sidebar_position: 1


信域设计思想

信域:分布式企业的身份化安全网络

随着云计算、移动互联网、物联网和5G技术的飞速发展,如今大多数企业开始将业务迁移至云上。企业同时使用多个云服务、多个数据中心、多个办公职场已经非常普遍,员工移动化办公、合作伙伴远程协同工作已经成为了企业内部协作常态。

以办公室为中心的传统企业,正在演变成由分散在各地的员工和多云、多数据中心组成的分布式企业。

在分布式企业网络里,传统安全模型被越来越碎片化的网络所限制,难以做到以人为中心的全面威胁感知和及时响应,网络访问控制也受到碎片化、动态化的网络环境影响,变得越来越复杂,管理成本越来越高。

在分布式企业里,业务的灵活性与网络的安全性总是互相制约、难以两全,企业亟需一种能适应分布式环境的安全网络架构来应对未来的业务快速发展。

从IP网络升级到ID网络

绎云科技自主研发的信域安全云网,融合了多种网络和安全创新技术,采用了网络安全网格架构,为分布式企业在碎片化的业务网络之上构建了一张能覆盖全球但又完全隐身的实名制专有安全网络。

信域将分布式企业碎片化的网络资源重新整合在一起,实现了跨越物理位置的集中安全分析与网络管控能力,帮助分布式企业从基于IP(位置)的网络架构升级为基于ID(身份)的网络架构,让业务协同更可信、更灵活、更高效,助力企业在业务数字化转型过程中从容面对复杂网络和安全威胁带来的挑战。

设计思想

网格架构的云化安全网络

信域安全云网采用了与云计算类似的网络虚拟化方法,将企业分布在各地的终端与业务资源重新整合在一张Full-Mesh结构的点对点Overlay网络中。

云计算的本质是物理资源虚拟化,是一种通过虚拟化实现资源共享的技术。

云计算把多个位于不同数据中心的服务器资源云化,并构建在一个虚拟的Overlay网络中,云租户在这个Overlay网络集中地对资源进行统一编排。 但实际上,业务数据分布在各地不同的物理服务器上,数据传输也是在物理网络中传输,租户无需考虑物理资源和物理网络的实际位置。

云计算通过虚拟化技术实现了业务与物理位置无关的特性。

参考云的架构思路,信域将虚拟化的范围进一步延展,把分布在多个云、多个数据中心的业务资源,分布在互联网任意位置电脑终端、手机终端、物联网终端都构建在一个全新的Overlay网络中,让企业碎片化的内网突破物理网络限制,整合成一张跨地域的点对点虚拟网络。

云化后的企业内网是一个与物理位置无关的点对点极简网络,可以跨越整个互联网连接任何物理位置的业务资源和终端。每一个终端、每一个业务资源在云网络里都是点对点直连关系(Full-Mesh结构),但默认访问控制策略又让每一个终端、每一个业务资源之间都是基于身份点对点网络隔离的,只有当明确授权以后才可互相访问。

统一身份的实名数据网络

信域将企业的统一身份同步到信域安全云网,对每一个接入终端执行实名注册,并利用加密技术将终端用户的统一身份与终端身份植入到每一个传输层数据包中,在传输层实现了完全实名制的底层网络。

网络在传输层的每一个数据包都实名制,意味着网络访问控制从此不再依赖IP地址,可以完全以用户身份或终端身份作为网络访问控制的关键要素。

安全管理员无需考虑碎片化物理网络的复杂性,无需依赖IP地址,而是始终聚焦安全最核心的三个网络对象:人、终端和业务,集中地进行安全策略编排,执行跨域的上下文分析研判和分布式地实时处置。

实名制网络让分布式企业从基于IP的网络安全体系升级到基于身份的网络安全体系成为可能,是分布式企业实现零信任安全的网络基础。

集中策略编排分布式执行

网格架构的云化安全网络让分布式企业不再被碎片化的物理网络所限制,所有的终端与业务资源被重新整合在一张虚拟网络中,安全管理员可以在虚拟网络中集中地对位于任意位置的终端与业务资源进行统一策略编排。

