(2)深云SDP安全大脑验证用户信息,返回授权、网关信息、策略信息;同时,深云SDP安全大脑将用户信息、策略信息发给深云隐盾网关。

(3)深云SDP客户端用SPA技术带着授权向深云隐盾网关发送访问请求。

(4)深云隐盾网关检查从深云SDP安全大脑获取的安全策略,验证客户端授权,建立双向加密链接。\u2028(5)深云SDP安全大脑会随时监控连接是否符合安全策略,即时调整。

3 具体方案

1.深云SDP-应用服务器的“隐身防护罩”

深云SDP客户端与深云隐盾网关通信会用到SPA技术。深云SDP的深云隐盾网关默认“拒绝一切”连接,只会接收深云SDP客户端发来的第一个带身份信息的包。隐盾网关验证通过后,才会允许深云SDP客户端建立连接。

2.深云SDP-态势感知展现全局安全态势

深云SDP安全大脑可以汇聚各个深云隐盾网关以及所有深云SDP客户端发送过来的日志及审计信息,对汇聚信息进行大数据智能统计分析,及时发现来自内部人员的安全威胁:

(1)深云安全态势感知平台汇聚数据,统计并展示实时活跃用户、系统激活用户及设备数量、当前在线用户数、用户访问次数以及拦截访问次数,协助运维人员快速了解应用系统访问情况。

(2)深云安全态势感知平台从多个维度对用户访问数据进行统计分析,展示各应用访问排名,帮助运维了解业务系统访问及运营情况,展示深云隐盾网关拦截的非法请求数量帮助运维人员核查异常用户访问情况,及时发现企业内部风险。

(3)深云安全态势感知平台通过对每日、每周或每月数据对比,展示每日访问量变化最大的应用系统和活跃度变化最大的用户,以此帮助企业了解业务应用系统访问压力变化,急时发现业务应用异常,及时根据实际情况调节业务系统性能。

(4)深云安全态势感知平台可以实时检查业务系统及深云SDP组件的状态,第一时间发现业务应用或隐盾网关故障并生成报警信息,降低企业运维压力及风险。

深云SDP

云时代的企业安全体系

申请试用

申请试用