Unternehmen haben sich von traditionellen Hub-and-Spoke-Architekturen entfernt, bei denen sich die Netzwerksicherheit auf den Schutz des Netzwerkrands konzentrierte – die Grenze zwischen dem vertrauenswürdigen internen Netzwerk und dem nicht vertrauenswürdigen externen Netzwerk.
In der heutigen Landschaft sind die Benutzer und Arbeitslasten in Unternehmen aufgrund der zunehmenden Nutzung von Clouds, SaaS und eines hybriden Arbeitsmodells stark verteilt.
Außerdem müssen Unternehmen mit einer zunehmenden Zahl ausgefeilter Cyberangriffe fertig werden.
Bedrohungsakteure finden ständig innovative Wege, um die IT-Infrastruktur von Unternehmen auszunutzen und ihre Daten und digitalen Werte zu kompromittieren.
In dieser dynamischen und verteilten Umgebung muss sichergestellt werden, dass sowohl Remote- als auch Zweigstellenbenutzer eine optimale Anwendungsleistung erhalten und einen sicheren Zugang zu Anwendungen, Daten und dem Internet haben.
Um diese Netzwerk- und Sicherheitsanforderungen zu erfüllen, müssen sich Unternehmen auf Lösungen mit mehreren Punkten verlassen, die die betriebliche Komplexität erhöhen, die Verwaltung erschweren und die Kosten steigern.
Unternehmen wollen von herkömmlichen produktzentrierten Lösungen zu einem kohärenten As-a-Service-Modell übergehen.

Aryaka Unified SASE mit Single-Pass-Architektur

Aryaka Unified SASE kombiniert Netzwerk- und Sicherheitsfunktionen in einer As-a-Service-Lösung („All-in-One“), die Unternehmen dabei hilft, ihre Infrastruktur zu modernisieren.
Diese Lösung ermöglicht es einem Unternehmen, sein Netzwerk, seine Sicherheit, seine Anwendungen und seine Benutzer über eine einzige Verwaltungskonsole zu konfigurieren, zu verwalten und zu beobachten, ohne sich auf disaggregierte Einzellösungen für jede einzelne Funktion verlassen zu müssen.
Ein entscheidendes Merkmal der Aryaka Unified SASE-Lösung ist ihre Single-Pass-Architektur, die es Unternehmen ermöglicht, umfassende Inspektionen und Verarbeitungen durchzuführen, während ein bestimmtes Datenpaket nur einmal untersucht wird.
Dieser Ansatz reduziert die Angriffsfläche und minimiert die Latenzzeit, die sonst durch die separate Verarbeitung einzelner Funktionen entstehen würde.
Aryaka hat eine integrierte Architektur entwickelt, die eine hybride Bereitstellungslösung bietet, um die Anforderungen des Unternehmens sowohl für lokale als auch für externe Benutzer zu erfüllen.
Die Durchsetzung der Sicherheit für Workloads und Benutzer erfolgt direkt an der Edge-Appliance: entweder am Aryaka Network Access Point (ANAP) für Benutzer vor Ort oder am Aryaka PoP für Remote-Benutzer.
Darüber hinaus können Unternehmen von unserem integrierten Lifecycle-Management-Support und unseren Managed Services profitieren, die eine personalisierte Erfahrung bei der Bereitstellung und Problemlösung rund um die Uhr bieten.
Aryaka plant, in Zukunft weitere Fähigkeiten und Funktionen zu integrieren, die alle nahtlos in unsere Single-Pass-Architektur integriert sind.

Anwendungsfälle

Die Strategie von Aryaka SmartSecure NGFW-SWG (Next Generation Firewall- Secure Web Gateway) zielt darauf ab, Unternehmen die Möglichkeit zu geben, herkömmliche Netzwerk- und Sicherheitsdienste verschiedener Anbieter durch eine einheitliche Plattform von einem einzigen Anbieter zu ersetzen.
Der Hauptfokus wird in den folgenden zwei unterschiedlichen Anwendungsfällen beschrieben:

