本發(fā)明提供了一種基于安全訪問服務(wù)邊緣的管理系統(tǒng)，包括：安全訪問服務(wù)邊緣SASE管控平臺，其配置成響應(yīng)客戶端發(fā)送的認(rèn)證請求，確定關(guān)于所述客戶端和其訪問對象的安全控制策略和路由策略，并將所述安全控制策略和所述路由策略發(fā)送至SASE網(wǎng)關(guān)；以及所述SASE網(wǎng)關(guān)，其配置成基于所述安全控制策略和所述路由策略，對所述客戶端、所述訪問對象以及兩者之間的交互信息進行安全管理。通過本發(fā)明的技術(shù)方案，可以構(gòu)建包含SASE管控平臺和SASE網(wǎng)關(guān)的網(wǎng)絡(luò)架構(gòu)，以精簡的SASE網(wǎng)絡(luò)架構(gòu)實現(xiàn)對網(wǎng)絡(luò)鏈路中多個對象(包括客戶端和訪問對象)的有效管理，以滿足安全性的設(shè)計需求。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體而言，涉及一種基于安全訪問服務(wù)邊緣的管理系統(tǒng)。

背景技術(shù)

由于企業(yè)網(wǎng)絡(luò)云化發(fā)展趨勢和社會環(huán)境等因素的影響，企業(yè)內(nèi)大量數(shù)據(jù)和應(yīng)用都搬遷到了云上。云計算和邊緣化趨勢讓越來越多的企業(yè)計劃更改其網(wǎng)絡(luò)接入和網(wǎng)絡(luò)安全架構(gòu)，各種孤立的安全產(chǎn)品和解決方案難以解決企業(yè)的實際需求。尤其是大型企業(yè)，分支流量急速增大和訪問路徑變化使得分支用戶的體驗變得難以忍受。例如，遠(yuǎn)程辦公、視頻會議等在提升分支訪問總部、云端的體驗的同時，也帶來了一系列的運維問題和分支安全需求以及運維責(zé)任，其不僅會面臨錯綜復(fù)雜的網(wǎng)絡(luò)環(huán)境和應(yīng)用關(guān)系，還需要對訪問對象(例如應(yīng)用)進行針對性的識別、管理和調(diào)度，傳統(tǒng)的虛擬專用網(wǎng)絡(luò)VPN系統(tǒng)已不堪重負(fù)，無法滿足相關(guān)的安全需求。

發(fā)明內(nèi)容

本發(fā)明旨在解決現(xiàn)有的網(wǎng)絡(luò)架構(gòu)以無法滿足安全需求的問題。

為了解決上述技術(shù)問題，本發(fā)明的第一方面提出了一種基于安全訪問服務(wù)邊緣的管理系統(tǒng)，包括：安全訪問服務(wù)邊緣SASE管控平臺，其配置成響應(yīng)客戶端發(fā)送的認(rèn)證請求，確定關(guān)于所述客戶端和其訪問對象的安全控制策略和路由策略，并將所述安全控制策略和所述路由策略發(fā)送至SASE網(wǎng)關(guān)；以及所述SASE網(wǎng)關(guān)，其配置成基于所述安全控制策略和所述路由策略，對所述客戶端與所述訪問對象之間的交互信息進行安全管理。

在一個實施例中，其中所述SASE管控平臺在確定所述安全控制策略和路由策略過程中，具體執(zhí)行以下操作：從所述認(rèn)證請求提取出目標(biāo)認(rèn)證信息；將所述目標(biāo)認(rèn)證信息與預(yù)配置的認(rèn)證信息進行匹配，以得到匹配結(jié)果；以及根據(jù)所述匹配結(jié)果，確定所述安全控制策略和路由策略。

在一個實施例中，其中所述SASE網(wǎng)關(guān)包括：第一網(wǎng)關(guān)，其配置成對所述客戶端和所述客戶端發(fā)送的交互信息進行安全管理；以及第二網(wǎng)關(guān)，其與所述第一網(wǎng)關(guān)連通，并配置成對所述訪問對象和所述訪問對象發(fā)送的交互信息進行安全管理。

在一個實施例中，其中所述第一網(wǎng)關(guān)在進行安全管理過程中，具體執(zhí)行以下操作：對所述客戶端進行安全驗證；響應(yīng)于所述客戶端通過安全驗證，采用第一目標(biāo)加密套件對所述客戶端發(fā)送的交互信息進行加密，以得到第一加密信息，并將所述第一加密信息發(fā)送至所述第二網(wǎng)關(guān)；響應(yīng)于接收到所述第二網(wǎng)關(guān)發(fā)送的第二加密信息，對所述第二加密信息進行解析處理，以得到關(guān)于所述第二加密信息的原始信息；以及響應(yīng)于所述客戶端再次通過安全驗證，將關(guān)于所述第二加密信息的原始數(shù)據(jù)發(fā)送至所述客戶端。

在一個實施例中，其中所述第二網(wǎng)關(guān)在進行安全管理過程中，具體執(zhí)行以下操作：響應(yīng)于接收到所述第一網(wǎng)關(guān)發(fā)送的所述第一加密信息，對所述第一加密信息進行解析處理，以得到關(guān)于所述第一加密信息的原始信息發(fā)送至訪問對象；響應(yīng)于接收到所述訪問對象發(fā)送的交互信息，對所述訪問對象和其發(fā)送的交互信息分別進行安全驗證；響應(yīng)于所述訪問對象和其發(fā)送的交互信息均通過安全驗證，采用第二目標(biāo)加密套件對所述訪問對象發(fā)送的交互信息進行加密，以得到所述第二加密信息，并將所述第二加密信息發(fā)送至所述第一網(wǎng)關(guān)。

在一個實施例中，其中所述第一目標(biāo)加密套件和所述第二目標(biāo)加密套件包括經(jīng)由所述第一網(wǎng)關(guān)和所述第二網(wǎng)關(guān)通過密鑰協(xié)商所確定的國密加密套件。

在一個實施例中，其中所述SASE網(wǎng)關(guān)還配置成記錄對所述客戶端和所述訪問對象的管理日志，并將所述管理日志發(fā)展至所述SASE管控平臺；以及所述SASE管控平臺還配置成根據(jù)所述管理日志選擇性地發(fā)出預(yù)警。