企业已经摆脱了传统的中心辐射式架构,在这种架构下,网络安全的重点是保护网络边界–可信的内部网络与不可信的外部网络之间的边界。
在当今的形势下,由于云技术的采用、SaaS 的使用以及混合劳动力模式的激增,企业用户和工作负载高度分散。
企业还必须应对越来越多的复杂网络攻击。
威胁方不断寻找创新方法来利用企业的 IT 基础设施,并破坏其数据和数字资产。
在这种动态的分布式环境中,必须确保远程用户和分支机构用户都能体验到最高的应用性能,并能安全地访问应用、数据和互联网。
为了满足这些网络和安全需求,企业必须依赖多点解决方案,而这些解决方案会增加运营复杂性,带来管理挑战,并提高成本。
企业希望从传统的以产品为中心的解决方案过渡到具有凝聚力的 “即服务 “模式。

采用单通道架构的 Aryaka 统一 SASE

Aryaka Unified SASE将网络和安全结合到一个 “即服务”(”一体化”)解决方案中,帮助企业实现基础设施的现代化。
该解决方案使企业能够通过单一管理控制台配置、管理和观察其网络、安全、应用和用户,而不必依赖分散的单点解决方案来独立实现每项功能。
Aryaka 统一 SASE 解决方案的一个显著特点是它的单通道架构,允许企业执行全面检查和处理,同时对给定数据包只检查一次。
这种方法减少了攻击面,并最大限度地降低了单独处理单个功能可能导致的延迟。
Aryaka建立了一个集成架构,提供混合部署解决方案,以满足企业内部和远程用户的需求。
工作负载和用户的安全强制执行直接在边缘设备上进行:对于企业内部用户,在Aryaka网络接入点(ANAP);对于远程用户,在Aryaka PoP。
此外,企业还可受益于我们的综合生命周期管理支持和托管服务,这些服务可为部署和问题解决提供全天候的个性化体验。
Aryaka计划在未来加入更多的功能和特性,所有这些都将无缝集成到我们的单通道架构中。

使用案例

Aryaka SmartSecure NGFW-SWG(下一代防火墙-安全Web网关)的战略是让企业用单一供应商提供的统一平台取代传统的多供应商网络和安全服务。
其主要重点体现在以下两个不同的使用案例中:

1.用 Aryaka NextGen 防火墙取代第三方内部部署防火墙

第一个用例是用我们本地构建的Aryaka解决方案取代企业现有的来自第三方安全供应商的内部防火墙。
为了实现这一目标,Aryaka在我们的软件定义广域网(SD-WAN)架构之上构建了一个专用安全堆栈,将一个通用框架应用于一系列安全策略引擎。
许多供应商必须将流量通过隧道传输到PoP进行安全检查。
Aryaka可以在ANAP上为内部用户检查流量。
策略引擎执行下一代防火墙和安全Web网关(NGFW-SWG)安全检查,确保流量只在需要时才被发送到预定目的地。
对于从局域网接口启动的连接,入站和出站流量都要经过彻底检查,包括前SSL和后SSL数据流。
在此使用案例中,互联网突破发生在 ANAP。

2.替换云原生安全 Web 网关供应商

第二个用例是在PoP和ANAP上使用Aryaka本地构建的安全堆栈,取代企业基于云的安全互联网接入(SIA)或安全Web网关(SWG)供应商。
Aryaka NGFW-SWG可保护网络和SaaS应用用户免受互联网威胁。
利用我们以PoP为中心的云服务交付,Aryaka可直接从PoP向使用Aryaka VPNaaS客户端访问企业资源和云应用的远程用户提供全面的安全保护。
这确保了在云即服务模式下从没有ANAP的总部和分支机构直接连接的安全连接。
在这些情况下,互联网中断发生在 PoP。
ANAP 和 PoP 都承载相同的安全堆栈,以确保企业用户和工作负载免受现代互联网带来的威胁。
这样,无论用户是在企业内部还是在远程,都能确保一致的用户体验。
用户许可证用于向专用访问用户提供 NGFW-SWG 安全服务。
下图描述了Aryaka PoP和ANAP上的分布式策略执行情况。
安全扫描发生在服务边缘,以保护内部用户和远程用户。 图像


