企业已经摒弃了传统的 “枢纽-辐条 “架构,在这种架构中,网络安全的重点是保护网络边界–可信的内部网络与不可信的外部网络之间的边界。 在当今的形势下,由于云计算的采用、SaaS 的使用以及混合劳动力模式的激增,企业用户和工作负载高度分散。 企业还必须应对越来越多的复杂网络攻击。 威胁行为者不断寻找创新方法来利用企业 IT 基础设施,破坏其数据和数字资产。
在这种动态的分布式环境中,必须确保远程用户和分支机构用户都能体验到最高的应用程序性能,并能安全地访问应用程序、数据和互联网。 为了满足这些网络和安全需求,企业必须依赖多点解决方案,这增加了运营的复杂性,带来了管理上的挑战,并提高了成本。 企业希望从传统的以产品为中心的解决方案过渡到具有凝聚力的 “即服务 “模式。
Aryaka Unified SASE 将网络和安全结合为 “即服务”(”一体化”)解决方案,帮助企业实现基础设施现代化。 该解决方案使企业能够通过单一管理控制台配置、管理和观察其网络、安全、应用程序和用户,而无需依赖分散的单点解决方案来独立实现各项功能。 Aryaka 统一 SASE 解决方案的一个显著特点是它的单通道架构,允许企业执行全面检查和处理,而对给定数据包只需检查一次。 这种方法减少了攻击面,并最大限度地降低了单独处理单个功能可能导致的延迟。
Aryaka 建立了一个集成架构,提供混合部署解决方案,以满足企业内部用户和远程用户的需求。 工作负载和用户的安全强制执行直接在边缘设备上进行:对于现场用户,在Aryaka网络接入点(ANAP)上进行;对于远程用户,在Aryaka POP上进行。 此外,企业还可受益于我们的综合生命周期管理支持和管理服务,这些服务可为部署和问题解决提供全天候的个性化体验。 Aryaka 计划在未来加入更多的功能和特性,所有这些功能和特性都将无缝集成到我们的单通道架构中。
Aryaka NGFW-SWG(下一代防火墙-安全Web网关)战略旨在让
,使企业能够用单一供应商提供的统一
平台取代传统的多供应商网络和安全服务。
主要重点在以下两个不同的使用案例中进行描述:
第一个用例是用我们本地构建的 Aryaka 解决方案取代企业现有的第三方安全供应商内部防火墙。 为了实现这一目标,Aryaka在我们的软件定义广域网(SD-WAN)架构之上构建了一个专用安全堆栈,将一个通用框架应用于一系列安全策略引擎。
许多供应商必须通过隧道将流量传输到 POP,以便进行安全检查。 Aryaka可以为内部用户检查ANAP本身的流量。 策略引擎执行下一代防火墙和安全 Web 网关 (NGFW-SWG) 安全检查,确保流量只在需要时才发送到预定目的地。 对于从局域网接口启动的连接,入站和出站流量都要经过彻底检查,包括前 SSL 和后 SSL 数据流。 在此使用案例中,互联网突破发生在 ANAP。
第二个用例是在POP和ANAP上使用Aryaka的本地内置安全堆栈,取代企业基于云的安全互联网接入(SIA)或安全Web网关(SWG)供应商。 Aryaka NGFW-SWG 可保护网络和 SaaS 应用程序用户免受互联网威胁。
利用我们以POP为中心的云服务交付,Aryaka可直接从POP向使用Aryaka VPNaaS客户端访问企业资源和云应用的远程用户提供全面的安全保护。 这可确保在云即服务模式下,从没有 ANAP 的总部和分支机构直接连接的安全连接。 在这些情况下,互联网突破发生在 POP。ANAP 和 POP 承载着相同的安全堆栈,以确保企业用户和工作负载免受现代互联网带来的威胁。 这样,无论用户是在本地还是远程,都能确保一致的用户体验。 用户许可证用于向私人访问用户提供 NGFW-SWG 安全服务。
下图是 Aryaka POP 和 ANAP 的分布式策略执行情况。 安全扫描发生在服务边缘,以保护内部用户和远程用户。
Aryaka 的单通道架构可一次性处理网络和安全策略,数据包无需经过多个安全处理阶段,以免造成延迟并增加处理要求。 我们只处理一次数据包,对整个数据包流只进行一次 TLS 检查。
我们的管理界面–MyAryaka–为所有网络和安全服务提供仪表盘、分析、可观察性、管理和监控。 从所有安全引擎近乎实时地收集遥测数据,并提供对安全事件、威胁管理和性能的深入了解。 利用我们直观的界面,企业可以灵活地自我管理安全策略和创建访问控制,而无需在多个管理控制台之间切换。
我们的统一控制平面结合了网络和安全功能,可在 ANAP、POP 或两者上提供一致的策略执行。 这样,无论企业用户身在何处,都能得到保护。
分布式数据平面允许在最近的 POP 和 ANAP 边缘执行策略,使安全执行更接近源。 对于在 ANAP 后面有站点用户的企业,网络、安全和应用程序处理都在 ANAP 本身进行。 对于没有 ANAP 的私人接入用户和企业网站,流量将在我们 40 多个全球分布的超大规模 POP 中的一个进行处理,这些 POP 覆盖全球六大洲(包括中国)95% 的商业人口。
| 特点 | 说明 |
| Aryaka SmartSecure NGFW-SWG | |
|---|---|
