01  安几天域SDP产品背景

近年来，互联网、物联网、人工智能等高科技产物快速发展。网络建设速度日新月异。从有互联网开始，网络安全问题就已经伴随而生，并随着时代发展演变得越来越复杂。关键资产的暴露问题始终是最大的风险来源；TCP/IP架构既为互联网飞速发展提供了动力，也成为了互联网使用的软肋。远程连接安全问题在VPN出现后得到一定改善，但也延伸出细化控制困难的问题。同时，没有完善的访问控制机制，也是网络使用中无法建立行之有效的安全防护核心问题之一。

现在的网络安全容易遇到以下六大类的风险与挑战：

1. TCP/IP结构先连接后验证的特性，不可避免的将网络资产与设施暴露在公网下，非常容易受到网络攻击。
2. 防火墙在传统的网络结构中起到建立一堵墙将组织网络框起来变成内网的功能，但本身也会成为内外网之间的弱环所在。随着业务上云的发展，网络边界模糊，防火墙的作用也逐渐变小。
3. 现时的VPN存在接入策略控制过于固化及粗粒度、面向对象局限性等问题。
4. 随着业务上云的发展，网络边界越来越模糊、具有不确定性，导致管理的网络安全策略越来越受限制，所能发挥的作用越来越小。
5. 在传统网络向新一代网络环境演变的过程中，缺乏完善的安全准入访问机制的问题逐渐暴露：安全策略维护复杂，审计不及时;缺乏统一认证;访问控制权限粗放、不细致;缺乏可视化管理，管理维护复杂。
6. 新一代的互联网技术被不断运用到生活中，包括物联网、云计算、区块链的迅猛发展与商用，要求我们的安全防护技术更加可靠，更加先进，甚至达到服务隐身的效果。新的技术运用产生的新的安全需求，给网络运营者带来更大的安全挑战。

02  安几天域SDP产品概述

安几天域主要包含三个组件：

• 安几天域SDP客户端（Client）
• 安几天域SDP网关（Gateway）
• 安几天域SDP控制中心（Controller）

▲ 原理图

▲ 架构图

03  安几天域SDP产品技术要点

安几天域SDP网络安全系统基于新一代安全架构进行创新与实践，保障端到端网络与信息安全，将网络资产从互联网/内网上隐藏起来，通过接入安全认证、动态防火墙、加密双向隧道等技术隐藏真实网络，攻击者无法攻击不可视的攻击目标，极大提高攻击门槛与代价。

要点一：身份认证管理技术（IAM）

身份认证管理技术 (IAM, Identity and Access Manager) 能够将企业网络环境中的应用系统、数据库、主机、网络设备和安全设备等资源的账号、认证、访问控制、审计工作进行集中化的整合，通过账号同步、强认证、授权、访问控制和单点登录等技术手段，将使用资源的用户和各种资源上的账号纳入统一管理之下。IAM为企业提供统一的账号管理视角，对所有基于账号的管理、认证、授权、审计进行集中的统一管理，提高了账号管理的安全，帮助系统管理员提高了工作效率，降低了管理负担，同时改善了普通用户在不同资源中登录认证的重复繁琐过程，为日常工作提供了更高的安全性。

▲ IAM技术

要点二：零信任模型（以用户-权限为中心）

传统的基于边界的网络安全架构某种程度上假设、或默认了内网是安全的，认为安全就是构筑企业的数字护城河，通过防火墙、WAF、IPS等边界安全产品/方案对企业网络出口进行重重防护而忽略企业内网的安全。同时，传统的安全防护理念是信任但要验证，这就造成了重点保护终端和网络的边界安全方法并不能防护基于身份和凭证的威胁，账户盗窃攻击将为数据泄露提供完美掩护。零信任安全针对传统边界安全架构思想进行了重新评估和审视，并对安全架构思路给出了新的建议，零信任的核心思想就是：默认情况下不应该信任网络内部和外部的任何人/设备/系统，需要基于认证和授权重构访问控制的信任基础。零信任对访问控制进行了范式上的颠覆，引导安全体系架构从网络中心化走向身份中心化，其本质诉求是以身份为中心进行访问控制。

▲ 零信任模型（以网络为中心）

▲ 零信任模型（以用户-权限为中心）

要点三：单包认证和动态防火墙技术

在新网络环境下，应用与服务不断迭代更新，安全边界防护不再固定不变，不同层面的（网络、主机、应用、数据）策略只有加快部署与调整，才能真正实现边界安全防御及需求审核与检测。 旧防护架构存在以下问题：