主要亮点

  • 云原生统一平台
  • 单通道结构
  • 安全的分支机构和远程访问
  • 安全上网
  • 安全云访问
  • 分布式政策执行
  • 操作简单
  • 统一管理和可观察性
  • 生命周期管理支持服务 24/7

主要差异化因素

单通道结构

Aryaka的单通道架构可一次性处理网络和安全策略,数据包无需经过多个安全处理阶段,以免造成延迟并增加处理需求。
我们对数据包只进行一次处理,对整个数据包流只进行一次TLS检查。
我们的管理界面–MyAryaka–为所有网络和安全服务提供仪表板、分析、可观察性、管理和监控。
从所有安全引擎近乎实时地收集遥测数据,并对安全事件、威胁管理和性能进行深入分析。
利用我们直观的界面,企业可以灵活地自我管理安全策略和创建访问控制,而无需在多个管理控制台之间切换。
我们的统一控制平面结合了网络和安全功能,可在 ANAP、PoP 或两者上提供一致的策略执行。
无论企业用户身在何处,都能得到保护。
分布式数据平面允许在最近的 PoP 和 ANAP 边缘执行策略,使安全执行更接近源头。
对于在 ANAP 后面有站点用户的企业,网络、安全和应用处理都在 ANAP 本身执行。
对于没有 ANAP 的私人访问用户和企业站点,流量将在我们 40 多个全球分布的超大规模 PoP 处理,这些 PoP 覆盖全球六大洲(包括中国)95% 的商业人口。

多表策略管理

传统的策略管理方法是将所有安全策略放入一个复杂的表格中。
这种方法会导致配置混乱、容易出错、用户体验下降、策略管理繁琐、故障排除复杂,从而增加安全漏洞的风险。
我们的模块化多表策略管理方法包括多个安全引擎,每个引擎都具有不同的安全功能,如威胁防护、信誉服务以及基于应用程序和用户的访问控制。
每个安全功能都有自己的一套策略配置、匹配标准和策略操作。
采用我们的方法,企业可以从维护简便、操作简单以及为 TLS 前、SSL 前和 SSL 后流量创建细粒度策略的灵活性中获益。

Aryaka 智能安全服务

Aryaka SmartSecure 下一代防火墙–安全网关(NGFW-SWG)

Aryaka SmartSecure 反恶意软件插件

Aryaka SmartSecure 入侵防御系统 (IPS) 附加组件

1.Aryaka SmartSecure NGFW-SWG

NGFW-SWG是Aryaka SASE解决方案的一个组成部分。
它是一个本地构建、易于使用和管理的解决方案,将下一代防火墙和安全Web网关安全服务整合为一个单一的统一服务。
Aryaka SmartSecure NGFW-SWG的主要目标是保护用户免受互联网产生的威胁和不断演变的网络威胁。
它通过拦截用户流量并对网络流量实施各种安全控制来实现这一目标。
Aryaka SmartSecure NGFW-SWG可执行深度数据包检查(DPI),彻底检查与来自局域网接口的连接相关的入站和出站流量的数据有效载荷的实际内容。

2.Aryaka SmartSecure 反恶意软件插件

可选的Aryaka SmartSecure反恶意软件服务提供了一个额外的防御层,通过检测入站和出站流量中已知的恶意软件、病毒和基于文件的威胁来增强企业的安全性。
反恶意软件安全引擎执行 DPI,根据已知恶意软件签名和模式数据库评估网络流量。
如果发现匹配,则记录事件,以便进一步取证分析。

3.Aryaka SmartSecure 入侵防御系统(IPS)插件

可选的Aryaka SmartSecure IPS服务包括安全引擎,用于检查WAN接口的入站流量和LAN接口的出站流量。
利用基于签名的检测机制,截获用户流量并对数据包应用各种 IPS 策略,持续监控这些加密和未加密流量,以防恶意入侵活动。
分支机构和远程用户都会受到保护,并监控 53 个类别的潜在入侵,包括与木马、蠕虫、shellcode 漏洞利用、广告软件等有关的入侵。