| 域名声誉 | 利用超过 7.5 亿个域的信誉分数,保护用户免受恶意域的侵害。 对于 HTTP 流量,域名是从 HTTP 标头中提取的。 对于 HTTPS 流量,域名是在 SSL/TLS 握手过程中从 “服务器你好 “信息中提取的。 |
| URL 信誉 | 利用超过 320 亿个 URL 的信誉分数,保护用户不访问恶意 URL。 |
| IP 信誉 | 利用超过 43 亿个 IP(包括所有 IPv4 和使用中的 IPv6)的 IP 信誉判断(好或坏),限制用户访问恶意 IP。 |
| 基于类别的过滤 | 通过对总体网络类别进行分组,并根据这些预定义类别执行允许或拒绝流量的策略,从而简化策略管理。 |
| 基于应用的访问控制(基本CASB) | Aryaka的内联CASB利用深度包检测(DPI)技术对网络流量和应用程序进行识别和分类,然后对发现的许可和非许可应用程序实施访问控制。 |
| DNS 过滤 | 检查 DNS 查询和响应,根据域名和 IP 信誉分数允许或拒绝访问特定网站。 如果非 DNS 协议信息到达 53 端口,数据包会被自动丢弃。 |
| 网络访问控制 | 为后 SSL 流量提供访问控制,包括与 HTTP 和 HTTPS 流量的 HTTP 标头匹配。 HTTP 标头可保存为可重复使用的资产,供安全策略参考。 |
| 网络访问控制 | 为 SSL 前流量提供访问控制。 可以允许、拒绝或允许流量跳转到所有后续处理引擎。 |
| 身份和访问管理(基于用户的访问控制) | 允许企业连接第三方身份提供商(IdP)或使用 Aryaka 作为身份提供商。 支持的 IdP 包括企业 LDAP、内部 AD、Okta、Azure AD 和 Aryaka DB。 Azure AD 和 Okta 基于 SAML 和 OIDC 身份验证标准。 IdP 会将用户重定向到专属门户进行身份验证和授权。 未经授权的用户会被重定向到定制的阻止页面。 |
| Aryaka NGFW-SWG 附加组件 | |
| SSL/TLS 检查和解密 | 利用动态证书生成功能检测加密和未加密流量中的攻击,并可根据个人身份信息 (PII) 的敏感性选择性地解密数据包。 为了更好地检测加密流量中的异常情况,TLS 检测用于解密数据包。 检查完成后,数据包会重新加密。 |
| 集中管理 | 允许您在分布式网络和云资源上一致地定义 SD-WAN 和安全策略。 |
| 实时威胁洞察 | 利用Aryaka统一控制台提供网络和应用安全事件的可视性和可观察性以及威胁洞察力。 |
| 安全报告和分析 | 在可配置的时间段内,提供有关企业威胁状况的综合汇总报告和图表。 |
| 警报 | 向管理员发出安全事件通知,以便快速做出事件响应。 |
| 日志记录 | 创建和更新安全日志,其中包含有关事件的有用信息,以便调试。 |
| 自助服务 | 为企业提供在 MyAryaka 用户界面上配置和自我管理安全策略的灵活性。 |
NGFW-SWG 有两种许可证可满足不同的部署需求:站点许可证和用户许可证。站点许可证用于在特定地点启用 NGFW-SWG。用户许可证用于为远程用户启用 NGFW-SWG 服务。
| 保安服务 | 前提条件 | 订阅后的权利 |
| NGFW-SWG | Aryaka 统一 SASE | 所有Aryaka SD-WAN和统一SASE功能(见下文) |
安全的 SD-WAN
全球连接
多云
广域网
优化
人工智能> 表演
安全远程访问
Aryaka SD-WAN 的所有功能以及
NGFW-SWG
IPS
反恶意软件
统一 SASE 中的所有内容,外加
CASB
DLP*
*即将推出
全球性、可扩展性和灵活性
随时随地为任何用户提供全面的安全保护。 Aryaka 拥有 40 多个 PoPs,能够适应企业增长和需求变化,并能适应独特的运营需求。
通过一家供应商实现端到端连接
利用 Aryaka 的即服务解决方案,保持网络和安全服务的单点联系。
无处不在的一致保护
为本地和远程工作人员提供统一的安全保护,将网络和安全绑定在共同的安全策略框架下。
操作简单
利用Aryaka的统一管理控制台–MyAryaka,降低部署和维护多厂商网络和安全解决方案所需的复杂性、开销和培训。
卓越的用户体验
在确保传输中和静止数据安全的同时,实现对应用程序的快速和无缝访问。
降低总体拥有成本(TCO)
在复杂多变的威胁环境中,消除对多点硬件和软件解决方案进行选型、采购、安装、升级、打补丁和管理的负担,从而降低成本。
Aryaka是提供 “统一SASE即服务”(Unified SASE as a Service)的领先企业,这是一个集网络、安全和可观测性于一体的完全集成的解决方案。Aryaka针对生成式人工智能以及当今多云混合世界的需求而构建,使企业能够转变其安全网络,以提供无懈可击的性能、敏捷性、简便性和安全性。Aryaka灵活的交付方式使企业能够选择自己喜欢的实施和管理方法。数百家全球性企业,包括多家财富100强企业,都依赖Aryaka提供的安全网络解决方案。 有关 Aryaka 的更多信息,请访问 www.aryaka.com。