企业已经摒弃了传统的 “枢纽-辐条 “架构,在这种架构中,网络安全的重点是保护网络边界–可信的内部网络与不可信的外部网络之间的边界。 在当今的形势下,由于云计算的采用、SaaS 的使用以及混合劳动力模式的激增,企业用户和工作负载高度分散。 企业还必须应对越来越多的复杂网络攻击。 威胁行为者不断寻找创新方法来利用企业 IT 基础设施,破坏其数据和数字资产。

在这种动态的分布式环境中,必须确保远程用户和分支机构用户都能体验到最高的应用程序性能,并能安全地访问应用程序、数据和互联网。 为了满足这些网络和安全需求,企业必须依赖多点解决方案,这增加了运营的复杂性,带来了管理上的挑战,并提高了成本。 企业希望从传统的以产品为中心的解决方案过渡到具有凝聚力的 “即服务 “模式。

采用单通道架构的 Aryaka 统一 SASE

Aryaka Unified SASE 将网络和安全结合为 “即服务”(”一体化”)解决方案,帮助企业实现基础设施现代化。 该解决方案使企业能够通过单一管理控制台配置、管理和观察其网络、安全、应用程序和用户,而无需依赖分散的单点解决方案来独立实现各项功能。 Aryaka 统一 SASE 解决方案的一个显著特点是它的单通道架构,允许企业执行全面检查和处理,而对给定数据包只需检查一次。 这种方法减少了攻击面,并最大限度地降低了单独处理单个功能可能导致的延迟。

Aryaka 建立了一个集成架构,提供混合部署解决方案,以满足企业内部用户和远程用户的需求。 工作负载和用户的安全强制执行直接在边缘设备上进行:对于现场用户,在Aryaka网络接入点(ANAP)上进行;对于远程用户,在Aryaka PoP上进行。 此外,企业还可受益于我们的综合生命周期管理支持和管理服务,这些服务可为部署和问题解决提供全天候的个性化体验。 Aryaka 计划在未来加入更多的功能和特性,所有这些功能和特性都将无缝集成到我们的单通道架构中。

使用案例

Aryaka SmartSecure NGFW-SWG(下一代防火墙-安全Web网关)战略旨在让企业用单一供应商提供的统一平台取代传统的多供应商网络和安全服务。 主要重点在以下两个不同的使用案例中进行描述:

1.用 Aryaka NextGen 防火墙取代第三方内部部署防火墙

第一个用例是用我们本地构建的 Aryaka 解决方案取代企业现有的第三方安全供应商内部防火墙。 为了实现这一目标,Aryaka在我们的软件定义广域网(SD-WAN)架构之上构建了一个专用安全堆栈,将一个通用框架应用于一系列安全策略引擎。

许多供应商必须通过隧道将流量传输到 PoPs,以便进行安全检查。 Aryaka可以为内部用户检查ANAP本身的流量。 策略引擎执行下一代防火墙和安全 Web 网关 (NGFW-SWG) 安全检查,确保流量只在需要时才发送到预定目的地。 对于从局域网接口启动的连接,入站和出站流量都要经过彻底检查,包括前 SSL 和后 SSL 数据流。 在此使用案例中,互联网突破发生在 ANAP。

2.替换云原生安全 Web 网关供应商

第二个用例是在PoP和ANAP上使用Aryaka的本地内置安全堆栈,取代企业基于云的安全互联网接入(SIA)或安全Web网关(SWG)供应商。 Aryaka NGFW-SWG 可保护网络和 SaaS 应用程序用户免受互联网威胁。

利用我们以PoP为中心的云服务交付,Aryaka直接从PoP向使用Aryaka VPNaaS客户端访问企业资源和云应用的远程用户提供全面的安全保护。 这可确保在云即服务模式下,从没有 ANAP 的总部和分支机构直接连接的安全连接。 在这些情况下,互联网突破发生在 PoP。 ANAP 和 PoP 承载着相同的安全堆栈,可确保企业用户和工作负载免受现代互联网威胁。 这样,无论用户是在本地还是远程,都能确保一致的用户体验。 用户许可证用于向私人访问用户提供 NGFW-SWG 安全服务。