功能列表

所有Aryaka SmartSecure功能都可通过站点和用户许可证提供给分支机构和私人接入用户。 Aryaka SmartSecure CASB、Aryaka SmartSecure Anti-Malware 和 Aryaka SmartSecure IPS 在两个地区作为附加服务提供:中国大陆和世界其他地区(ROW)。 企业可根据需要选择其中一个或两个选项。 Aryaka 计划随着安全服务的发展提供更多功能。

Aryaka SmartSecure
NGFW-SWG

Aryaka SmartSecure 反恶意软件
附加组件

Aryaka SmartSecure 入侵
防御系统插件

Aryaka SmartSecure NGFW-SWG、反恶意软件插件和 IPS 插件

特点 说明
1.Aryaka SmartSecure NGFW-SWG
域名声誉 使用超过 7.5 亿个域名的信誉分数保护用户免受恶意域名的攻击。
对于 HTTP 流量,域名从 HTTP 标头中提取。
对于 HTTPS 流量,域名是从 SSL/TLS 握手过程中的 “服务器你好 “信息中提取的。
URL 信誉 利用超过 320 亿个 URL 的信誉分数,保护用户不访问恶意 URL。
IP 信誉 利用超过 43 亿个 IP(包括所有 IPv4 和使用中的 IPv6)的 IP 信誉判断(好或坏),限制用户访问恶意 IP。
基于类别的过滤 通过对总体网络类别进行分组,并根据这些预定义类别执行允许或拒绝流量的策略,从而简化策略管理。
基于应用的访问控制(基本CASB) Aryaka的内联CASB利用深度包检测(DPI)技术对网络流量和应用程序进行识别和分类,然后对发现的许可和非许可应用程序实施访问控制。
DNS 过滤 检查 DNS 查询和响应,根据域名和 IP 信誉分数允许或拒绝访问特定网站。
如果非 DNS 协议信息到达 53 端口,数据包会被自动丢弃。
网络访问控制 为后 SSL 流量提供访问控制,包括与 HTTP 和 HTTPS 流量的 HTTP 标头匹配。
HTTP 标头可保存为可重复使用的资产,供安全策略参考。
网络访问控制 为预 SSL 流量提供访问控制。
可允许、拒绝或允许流量跳转到所有后续处理引擎。
身份和访问管理(基于用户的访问控制) 允许企业连接第三方身份提供商(IdP)或使用Aryaka作为IdP。
支持的IdP包括企业LDAP、企业内部AD、Okta、Azure AD和Aryaka DB。
Azure AD和Okta基于SAML和OIDC身份验证标准。
IdP 会将用户重定向到捕获式门户进行身份验证和授权。
未经授权的用户会被重定向到定制的阻止页面。

特点 说明
2.Aryaka SmartSecure 反恶意软件插件
恶意软件保护 通过检测各种类型的已知恶意软件并将恶意软件丢弃在内部部署和云边缘,提供额外的防御层并释放带宽。
Aryaka 不断利用最新威胁情报更新其边缘,以有效阻止新兴威胁的传播。
基于文件的威胁防护 在下载文件内容或在网络传输文件内容时,扫描文件内容并根据文件信誉逐字节进行动态判定。
行业标准的 MD5 文件哈希值被用作指纹来唯一识别文件,而与文件名、平台和加密无关。
高速文件处理确保不会影响最终用户的体验。
反病毒 (AV) 保护 通过咨询威胁情报数据库中自动更新的危害指标(IOC)和签名,防止病毒感染。

特点 说明
3.Aryaka SmartSecure 入侵防御系统插件
基于签名的检测 利用基于签名的检测功能,持续检查广域网和局域网接口的加密和未加密流量,防止恶意入侵活动。
在潜在威胁对数字资产造成危害之前就将其拦截。
数据包异常检测 根据签名识别协议与预期标准的偏差,然后提醒系统管理员进行补救。
常见漏洞暴露 (CVE) 保护 通过减少已知漏洞和漏洞利用,降低企业的攻击面。
命令与控制(僵尸网络)保护 检测并阻止与 C2 服务器的通信和僵尸网络活动,以保护内部资产。
DoS 和 DDoS 保护 使用基于签名的检测和速率限制机制,保护企业网络资产免受 DoS 和 DDoS 攻击,从而防止宕机。