1. Ersetzen Sie die Firewall eines Drittanbieters vor Ort durch Aryaka NextGen Firewall

Der erste Anwendungsfall ist das Ersetzen der bestehenden Firewall eines Drittanbieters durch unsere native Aryaka-Lösung.
Um dies zu erreichen, hat Aryaka einen speziellen Sicherheits-Stack auf unserer Software Defined Wide Area Network (SD-WAN) Architektur aufgebaut, der ein gemeinsames Framework auf eine Reihe von Sicherheitsrichtlinien-Engines anwendet.
Viele Anbieter müssen den Datenverkehr für Sicherheitsinspektionen zu den PoPs tunneln.
Aryaka kann den Datenverkehr auf dem ANAP selbst für Benutzer vor Ort überprüfen.
Die Policy Engines führen Sicherheitsinspektionen der Next Generation Firewall und des Secure Web Gateway (NGFW-SWG) durch und stellen sicher, dass der Datenverkehr nur bei Bedarf an das vorgesehene Ziel gesendet wird.
Sowohl der ein- als auch der ausgehende Datenverkehr wird für die von der LAN-Schnittstelle ausgehenden Verbindungen einer gründlichen Prüfung auf Pre-SSL- und Post-SSL-Datenströme unterzogen.
In diesem Anwendungsfall erfolgt der Internet-Breakout am ANAP.

2. Ersetzen Sie Cloud-native Secure Web Gateway-Anbieter

Der zweite Anwendungsfall ist der Ersatz der Cloud-basierten Secure Internet Access (SIA)- oder Secure Web Gateway (SWG)-Anbieter eines Unternehmens durch den nativen Sicherheits-Stack von Aryaka sowohl auf PoPs als auch auf ANAPs.
Die Aryaka NGFW-SWG schützt Benutzer von webbasierten und SaaS-Anwendungen vor Bedrohungen aus dem Internet.
Mit unserer PoP-zentrierten Cloud-Service-Bereitstellung bietet Aryaka umfassende Sicherheit direkt vom PoP für Remote-Benutzer, die über den Aryaka VPNaaS-Client auf Unternehmensressourcen und Cloud-Anwendungen zugreifen.
Dies gewährleistet eine sichere Konnektivität für direkte Verbindungen von Hauptniederlassungen und Zweigstellen, die nicht über einen ANAP innerhalb eines Cloud-as-a-Service-Modells verfügen.
In diesen Szenarien erfolgt der Internet-Breakout am PoP.
Sowohl der ANAP als auch der PoP hosten identische Sicherheitsstacks, um Unternehmensanwender und Workloads vor modernen Bedrohungen aus dem Internet zu schützen.
Dies gewährleistet eine konsistente Benutzererfahrung, unabhängig davon, ob sich der Benutzer vor Ort oder an einem anderen Ort befindet.
Benutzerlizenzen werden verwendet, um NGFW-SWG Sicherheitsdienste für Benutzer mit privatem Zugang bereitzustellen.
Die folgende Grafik zeigt die verteilte Durchsetzung von Richtlinien auf Aryaka PoPs und ANAPs.
Sicherheitsscans finden an den Service Rändern statt, um sowohl lokale als auch entfernte Benutzer zu schützen. img

Wichtigste Highlights

  • Cloud-native einheitliche Plattform
  • Single-Pass-Architektur
  • Sichere Niederlassung & Fernzugriff
  • Sicherer Internetzugang
  • Sicherer Cloud-Zugang
  • Verteilte Durchsetzung von Richtlinien
  • Operative Einfachheit
  • Einheitliche Verwaltung & Beobachtbarkeit
  • Lebenszyklusmanagement-Supportdienste 24/7

Wichtige Unterscheidungsmerkmale

Single-Pass-Architektur

Die Single-Pass-Architektur von Aryaka verarbeitet Netzwerk- und Sicherheitsrichtlinien in einem einzigen Durchgang, ohne dass ein Paket mehrere Sicherheitsverarbeitungsstufen durchlaufen muss, was zu Latenzzeiten und höheren Verarbeitungsanforderungen führen kann.
Wir verarbeiten ein Paket nur einmal und führen nur eine TLS-Prüfung für den gesamten Paketfluss durch.
Unsere Verwaltungsoberfläche MyAryaka bietet Dashboards, Analysen, Beobachtungsmöglichkeiten, Verwaltung und Überwachung für alle Netzwerk- und Sicherheitsdienste.
Telemetriedaten werden nahezu in Echtzeit von allen Sicherheits-Engines gesammelt und bieten Einblicke in Sicherheitsvorfälle, Bedrohungsmanagement und Leistung.
Mit unserer intuitiven Benutzeroberfläche haben Unternehmen die Möglichkeit, Sicherheitsrichtlinien selbst zu verwalten und Zugriffskontrollen zu erstellen, ohne zwischen mehreren Verwaltungskonsolen wechseln zu müssen.
Unsere einheitliche Steuerungsebene kombiniert Netzwerk- und Sicherheitsfunktionen, um eine konsistente Durchsetzung von Richtlinien auf dem ANAP, dem PoP oder beiden zu gewährleisten.
Dies schützt die Benutzer des Unternehmens, wo auch immer sie sich befinden.
Die verteilte Datenebene ermöglicht die Durchsetzung von Richtlinien am nächstgelegenen PoP und am ANAP-Edge, wodurch die Sicherheit näher an der Quelle durchgesetzt werden kann.
Für Unternehmen mit Standortbenutzern hinter einem ANAP werden Netzwerk, Sicherheit und Anwendungsverarbeitung am ANAP selbst durchgeführt.
Für Benutzer mit privatem Zugang und Unternehmensstandorte ohne ANAP wird der Datenverkehr an einem unserer über 40 weltweit verteilten Hyperscale-PoPs verarbeitet, die 95 % der weltweiten Geschäftsbevölkerung auf sechs Kontinenten (einschließlich China) erreichen.