下图描述了 Aryaka PoP 和 ANAP 上的分布式策略执行情况。 安全扫描发生在服务边缘,以保护内部用户和远程用户。

图像

主要亮点

  • 云原生统一平台
  • 单通道结构
  • 安全的分支机构和远程访问
  • 安全上网
  • 安全云访问
  • 分布式政策执行
  • 操作简单
  • 统一管理和可观察性
  • 生命周期管理支持服务 24/7

主要差异化因素

单通道结构

Aryaka 的单通道架构可一次性处理网络和安全策略,数据包无需经过多个安全处理阶段,以免造成延迟并增加处理要求。 我们只处理一次数据包,对整个数据包流只进行一次 TLS 检查。

我们的管理界面–MyAryaka–为所有网络和安全服务提供仪表盘、分析、可观察性、管理和监控。 从所有安全引擎近乎实时地收集遥测数据,并提供对安全事件、威胁管理和性能的深入了解。 利用我们直观的界面,企业可以灵活地自我管理安全策略和创建访问控制,而无需在多个管理控制台之间切换。

我们的统一控制平面结合了网络和安全功能,可在 ANAP、PoP 或两者上提供一致的策略执行。 这样,无论企业用户身在何处,都能得到保护。

分布式数据平面允许在最近的 PoP 和 ANAP 边缘执行策略,使安全执行更接近源头。 对于在 ANAP 后面有站点用户的企业,网络、安全和应用程序处理都在 ANAP 本身进行。 对于没有 ANAP 的私人接入用户和企业站点,流量将在我们分布于全球的 40 多个超大规模 PoP 中的一个进行处理,这些 PoP 覆盖全球六大洲(包括中国)95% 的商业人口。

多表策略管理

传统的策略管理方法是将所有安全策略放入一个复杂的表格中。 这种方法导致配置混乱、容易出错、用户体验下降、策略管理繁琐、故障排除复杂,从而增加了安全漏洞的风险。 我们的模块化多表策略管理方法包括多个安全引擎,每个引擎都具有不同的安全功能,如威胁防护、信誉服务以及基于应用程序和用户的访问控制。 每种安全功能都有自己的一套策略配置、匹配标准和策略操作。 采用我们的方法,企业可以从维护简便、操作简单以及为 TLS 前、SSL 前和 SSL 后流量创建细粒度策略的灵活性中获益。

Aryaka 智能安全服务

Aryaka SmartSecure 下一代防火墙–安全网关(NGFW-SWG)

Aryaka SmartSecure 反恶意软件插件

Aryaka SmartSecure 入侵防御系统 (IPS) 附加组件

1.Aryaka SmartSecure NGFW-SWG

NGFW-SWG 是 Aryaka SASE 解决方案的一个组成部分。 它是一个本地构建、易于使用、可管理的解决方案,将 NextGen 防火墙和安全 Web 网关安全服务整合为单一的统一服务。 Aryaka SmartSecure NGFW-SWG 的主要目标是保护用户免受互联网产生的威胁和不断演变的网络威胁。 它通过拦截用户流量并对网络流量实施各种安全控制来实现这一目标。 Aryaka SmartSecure NGFW-SWG 可执行深度数据包检查(DPI),彻底检查与来自局域网接口的连接相关的入站和出站流量的数据有效载荷的实际内容。

2.Aryaka SmartSecure 反恶意软件插件

可选的Aryaka SmartSecure反恶意软件服务提供了一个额外的防御层,通过检测入站和出站流量中已知的恶意软件、病毒和基于文件的威胁来增强企业的安全性。 反恶意软件安全引擎执行 DPI,根据已知恶意软件签名和模式数据库评估网络流量。 如果发现匹配,则记录事件,以便进一步进行取证分析。

3.Aryaka SmartSecure 入侵防御系统(IPS)插件

可选的Aryaka SmartSecure IPS服务包括安全引擎,可检查WAN接口的入站流量和LAN接口的出站流量。 这种加密和非加密流量通过基于签名的检测机制进行持续监控,以防止恶意入侵活动,该机制可拦截用户流量并对数据包应用各种 IPS 策略。 对分支机构和远程用户进行保护,并监控 53 个类别的潜在入侵,包括与木马、蠕虫、shellcode 漏洞利用、广告软件等有关的入侵。

