零信任构筑铜墙铁壁！让 SDP 成为企业上云安全的“免疫细胞”

云安全是云时代企业数字化转型面临的最大挑战之一，随着时间的推移，企业除了“缺乏云安全架构和策略”这样的古老问题，还出现了“配置错误和变更控制不足”这项新威胁。

Hello 大家好，欢迎收看新一期的《美女与 IT 兽》栏目，我是你们的老朋友微软合作伙伴业务拓展总监 Grace Peng，很久没见不知道有没有想我呢～

想必一直关注节目的朋友应该知道，以往我都会邀请到一位 IT 兽做客，然而这次我为各位谋了个福利，邀请到接受访谈的是一位大美女。她就是我们微软安全领域以及帮助我们企业安全上云的重要合作伙伴——云深互联的 COO Miranda 高婧。想要了解如何让企业安全上云的同学们可要搬好小板凳，认真听讲了。

云安全是云时代企业数字化转型面临的最大挑战之一。众所周知，去年云安全联盟（CSA）发布2020最新版《云计算11大威胁报告》，云安全联盟作为业界权威组织，致力于在云计算环境下为业界提供最佳安全解决方案，其对行业安全专家进行了一项调查，以就云计算中最重大的安全性问题收集专业意见，并针对 Capital One、道琼斯、GitHub、特斯拉等九家知名企业展开云安全案例调研，深度发掘主要的云安全问题。

1.攻击者渴望窃取数据，因此企业需要定义其数据的价值及其丢失的影响；

2.明确哪些人有权访问数据是解决数据保护问题的关键；

3.可通过互联网访问的数据最容易受到错误配置或漏洞利用的影响；

4.加密可以保护数据，但需要在性能和用户体验之间进行权衡；

5.企业需要可靠、经过测试的事件响应计划，并将云服务提供商考虑在内。

如今很多的企业都在做同一件事情，同时也是很重要的一件事，那就是整个 IT 架构上云大迁徙，微软云也在帮助很多企业完成这一任务。这个任务很像我们小时候看《动物世界》里面非洲大草原上的动物大迁徙。在迁徙过程危机四伏、草木皆兵，我们在电视中经常能看到迁徙时血腥的狩猎场面。而企业的上云迁徙面临的威胁和动物迁徙情况如出一辙。数据迁徙过程中，数据的访问权限，数据传输是否会泄漏，大数据存储是否安全等方方面面，其实都会涉及到安全隐患，这种隐患不亚于动物迁徙的危机四伏。所以很多云安全的服务公司应运而生。其实站在企业的角度，数据泄漏是最为担忧的问题。而泄漏的根源，是新旧网络安全不同导致的，过去我们的网络安全是以网络为中心，现在我们讲的新的安全，其实更多的是以身份为中心的，所以围绕数据的访问授权就变得非常关键。云深互联就可以帮助企业解决这个问题。

如何简化理解“企业上云”？Miranda 给了我们相应的解释。

整体 SDP 的架构是参考 CSA 的国际标准，具备三个组件：客户端、访问的发起端、网端。

云安全可以大致分为两个层面，一是云的安全，Security on the Cloud；另一个叫做云中安全，Cloud in the Cloud。举例来说，云的安全就好像一栋大楼，它的地基是稳固的，安保完善；而云中安全更多的是云租户要负责的安全。比如我邀请谁来到我家，然后我允许他拿走什么东西，这个就是云租户要去承担的责任，当然也有一些交叉地带姑且不论。云的安全这一块一直伴随着 Iaas 的普及，像微软这样的专业厂商一直都提供业界丰富成熟的云的安全的解决方案，而云深互联更多解决的是云中安全，提供专业团队给那些缺乏安全人才和专业体系的企业，站在企业角度、云租户角度解决云中安全。