• 用户不同需求不同：不同的用户如互联网用户，内部员工，合作伙伴，外包人员等因角色不同，所以需求不同。用户角色类型多样导致安全防御策略复杂，且部署缓慢。
• 应用系统不同需求不同：对核心业务系统，生产系统，对外服务系统等不同类型的系统，需要形成不同层次的安全防御机制，才能保证系统稳定运行，保障系统数据安全不被篡改和窃取。
• 数据不同防护等级不同：对于不同类型的、不同安防、保密级别的数据，同样需要不同等级安全防御策略，以在数据完整性，可用性和保密性上防护需求不一样。

动态防火墙技术可以解决以上问题，根据用户不同，数据不用，应用系统不同等种种差异化需求，通过动态防火墙技术实现快速建立安全防御策略，准入策略，提高整体网络环境的安全防护可用性。

▲ 动态防火墙技术

要点四：安全传输隧道技术

为实现客户端、控制端、服务端三者之间的数据安全传输，安几零信任采用安全传输隧道技术，实现数据传输实时防护，使得用户与服务端之间构建出可信、可控的信道，为信息安全保驾护航。

04  安几天域SDP产品功能亮点

亮点一：安全访问

零信任促使每次服务访问都通过后端进行认证，用户访问不同服务的权限实现细粒度控制。

• 默认对网络的安全性零信任(内网 ≠ 可信)
• 对任何接入系统的人和设备都进行验证
• 每次访问都要进行身份验证和行为审计
• 细粒度访问控制策略 Need-To-Know(最小权限原则)
• 不仅支持B/S架构，还支持C/S架构

亮点二：服务隐藏

最小化网络攻击面，隐藏应用服务，黑客无法扫描到服务器，无法开展网络攻击，大幅度降低安全风险

• 网络层：安几天域SDP网关默认 deny all 一切 IP 访问，只有安几天域SDP客户端经过授权后，安几天域SDP控制中心才会针对客户端开放访问通道;此外通过安几天域SDP独有的私有 DNS 功能，实现域名内部解析，无需将域名暴露在公网，实现 IP 地址网络隐身。
• 传输层：默认端口 deny all 一切连接请求，通过 SPA 动态端口授权技术，动态授权安几天域SDP客户端进行端口访问，非法连接无法进入，让开放端口不再是企业的安全隐患，开放再多端口也不怕。
• 安全传输层：安几天域SDP客户端与安几天域SDP控制中心和安几天域SDP网关之间采用 mTLS 加密通信技术，防止通讯数据被非法人员监听、篡改或破坏。
• 应用层：安几天域SDP网关对进入的每一个 http 请求进行 HMAC 动态验证，防止非法 http 数据以及非授权 http 数据通过，最大化保障企业业务系统安全访问。

亮点三：态势感知

对用户和客户端访问进行监控和审计，并对其行为进行大数据分析，识别异常访问。

• 安几安全态势感知平台汇聚数据，统计并展示实时活跃用户、系统激活用户及设备数量、当前在线用户数、用户访问次数以及拦截访问次数，协助运维人员快速了解员工访问情况。
• 安几安全态势感知平台从多个维度对用户访问数据进行统计分析，展示企业业务应用访问排名，帮助运维了解业务系统访问及运营情况，展示企业用户访问频率排名帮助企业管理者了解员工工作情况，展示安几天域SDP网关拦截的非法请求数量，帮助运维人员核查异常用户访问情况，及时发现企业内部风险。
• 安几安全态势感知平台通过对每日、每周或每月数据对比，展示每日访问量变化最大的应用系统和活跃度变化最大的用户，以此帮助企业了解业务应用系统访问压力变化，急时发现业务应用异常，急时根据实际情况调节业务系统性能。
• 安几安全态势感知平台可以实时检查业务系统及安几天域SDP组件的状态，第一时间发现业务应用或网关故障并生成报警信息，降低企业运维压力及风险。

亮点四：友好体验

• 无需VPN+堡垒机的繁琐过程，直接访问服务
• 无需进行网络切换

05  应用场景

• 零信任、无边界动态安全广泛适用于物联网(IOT)、网络安全准入、远程安全连接、安全APP、安全访问等多种应用场景：

• 浏览器安全访问企业内外网：

通过嵌入安几天域SDP，任何地点、任何设备都可通过浏览器安全访问互联网及企业办公。安几天域SDP可使客户端与服务端之间建立可信的安全认证隧道，不用担心网络环境问题。

• 帮助企业实现等保2.0合规要求

• 其他潜在应用场景：