近年来,随着物联网、5G、云计算等技术的快速演进使得IT终端越来越智能的同时,其安全风险也在考验着企业的运维环境。作为连接基础设施和应用工具的重要桥梁,网络业务与核心业务的联系愈发紧密。此时,服务商一方面要考虑如何在复杂的IT环境中借助智慧的手段去满足客户需求,另一方面更要加强自身对多场景终端的防护能力。
12月26日,紫光旗下新华三集团发布了新一代终端准入控制系统EAD3,标志着在终端准入控制领域多维度管理体系趋于完备。作为一开放式的安全防御体系架构,EAD已经服务了超过3000万用户终端。在“永恒之蓝”勒索病毒猖獗的2017年,使用EAD产品的用户实现了0勒索。无论是在园区网、广域网,还是在VPN网络、无线局域网、异构网络等场景,EAD均提供了行之有效的云网端解决方案。
在此基础之上,EAD3从网络、数据、桌面和行为四个维度入手,更有效加强用户终端主动管理能力,为企业网络管理人员提供了全新的有效、易用的管理工具和手段。同时,围绕人工智能、区块链等技术集成了全新的功能和设计。例如AI能够准确识别、预测网络异常等风险因素,即时分发新的准入控制策略,控制风险蔓延。EAD3基于AI技术,还能提供直观的图形化界面来进行预警及风险管理,将人工管理的不可控化解于无形。
新华三集团副总裁毕首文透露,新华三专门成立了AI技术研究院,去探索人工智能是如何在端、网、云之间结合算法对数据进行深度分析,从而在应用层面对客户的业务提供帮助的。要知道,新华三在过去15年中,其终端准入控制系统积累了AI训练数据和大量补丁管理数据,这些最真实的一手大数据资料成为了EAD3 人工智能应用的坚定基石。借助AI,新华三可以消除更多的不确定性,让IT系统的使用变得更可靠、更有效。
新华三集团副总裁毕首文
可以看到,产品形态的迭代背后是客户在终端选型和部署过程中的复杂性提高了,首先来讲除了设备数量的几何级增长,它们所运行的系统平台也是各有不同,所导致的一个问题是数据架构的差异化。其次,IT环境的管控需求早已不是只有PC、手机这样的设备,监控摄像头、打印机等各类的终端层出不穷,使得服务商要提供软硬结合的产品去满足IP终端的应用。
新华三网络产品部副总经理杨海军表示,新华三在“端”的解决方案主要有两种形式,第一种是由网络设备起家开始做终端的管控,第二种是从桌面(桌面管理、安全管理等)向上延伸。而如何将这两种方式相互关联起来,就要看云网端的整合能力了。
新华三网络产品部副总经理杨海军
“在终端准入市场,大家的起源不一样,有从终端厂商开始,有从网络市场开始,但不管怎么样,满足用户需求的,就是好方案。作为数字化解决方案的领导者,新华三要满足各行各业的应用数据。用户需要一套好的方案,来让整个网络管理变得有序。”杨海军说,“新华三能够和网络结合的整个端点(整个控制)方案是用户需要的,并且在持续领跑这个市场。要说可以把整体能力拉通,新华三应该是做得相对最好的。”
区块链集群是新华三EAD 3最典型的进化之一。通过部署分布式账本网络准入集群,实现去中心化的网络准入认证,提高了认证系统的可靠性以及实时性,大幅降低了用户系统实施部署的成本。过去,传统的备份相当于各自有独立的软件和数据库。比如四个校区,某个校区的账户发生了一次更新,新加了一个账户,而另外三个校区并不能及时了解新户,只有等到每天同步的那一次才能知道,无法做到实时同步。
“传统的系统设计对于分布式的考量不够,都是以单机(项目)为主。区块链大家都认可的一个点叫去中心化,这里面的分布式账本在认证系统里面,可以解决认证的痛点。EAD3部署了这分布式账本,既能实现实时的全网同步,还能够规避单点故障。”新华三业务软件产品部总监李冬说。
新华三业务软件产品部总监李冬
在EAD3系统中,阿米巴魔盒扮演的角色是可以依照客户需求随时变化应对的模块,支持多场景适配,软硬兼备。阿米巴魔盒不仅能满足海量用户环境下的账户认证和管理,而且可以定制各种专属认证页面,通过内嵌的动态软令牌系统结合用户名和密码为客户提供双因素认证,同时还全面支持国密算法,可以满足特定行业的安全要求。
对于各种各样的认证服务器,阿米巴魔盒都可以以去适配,并实现标准化,好处之一自然是运维的工作量下降了,另一点是对于规模没那么大的局域网来说,一个盒子就能轻松满足需求。通过自带的移动运维APP,管理员可以远端访问管理页面,减少地域限制。
此外,阿米巴魔盒的管理界面向上提供北向接口,无论是新华三的运维管理平台,还是第三方运维管理平台,都可以调用这个接口完成管理功能。用户在登录系统后,自带移动运维的管理页面类似于家用路由器设置,可以直接输入地址登录进行操作,支持APP端的监控和管理。
在杨海军看来,客户需要的云网端的协同方案,EAD3就是要把网络设备、端设备、云平台深度联动起来,进行云网的全覆盖。为此,新华三在成立之初就开始做业务软件的管理,iMC基于网络模块化开发,已经拥有20个模块和组件,EAD是中间的一个,EAD可以独立部署,也可以在iMC上部署进行联动。
举个例子,iMC EAD 提供广域网接入认证方案,保证每个接入总部的用户身份可知、安全状态可控、网络行为可查,保障广域网的安全。EAD 可以在总部的入口或分支结构的出口路由器部署基于Portal 方式的EAD 认证,能够根据分支机构自身情况制定安全管理的策略。
由此可见,围绕新一代终端准入控制系统EAD3构建的软件及工具就是要解决网和端之间的联动,对网和端的效率提升以及可靠性和安全性提升。杨海军谈到,新华三的网络产品规划可以从两个方向来看,第一是基于SDN/NFV等技术的解决方案,第二是把WLAN和IoT融合起来。“在万物互联时代,结合绿洲平台打造物联网整体解决方案,把碎片化的物联网市场基于WLAN,基于这种有线的连接和无线的连接结合起来,让整个的连接更加高效可靠,同时让物联网在更多的行业里面能够生根开花。”杨海军说。
过去一年,新华三在帮助客户进行数字化转型的过程中取得了一系列成绩,从全球首个向用户交付的400G带宽交换机,到AD-NET的重磅升级,以及无线产品线的策略转型,由“卖盒子”式的销售逐渐走向了高粘性的解决方案销售……一路走来,新华三始终在探索如何版主客户迈向全面数字化的时代,而兼顾传统网络环境与公私混云环境部署的EAD3,则是掀开了纵横端网、迈向智能时代的安全新篇章。
本文属于原创文章,如若转载,请注明来源:云时代的端网防护 EAD3让安全插上AI的翅膀//cloud.zol.com.cn/710/7100021.html