云深互联在企业安全上云方面有着多年的成功经验，这源自于其公司研发的一套云中安全的解决方案 —— SDP（Software Defined Perimeter）。顾名思义，它是相对于硬件定义边界提出来的产品，最早是 CSA 提出的这个模型，后来 Gartner 也做了相关定义。我们过去讲的网络安全是基于固定物理边界定义好的一道墙，它把安全和不安全严格区分开，但是伴随着上云化和移动化，那么这个固定的物理边界就会变的越来越模糊，所以安全是随着数据而动的。数据在哪里安全就在哪里，所以叫做软件定义边界。SDP 主要是从访问的发起端到访问的接收端，去建立一个安全的访问连接机制。在这个过程中，我们有安全大脑可以去基于我们的身份授权去起到一个端到端的访问控制过程。在建立了这个连接之后，我们还会动态的去监控，去检测它的这个行为是不是安全。所以它是一套非常完整地帮助企业安全上云的解决方案。

▲零信任（Zero Trust）

SDP 产品技术架构建立在公有云上，也可以去针对客户的公有云私有云混合云场景去提供解决方案。很重要的一点是安全网关，它是是架构在 Azure 的骨干网络上的，所以我们不光能提供云安全，同时通过 Azure 就近上云，还可以提供应用访问的加速。整体 SDP 的架构是参考 CSA 的国际标准，具备三个组件：客户端、访问的发起端、网端。架构在云上面的还有一个是安全大脑，它去制定我们的一些网络控制的策略，然后下发到客户端跟网关之间去完成一段安全的访问。

而对于 SDP 未来发展的趋势，Miranda 也给出了她的看法。

上云是一个必然的趋势，只是早或者晚的问题。现在很多阻碍企业上云的问题就是大家担心的数据安全，但 SDP 就是解决这一问题的最好答案。例如微软的合作伙伴、美国的上市公司 Zscaler，它已经帮助全球两千强中的四百多家去实施了 SDP 云安全方案，这个上升的势头非常猛烈，在中国市场我们也希望能够有所突破。云深互联坚持“零信任”的安全理念，顾名思义就是默认没有信任。它是基于默认信任的架构基础上再去做一些安全防护。而零信任的这个理念主要还是伴随着边界的溶解。在默认不信任的这个前提之下，我们再通过身份和数据之间的关系去重新构建信任。SDP 就是基于这一理念的一大重要产品。

软件定义边界其实是一个很大的概念，未来仍然有很多事情要做。现在从客户场景来讲比较多的还是应用、私有云或者是混合云的架构，所以云深互联会去替代传统的 VPN，把访问变得更安全、性能更好。但是伴随客户更多的真正上到公有云，我们的方案也是随之去延展，我们可以把传统的上云前的管理和安全能力，通过 SDP 云服务的方式统一的提供给客户。

多年来为企业提供安全上云的云深互联，在实践中积累的大量宝贵的经验。Miranda 拿国家级基础设施的制造商为例，为我们介绍了 SDP 的坚实能力。这家制造商有一个供应商管理平台，这个平台不光是给自己员工用，它还要给它的供应链里的企业去访问使用，那基本上就涉及到了上百家供应商，并对应到上千个的终端用户。从安全的角度来讲，它们之间的关系就是零信任的。过去企业和企业之间分享数据，是通过 VPN ，让各个供应商访问到他们的内网，从而去完成操作。但是我们知道 VPN 的架构是传统的物理边界，内外网的架构为他们的数据安全是带来了很多隐患。基于此，我们替换掉了过时的 VPN 方案，而整体采用 SDP 。SDP 相当于把整个客户的内网对外隐藏起来，只有通过我们的 SPA 敲门协议的用户才能够在监控之下进行访问。虽然从安全上是零信任的，但是其实我们恰恰增进了双方的互信，因此安全就不会再成为一个顾虑。不仅对于外部，对于内部员工而言一样起到了便携帮助。现在很多这种远程移动办公的场景，与其说在每个节点上都要去限制，彷佛是监控员工并限制其工作，此时 SDP 以及零信任的解决方案就可以让大家随心所欲不逾矩的办公。

