随着企业上云，传统的安全边界变的越来越模糊，各自割裂、基于固定边界的被动式防护产品已经开始失效无法工作，需要新的安全模型来应对企业上云带来的安全威胁。YUNDUN基于SDP&零信任安全理念，构建端边云一体化纵深安全加速产品-安全加速SDK，解决PC客户端、移动、IoT新场景下面临的各种安全问题。

01

零信任&隐身安全

以往的云安全产品大多基于DNS方式接入，存在解析生效时间长、易被劫持、安全节点易暴露的问题。此种防御方式通过统一接管互联网流量，将风险识别和安全能力前置到各个边缘，本质上还是被动式“替身”对抗模式，考验防守方的资源能力。

不同于替身的概念，安全加速SDK核心思想是默认不信任外部任何人/ 事/物，只对通过验证和被授权的用户开放“访问隧道”，实现被保护对象的隐身。通过贯通云端弹性防护资源、网络和终端设备，形成了安全可信的虚拟边界，实现全网的协同防护与有效管控。

图1.安全加速SDK技术架构

终端可信检测

在终端嵌入安全加速SDK后，可精准评估每个终端当前运行环境信息（虚拟机、模拟器、root/越狱等），并通过应用风险监测（动态注入、调试、重打包等），综合评估信誉等级，为智能调度、身份可信识别提供多维度参考数据。

云端安全管控

该模块支持用户在虚拟边界内个性化定义访问控制规则，可针对终端进行多因子身份认证、精细化权限管理与控制。安全规则实时下发到弹性安全代理节点上，只有满足规则的请求才可以访问企业应用，有效解决了传统安全产品有效性差、控制力度粗、云租户共用防火墙策略的问题。

云端AI大脑

基于安全代理日志与终端风险监测数据，AI大脑为终端划分不同安全信誉等级，进而将不同信誉风险的终端拆分调度到独立的、隔离的网络中，彻底分隔非法攻击流量与正常访问流量。结合日志，多维度事件关联可快速定位风险终端，大大提升了攻击溯源效率。

安全加速SDK通过为每个通过可信检测的终端智能分配不同安全节点，隔离不同风险等级终端访问的资源，极大地增加了恶意用户攻击的难度。每个终端和云端安全代理通过私密安全隧道进行数据交互，创新的报文认证与校验技术，不同的终端使用的密钥均不相同，让一切网络破解和嗅探成为不可能。通过端、云协同，形成零信任网络，拒绝了一切外部攻击威胁。

02

应用场景

YUNDUN应用零信任理念以全新的视角打破了传统被动防御思路，以创新的端边云一体架构，结合多年的黑灰产、攻击手法研究和线上实战对抗经验积累， 构建主动、智能、纵深的安全防御体系，解决数字业务各类安全问题。

DDoS 防御——开创三阶复合对抗模型，通过 一阶本地资源隐藏-》二阶智能风控调度-》三阶高防资源兜底，将传统单一的硬件+硬性资源对抗转移到了多维度软件+弹性资源对抗，主动免疫DDoS攻击威胁；

图2.三阶复合对抗模型

Bot 自动化防御——依托设备风险识别和可信通信能力，杜绝未经认证的一切流量，可防护：恶意注册、撞库、大流量CC攻击、薅羊毛等安全问题；

入侵防御——隐藏业务真实主机，黑客无法在互联网上发起扫描和定向入侵，无需担心0DAY/NDAY；

链路安全——一机一密，一链一密保证数据传输安全，黑客无法抓包获取业务内容数据，无法做任何伪造和重放攻击请求；

App防篡改——对APP应用的每个文件分配唯一识别指纹，替换任何一个文件均会导致无法运行，防止广告病毒植入、二次打包、仿冒钓鱼等恶意破解；

反外挂——通过设备风险识别功能，可以动态抵御调试、注入、设备篡改、等外挂；

替代DNS——SDK智能风控调度替代域名解析，无需DNS，避免DNS攻击和劫持；

安全合规——符合等保2.0通信传输、入侵防范要求，助力合规。

基于SDP的安全加速SDK摒弃了传统攻防资源对抗模式，更注重于终端治理、风险隔离、安全可信、部署海量分布式防护资源，目前已广泛应用于游戏、电商、医疗、教育等各类APP上，保护了超过数千万终端的安全访问。随着 5G 时代的来临，基于 SDP 和零信任安全理念落地的创新安全产品极有可能成为未来解决全球网络安全问题的基石。