Verwaltung von Multi-Tabellen-Richtlinien

Der herkömmliche Ansatz zur Richtlinienverwaltung legt alle Sicherheitsrichtlinien in einer einzigen komplexen Tabelle ab.
Dieser Ansatz führt zu verwirrenden und fehleranfälligen Konfigurationen, einer verschlechterten Benutzererfahrung, umständlicher Richtlinienverwaltung und komplizierter Fehlersuche, die das Risiko von Sicherheitsverletzungen erhöht.
Unser modularer, auf mehreren Tabellen basierender Ansatz für die Richtlinienverwaltung umfasst mehrere Sicherheits-Engines mit jeweils unterschiedlichen Sicherheitsfunktionen wie Schutz vor Bedrohungen, Reputationsdienste sowie anwendungs- und benutzerbasierte Zugriffskontrollen.
Jede Sicherheitsfunktion verfügt über einen eigenen Satz von Richtlinienkonfigurationen, Abgleichskriterien und Richtlinienaktionen.
Mit unserem Ansatz profitieren Unternehmen von der einfachen Wartung, der Einfachheit des Betriebs und der Flexibilität, granulare Richtlinien für den Verkehr vor, während und nach SSL zu erstellen.

Aryaka SmartSecure Dienstleistungen

Aryaka SmartSecure Firewall der nächsten Generation – Secure Web Gateway (NGFW-SWG)

Aryaka SmartSecure Anti-Malware Zusatzprogramm

Aryaka SmartSecure Intrusion Prevention System (IPS) Zusatzmodul

1. Aryaka SmartSecure NGFW-SWG

Die NGFW-SWG ist ein integraler Bestandteil der Aryaka SASE-Lösung.
Es handelt sich um eine nativ aufgebaute, einfach zu bedienende, verwaltete Lösung, die NextGen Firewall- und Secure Web Gateway-Sicherheitsdienste in einem einzigen, einheitlichen Service kombiniert.
Das Hauptziel von Aryaka SmartSecure NGFW-SWG ist der Schutz der Benutzer vor Bedrohungen aus dem Internet und sich entwickelnden Cyber-Bedrohungen.
Dies wird durch das Abfangen des Benutzerverkehrs und die Anwendung verschiedener Sicherheitskontrollen auf den Netzwerkverkehr erreicht.
Die Aryaka SmartSecure NGFW-SWG führt eine Deep Packet Inspection (DPI) durch, bei der der tatsächliche Inhalt der Daten-Nutzlast für ein- und ausgehenden Verkehr im Zusammenhang mit Verbindungen, die von der LAN-Schnittstelle ausgehen, gründlich untersucht wird.

2. Aryaka SmartSecure Anti-Malware Zusatzprogramm

Der optionale Aryaka SmartSecure Anti-Malware Service bietet eine zusätzliche Verteidigungsschicht, die die Unternehmenssicherheit durch die Erkennung bekannter Malware, Viren und dateibasierter Bedrohungen für den ein- und ausgehenden Datenverkehr erhöht.
Die Anti-Malware-Sicherheits-Engine führt eine DPI durch, um den Netzwerkverkehr anhand einer Datenbank mit bekannten Malware-Signaturen und -Mustern zu bewerten.
Wenn eine Übereinstimmung gefunden wird, wird das Ereignis für weitere forensische Analysen protokolliert.

3. Aryaka SmartSecure Intrusion Prevention System (IPS) Zusatzmodul

The optional Aryaka SmartSecure IPS service includes security engines that inspect inbound traffic on the WAN interface and outbound traffic on the LAN interface.
This encrypted and unencrypted traffic is continuously monitored for malicious intrusion activities using a signature-based detection mechanism that intercepts user traffic and applies various IPS policies to the data packets.
Both branch and remote users are protected and monitored for potential intrusions across 53 categories including those related to Trojans, worms, shellcode exploits, adware, and more.