功能列表

所有Aryaka SmartSecure功能都可通过站点和用户许可证提供给分支机构和私人接入用户。 Aryaka SmartSecure反恶意软件和Aryaka SmartSecure IPS作为附加服务在两个地区提供:中国大陆和世界其他地区 (ROW)。 企业可根据需要选择其中一个或两个选项。 Aryaka 计划随着安全服务的发展提供更多功能。

雅利安卡智能安全系统
NGFW-SWG

Aryaka SmartSecure 反恶意软件
附加组件

Aryaka SmartSecure 入侵防御系统
预防系统插件

Aryaka SmartSecure NGFW-SWG、
反恶意软件插件和 IPS 插件

特点 说明
1.Aryaka SmartSecure NGFW-SWG
域名声誉 利用超过 7.5 亿个域的信誉分数,保护用户免受恶意域的侵害。 对于 HTTP 流量,域名是从 HTTP 标头中提取的。 对于 HTTPS 流量,域名是在 SSL/TLS 握手过程中从 “服务器你好 “信息中提取的。
URL 信誉 利用超过 320 亿个 URL 的信誉分数,保护用户免于访问恶意 URL。
IP 信誉 利用超过 43 亿个 IP(包括所有 IPv4 和使用中的 IPv6)的 IP 信誉判断(好或坏),限制用户访问恶意 IP。
基于类别的筛选 通过对总体网络类别进行分组,并根据这些预定义类别执行允许或拒绝流量的策略,从而简化策略管理。
基于应用程序的访问控制(基本 CASB) Aryaka的内嵌式CASB利用深度包检测(DPI)技术对网络流量和应用程序进行识别和分类,然后对发现的许可和非许可应用程序实施访问控制。
DNS 过滤 检查 DNS 查询和响应,根据域名和 IP 信誉分数允许或拒绝访问特定网站。 如果非 DNS 协议信息到达 53 端口,数据包会被自动丢弃。
网络访问控制 为后 SSL 流量提供访问控制,包括与 HTTP 和 HTTPS 流量的 HTTP 标头匹配。 HTTP 标头可保存为可重复使用的资产,供安全策略参考。
网络访问控制 为 SSL 前流量提供访问控制。 可以允许、拒绝或允许流量跳转到所有后续处理引擎。
身份和访问管理(基于用户的访问控制) 允许企业连接第三方身份提供商(IdP)或使用 Aryaka 作为身份提供商。 支持的 IdP 包括企业 LDAP、内部 AD、Okta、Azure AD 和 Aryaka DB。 Azure AD 和 Okta 基于 SAML 和 OIDC 身份验证标准。 IdP 会将用户重定向到专属门户进行身份验证和授权。 未经授权的用户会被重定向到定制的阻止页面。

特点 说明
2.Aryaka SmartSecure 反恶意软件插件
恶意软件保护 通过检测各种类型的已知恶意软件并将恶意软件丢弃在内部部署和云边缘,提供额外的防御层并释放带宽。 Aryaka 不断根据最新的威胁情报更新其边缘,以有效阻止新兴威胁的传播。
基于文件的威胁防护 在下载文件内容或在网络传输文件内容时,扫描文件内容并根据文件声誉逐字节进行动态判定。 行业标准 MD5 文件哈希值被用作唯一识别文件的指纹,与文件名、平台和加密无关。 高速文件处理确保不会影响最终用户的体验。
防病毒 (AV) 保护 通过咨询威胁情报数据库中自动更新的破坏指标(IOC)和签名,防止病毒感染。

特点 说明
3.Aryaka SmartSecure 入侵防御系统插件
基于签名的检测 利用基于签名的检测功能,持续检查广域网和局域网接口的加密和未加密流量,以发现恶意入侵活动。 潜在威胁在危害数字资产之前就会被阻止。
数据包异常检测 根据签名识别协议与预期标准的偏差,然后提醒系统管理员进行补救。
常见漏洞暴露 (CVE) 保护 通过减少已知漏洞和漏洞利用,降低企业的攻击面。
命令与控制(僵尸网络)保护 检测并阻止与 C2 服务器的通信和僵尸网络活动,以保护内部资产。
DoS 和 DDoS 防护 使用基于签名的检测和速率限制机制,保护企业网络资产免受 DoS 和 DDoS 攻击,从而防止宕机。