特点 说明
4.Aryaka SmartSecure NGFW-SWG、反恶意软件插件和 IPS 插件
SSL/TLS 检查和解密 使用动态证书生成功能检测加密和未加密流量中的攻击,并可根据个人身份信息 (PII) 的敏感性选择性地解密数据包。
为了更好地检测加密流量中的异常情况,使用 TLS 检测对数据包进行解密。
检查完成后,数据包会重新加密。
集中管理 允许您在分布式网络和云资源上一致地定义 SD-WAN 和安全策略。
实时威胁洞察 使用 Aryaka 统一控制台提供安全事件和威胁洞察的可视性和可观察性。
安全报告和分析 在可配置的时间段内,提供有关企业威胁状况的综合汇总报告和图表。
警报 向管理员发出安全事件通知,以便快速做出事件响应。
日志记录 创建和更新安全日志,其中包含有关事件的有用信息,以便调试。
自助服务 为企业提供在 MyAryaka 用户界面上配置和自我管理安全策略的灵活性。

*Aryaka 安全服务将继续发展,包括更多服务。

许可

NGFW-SWG、反恶意软件和 IPS 服务有两种类型的许可证,可满足不同的部署需求:站点许可证和用户许可证。
站点许可证用于在特定位置启用 NGFW-SWG、反恶意软件和 IPS 服务。
用户许可证用于为远程用户启用 NGFW-SWG、反恶意软件和 IPS 服务。

保安服务 前提条件 订阅后的权利
NGFW-SWG* Aryaka SD-WAN 或 Aryaka SmartSecure-Private Access FWaaS和NGFW-SWG安全功能
反恶意软件插件 Aryaka SD-WAN 或 Aryaka SmartSecure-Private Access 和 NGFW-SWG FWaaS、NGFW-SWG和反恶意软件插件安全功能
IPS 附加组件 Aryaka SD-WAN 或 Aryaka SmartSecure-Private Access 和 NGFW-SWG FWaaS、NGFW-SWG、反恶意软件和IPS附加安全功能

*NGFW-SWG 站点许可证提供与站点许可证相同的级别(XS、S、M、M+、L、XL 和 BYO)。

主要业务成果和效益


全球性、可扩展性和灵活性

随时随地为任何用户提供全面的安全保护。
Aryaka 拥有 40 多个 PoPs,能够适应企业增长和需求变化,并能适应独特的运营需求。


通过一家供应商实现端到端连接

利用 Aryaka 的即服务解决方案,保持网络和安全服务的单点联系。


无处不在的一致保护

为本地和远程工作人员提供统一的安全保护,将网络和安全绑定在共同的安全策略框架下。


操作简单

利用Aryaka的统一管理控制台–MyAryaka,降低部署和维护多厂商网络和安全解决方案所需的复杂性、开销和培训。


卓越的用户体验

在确保传输中和静止数据安全的同时,实现对应用程序的快速和无缝访问。


降低总体拥有成本(TCO)

在复杂多变的威胁环境中,消除对多点硬件和软件解决方案进行选型、采购、安装、升级、打补丁和管理的负担,从而降低成本。


关于阿里亚卡

Aryaka是首家提供 “统一SASE即服务”(Unified SASE as a Service)的领先企业,也是唯一为提供性能、灵活性、简便性和安全性而设计和构建的SASE解决方案。
Aryaka满足客户在其独特的SASE旅程中的需求,使他们能够无缝地实现网络和安全环境的现代化、优化和转型。
Aryaka灵活的交付方式使企业能够选择自己喜欢的实施和管理方法。
数百家全球性企业,包括多家财富100强企业,都依赖Aryaka提供的基于云的软件定义网络和安全服务。 有关 Aryaka 的更多信息,请访问 www.aryaka.com。