统一身份的实名数据网络,让安全管理员在编排策略的时候不再依赖IP地址,而是直接通过统一身份和终端信息,基于身份属性进行授权策略编排。信域根据实际的帐号、终端和业务资源信息,动态地生成海量的基于身份的细粒度网络访问控制策略。

防火墙在过去三十年历经多次迭代(包过滤->应用代理->状态检测->UTM->NGFW),但始终采用的是基于IP地址的网关型控制模型(边界防御模型)。

而信域则采用了完全不同的,基于身份的分布式访问控制模型,所有基于身份的细粒度网络访问控制策略将实时地同步到每一个终端与业务代理网关上分布式执行。

这种基于身份的分布式网络访问控制模型更适合在碎片化网络中实现跨域的网络控制,不仅能大幅降低网络安全管理成本,还能让响应处置更加精准可靠。

围绕身份的智能风险分析

实名制网络让分布式企业的网络数据有了身份,企业不再只能依赖IP地址进行业务访问行为分析和研判。在信域安全云网中,无论是从终端采集到的终端环境信息,还是在网络上采集到的网络流量日志,都将被打上身份标签,存储在信域智能分析平台TMI,供其他安全分析模块执行基于身份的跨域上下文分析。

无论终端用户在什么时候、在什么地方产生的业务访问行为数据、环境数据,都将在TMI上根据身份进行分类聚合。

TMI通过内置的AI算法,对每一个帐号、每一个终端的业务访问习惯执行包括访问业务类型、网络协议类型、访问时间、访问地理位置、访问频率、敏感数据类型等,总共二十多个维度的行为特征分析,形成围绕身份的动态行为基线。

TMI根据终端用户的实时行为数据和动态行为基线,识别在信域安全云网中的异常行为,并实时地进行自动二次研判,当发现存在威胁即对帐号或终端进行全网处置。

产品应用价值

信域安全云网将分布式企业基于IP地址的传统安全边界网络升级为基于身份的零信任安全网络,让网络安全性与业务灵活性不再相互制约,解决了分布式企业网络碎片化带来的管理复杂、业务访问不便捷、数据访问不安全的诸多问题。

随处办公

信域是在物理网络之上构建的一个点对点虚拟网络,无论终端或业务系统分布在什么地方,逻辑上都属于同一个虚拟网络中。终端和业务资源突破了地理位置限制,轻松实现了员工随处办公的业务需求。

  • 员工在任何地方都能像在办公室一样,无需切换链路就能无差别地同时访问位于不同物理位置的授权业务。

  • 员工可以使用电脑、手机、浏览器随时访问授权业务,也可通过企业IM平台(如:钉钉、企微、飞书等)直接访问,实现企业办公入口的集中统一。

  • 对接单点登录系统,员工登陆时一次认证即可访问所有授权业务,提升业务访问体验。

  • 支持长时间、大流量、稳定可靠的业务访问体验,支持自动链路优化,全天办公不中断。

高效运维

信域基于软件定义网络技术构建,具备灵活的混合云组网、网络调度和高可用特性,将管理员从分布式企业的复杂网络环境中解脱出来,轻松地以人为中心进行网络运维。

  • 业务弹性、高可用部署,支持将业务同时部署在多云、云地混合、多数据中心环境,让业务部署不受地理位置限制。

  • 用身份打通认证、授权、网络访问控制、应用访问控制全流程,基于身份进行全网管控,降低复杂网络的管理成本。

  • 网络资源分级管理,管理员可分权给企业内部业务方自行发布、自行授权,减少管理员工作量,提升业务拓展效率。

零信任网络

信域将身份信息植入到每一个网络数据包里,为分布式企业构建的是一个可覆盖全球,对外不可见,对内实名制的零信任网络,让分布式企业不再依赖IP地址,而是用身份重新定义企业的安全边界。

  • 业务资源分布全球,但内部资源对未授信的人和端永远不可见。

  • 不再依赖IP地址,而是用身份构筑安全边界,永不信任,始终验证,最小授权,动态授权。

  • 无论人和端在什么地方,全网行为可感知,人和端随时管控,威胁事件实时响应。

  • 网络流量身份化,让企业不再依赖IP地址,而是能轻松地以人为中心进行跨地域、跨时间的业务行为上下文分析,为企业已建安全分析系统赋能。