Funktionsliste

All Aryaka SmartSecure features are made available to branch and private access users through site and user licenses.
Aryaka SmartSecure Anti-Malware and Aryaka SmartSecure IPS are offered as add-on services in two regions: Mainland China and Rest of the World (ROW).
Enterprises can choose either or both options as required.
Aryaka plans to offer additional features as our security service evolves.

Aryaka SmartSecure
NGFW-SWG

Aryaka SmartSecure Anti-Malware
Add-on

Aryaka SmartSecure Intrusion
Prevention System Add-on

Aryaka SmartSecure NGFW-SWG,
Anti-Malware Add-on, and IPS Add-on

Features Description
1. Aryaka SmartSecure NGFW-SWG
Domain Reputation Protects users from malicious domains using reputation scores for more than 750 million domains.
For HTTP traffic, domain names are extracted from HTTP headers.
For HTTPS traffic, domain names are extracted from “Server Hello” message during the SSL/TLS handshake.
URL Reputation Protects users from accessing malicious URLs using reputation scores for more than 32 billion URLs.
IP Reputation Restricts users from accessing malicious IPs using IP reputation verdicts (Good or Bad) for more than 4.3 billion IPs (includes all IPv4 and in-use IPv6).
Category-based Filtering Simplifies policy management by grouping overarching web categories and enforcing policies to permit or deny traffic based on these predefined categories.
Application-based Access Control (Basic CASB) Aryaka’s inline CASB identifies and classifies network traffic and applications using Deep Packet Inspection (DPI), then applies access controls to the sanctioned and unsanctioned applications that are discovered.
DNS-Filterung Inspects DNS queries and responses to permit or deny access to specific websites based on the domain and IP reputation scores.
If non-DNS protocol messages arrive on port 53, the packets are automatically discarded.
Web-Zugangskontrolle Provides access control for post-SSL traffic, including matches against HTTP headers for both HTTP and HTTPS traffic.
HTTP headers can be saved as reusable assets that security policies can reference.
Netzwerk-Zugangskontrolle Provides access control for pre-SSL traffic.
Traffic can be permitted, denied, or allowed to skip to all subsequent processing engines.
Identitäts- und Zugriffsmanagement (Benutzerbasierte Zugriffskontrolle) Allows enterprises to connect to third-party identity providers (IdPs) or use Aryaka as the IdP.
Supported IdPs are Enterprise LDAP, on-premises AD, Okta, Azure AD, and Aryaka DB.
Azure AD and Okta are based on SAML and OIDC authentication standards.
The IdP redirects the user to the captive portal for authentication and authorization.
Unauthorized users are redirected to customized block pages.

Features Description
2. Aryaka SmartSecure Anti-Malware Zusatzprogramm
Schutz vor Malware Provides an additional layer of defense and frees up bandwidth by detecting known malware of all types and dropping the malware at the on-premises and cloud edges.
Aryaka consistently updates its edges with the latest threat intelligence to effectively stop the distribution of emerging threats.
Dateibasierter Schutz vor Bedrohungen Scans file contents and makes dynamic, byte-by-byte determinations based on the file reputation while the content is being downloaded or is in transit on a network.
Industry-standard MD5 file hashes are used as fingerprints to uniquely identify files regardless of filename, platform, and encryption.
High-speed file processing ensures no impact to the end-user experience.
Anti-Virus (AV) Protection Prevents virus infections by consulting automatically updated indicators of compromise (IOC) and signatures from a threat intel database.

Features Description
3. Aryaka SmartSecure Intrusion Prevention System Zusatzmodul
Signaturbasierte Erkennung Continuously inspects WAN and LAN interfaces encrypted and unencrypted traffic for malicious intrusion activities using signature-based detection.
Potential threats are blocked before they can harm digital assets.
Packet Anomaly Detection Identifies protocol deviations from expected standards based on signatures, then alerts system administrators to perform remediation.
Common Vulnerability Exposure (CVE) Protection Reduces an enterprise’s attack surface by mitigating known vulnerabilities and exploits.
Command & Control (Botnet) Protection Detects and blocks communication with C2 servers and botnet activities to protect internal assets.
DoS and DDoS Protection Uses signature-based detection and rate-limiting mechanisms to prevent downtime by protecting enterprise network assets from DoS and DDoS attacks.