特点 说明
4.Aryaka SmartSecure NGFW-SWG、反恶意软件插件和 IPS 插件
SSL/TLS 检查和解密 利用动态证书生成功能检测加密和未加密流量中的攻击,并可根据个人身份信息 (PII) 的敏感性选择性地解密数据包。 为了更好地检测加密流量中的异常情况,TLS 检测用于解密数据包。 检查完成后,数据包会重新加密。
集中管理 允许您在分布式网络和云资源上一致地定义 SD-WAN 和安全策略。
实时威胁洞察 使用 Aryaka 统一控制台提供安全事件和威胁洞察的可视性和可观察性。
安全报告和分析 在可配置的时间段内,提供有关企业威胁状况的全面汇总报告和图表。
警报 向管理员通报安全事件,以便快速做出事件响应。
记录 创建和更新安全日志,提供有关事件的有用信息,用于调试。
自助服务 为企业提供在 MyAryaka 用户界面上配置和自我管理安全策略的灵活性。

*Aryaka 安全服务将继续发展,包括更多服务。

许可

NGFW-SWG、反恶意软件和 IPS 服务有两种许可证,可满足不同的部署需求:站点许可证和用户许可证。 站点许可证用于在特定位置启用 NGFW-SWG、反恶意软件和 IPS 服务。 用户许可证用于为远程用户启用 NGFW-SWG、反恶意软件和 IPS 服务。

保安服务 先决条件 认购时的权利
NGFW-SWG* Aryaka SD-WAN 或 Aryaka SmartSecure-Private Access FWaaS 和 NGFW-SWG 安全功能
反恶意软件插件 Aryaka SD-WAN 或 Aryaka SmartSecure-Private Access 和 NGFW-SWG FWaaS、NGFW-SWG 和反恶意软件附加安全功能
IPS 附加组件 Aryaka SD-WAN 或 Aryaka SmartSecure-Private Access 和 NGFW-SWG FWaaS、NGFW-SWG、反恶意软件和 IPS 附加安全功能

*NGFW-SWG 站点许可证提供与站点许可证相同的级别(XS、S、M、M+、L、XL 和 BYO)。

主要业务成果和效益


全球性、可扩展性和灵活性

随时随地为任何用户提供全面的安全保护。 Aryaka 拥有 40 多个 PoPs,能够适应企业增长和需求变化,并能适应独特的运营需求。


通过一家供应商实现端到端连接

利用 Aryaka 的即服务解决方案,保持网络和安全服务的单点联系。


无处不在的一致保护

为本地和远程工作人员提供统一的安全保护,将网络和安全绑定在共同的安全策略框架下。


操作简单

利用Aryaka的统一管理控制台–MyAryaka,降低部署和维护多厂商网络和安全解决方案所需的复杂性、开销和培训。


卓越的用户体验

在确保传输中和静止数据安全的同时,实现对应用程序的快速和无缝访问。


降低总体拥有成本(TCO)

在复杂多变的威胁环境中,消除对多点硬件和软件解决方案进行选型、采购、安装、升级、打补丁和管理的负担,从而降低成本。


关于阿里亚卡

Aryaka 是提供统一 SASE 即服务的领先企业,也是首家提供统一 SASE 即服务的企业。Aryaka 是唯一一款专为提供性能、灵活性、简便性和安全性而设计和构建的 SASE 解决方案。 Aryaka能够满足客户在其独特的SASE旅程中的需求,使他们能够无缝地实现网络和安全环境的现代化、优化和转型。 Aryaka 灵活的交付方式使企业能够选择自己喜欢的实施和管理方法。 数百家全球性企业,包括多家财富 100 强企业,都依赖 Aryaka 提供的基于云的软件定义网络和安全服务。 有关 Aryaka 的更多信息,请访问 www.aryaka.com。