▲应用场景汇总

2020年，疫情的袭来深刻影响了企业的办公模式。远程办公常态化考验了企业的数据安全能力，不仅如此，一旦在外工作还很容易受到网络的限制。云深互联深谙打工人之苦，一款能够解决远程办公难点的产品 DIA 应运而生。Miranda 为我们介绍了 DIA 的由来。

▲全景图

这款产品是源于客户的刚性需求。举例来说，当一个大型企业的员工面临在三四线城市远程办公时，工作的曲折将会显现。很多企业对安全有着自己的要求，那么这位员工就需要从三四线城市先来到总部接受各种各样的安全措施后，才能够访问到外网，如果去访问一个 SaaS 服务，那会极大程度去降低网速，影响工作效率。云深互联的 DIA 方案，相当于把这些安全的能力都集中进了我们的云网关，所以他可以就近上云。基于我们在 Azure 在全球的节点，他就已经可以享受到云计算所带来的速度优化，这相当于解决了上云安全的同时，也提供了一个应用加速的能力。

▲对比优势

市面上现在也有很多帮助用户应用加速的解决方案，DIA 有着与其他产品独一无二的地方。Miranda 介绍说，云深互联有着一个主营高端制造业的世界五百强客户，他在中国的员工将近有一万人，分布在全国各地，包括很多三四线城市。它的总部对于中国区有着一定的安全合规要求，但在工作中公司发现，安全和性能就像是鱼与熊掌不可兼得。在帮助这个客户解决问题时候，我们考虑了它在全国的分布情况，通过我们跟 Azure 合作的在全国的各个节点，解决了客户就近上云的问题。通过 SDP 这个安全网关，也就是云网关，既解决了完全合规的问题，又不影响员工访问的速度，无论是日常办公还是跨国视频会议、协同交流等，都完美应对。

远程办公常态化已经是企业间的共识。虽然国内疫情控制的非常好，但放眼国际范围，仍有很长的一段路要走，但是企业运作不会停止。在美国，很多企业已经宣布永久在家办公。Miranda 认为，安全和发展是一体两翼，在 IP 架构迁移的过程中，安全一定是深入到业务的骨髓里面，而安全不是一个独立的存在，未来安全的趋势一定是去边界化的，我们的“软件定义边界”就是基于这个理念。

对于中国区有着一定的安全合规要求，但在工作中公司发现，安全和性能就像是鱼与熊掌不可兼得。在帮助这个客户解决问题时候，我们考虑了它在全国的分布情况，通过我们跟 Azure 合作的在全国的各个节点，解决了客户就近上云的问题。

第二个趋势是要和业务深度结合。我们的 SDP 会跟基础的云计算厂商，包括一些 SaaS 厂商共同一起为用户来提供服务，以此确保我们提供的服务本身就是安全的。所以这也是未来安全的一大趋势。在这个大背景之下，云深互联在面向更多客户去提高多样化的服务的同时，也希望成为“零信任”、“SDP” 基础理念在中国的推动者。云深互联成立了国内的 SDP 工作组，作为组长单位牵头做一些实践工作。云深互联非常开心可以和微软云这样的优质伙伴有着深入合作，在产品层面和市场层面为客户提供更好的服务。

这款产品是源于客户的刚性需求。举例来说，当一个大型企业的员工面临在三四线城市远程办公时，工作的曲折将会显现。很多企业对安全有着自己的要求，那么这位员工就需要从三四线城市先来到总部接受各种各样的安全措施后，才能够访问到外网，如果去访问一个 SaaS 服务，那会极大程度去降低网速，影响工作效率。云深互联的 DIA 方案，相当于把这些安全的能力都集中进了我们的云网关，所以他可以就近上云。基于我们在 Azure 在全球的节点，他就已经可以享受到云计算所带来的速度优化，这相当于解决了上云安全的同时，也提供了一个应用加速的能力。

还想了解更多？即刻扫描下方二维码，带你回到“现场”观看精彩回放！

推荐阅读

精彩活动

开发拼武艺，学霸领奖励 ｜ 参加闯关赛赢黑客松学习大礼包！