Features Description
4. Aryaka SmartSecure NGFW-SWG, Anti-Malware Add-on und IPS Add-on
SSL/TLS-Prüfung und Entschlüsselung Detects attacks in encrypted and unencrypted traffic using dynamic certificate generation with the option of selectively decrypting packets based on the sensitivity of personally identifiable information (PII).
To better detect anomalies in encrypted traffic, TLS inspection is used to decrypt packets.
Packets are then re-encrypted after the inspection is complete.
Centralized Management Allows you to define SD-WAN and security policies consistently across distributed network and cloud resources.
Real-time Threat Insights Delivers visibility and observability of security events and threat insights using the Aryaka unified console.
Security Reports and Analytics Provides comprehensive summary reports and graphs of an enterprise’s threat landscape over a configurable time period.
Alerting Notifies administrators about security events for rapid incident response.
Logging Creates and updates security logs with useful information about the event for debugging purposes.
Self Service Provides enterprises with the flexibility to configure and self-manage security policies in the MyAryaka user interface.

*Die Sicherheitsdienste von Aryaka werden sich weiterentwickeln und weitere Dienste umfassen.

Lizenzierung

NGFW-SWG, Anti-Malware, and IPS services have two types of licenses to meet different deployment needs: site licenses and user licenses.
Site licenses are used to enable NGFW-SWG, Anti-Malware, and IPS services at a specific location.
User licenses are used to enable NGFW-SWG, Anti-Malware, and IPS services for remote users.

Security Service Prerequisite Entitlements Upon Subscription
NGFW-SWG* Aryaka SD-WAN or Aryaka SmartSecure-Private Access FWaaS and NGFW-SWG security features
Anti-Malware Add-on Aryaka SD-WAN or Aryaka SmartSecure-Private Access and NGFW-SWG FWaaS, NGFW-SWG, and Anti-Malware Add-on security features
IPS Add-on Aryaka SD-WAN or Aryaka SmartSecure-Private Access and NGFW-SWG FWaaS, NGFW-SWG, Anti-Malware, and IPS Add-on security features

*NGFW-SWG Standortlizenzen werden in den gleichen Stufen wie Standortlizenzen angeboten (XS, S, M, M+, L, XL und BYO).

Wichtige Geschäftsergebnisse und Vorteile


Global, skalierbar und flexibel

Receive comprehensive security for any user, anywhere, anytime.
With 40+ PoPs, Aryaka can accommodate enterprise growth, changes in demand, and can adapt to unique operational needs.


End-to-End-Konnektivität mit einem Anbieter

Mit der As-a-Service-Lösung von Aryaka haben Sie einen einzigen Ansprechpartner für Netzwerk- und Sicherheitsdienste.


Überall konsistenter Schutz

Bieten Sie einheitliche Sicherheit für Mitarbeiter vor Ort und an entfernten Standorten, indem Sie Netzwerk und Sicherheit unter einem gemeinsamen Sicherheitsrichtlinienrahmen zusammenfassen.


Operative Einfachheit

Erleben Sie eine Reduzierung der Komplexität, des Aufwands und der Schulungen, die für die Bereitstellung und Wartung einer Netzwerk- und Sicherheitslösung mehrerer Anbieter erforderlich sind, mit Aryakas einheitlicher Verwaltungskonsole – MyAryaka.


Überlegene Benutzererfahrung

Bieten Sie Geschwindigkeit und nahtlosen Zugriff auf Anwendungen und sichern Sie gleichzeitig Daten bei der Übertragung und im Ruhezustand.


Niedrigere Gesamtbetriebskosten (TCO)

Senken Sie die Kosten, indem Sie die Last der Dimensionierung, des Kaufs, der Installation, des Upgrades, der Patches und der Verwaltung von Hardware- und Softwarelösungen mit mehreren Punkten in einer komplexen, sich ständig verändernden Bedrohungsumgebung beseitigen.


Über Aryaka

Aryaka ist führend und der erste Anbieter von Unified SASE as a Service, der einzigen SASE-Lösung, die entwickelt und gebaut wurde, um Leistung, Agilität, Einfachheit und Sicherheit ohne Kompromisse zu bieten.
Aryaka holt seine Kunden dort ab, wo sie sich auf ihrer individuellen SASE-Reise befinden, und ermöglicht es ihnen, ihre Netzwerk- und Sicherheitsumgebungen nahtlos zu modernisieren, zu optimieren und zu transformieren.
Die flexiblen Bereitstellungsoptionen von Aryaka ermöglichen es Unternehmen, ihren bevorzugten Ansatz für die Implementierung und Verwaltung zu wählen.
Hunderte von Unternehmen weltweit, darunter mehrere der Fortune 100, verlassen sich auf Aryaka, wenn es um Cloud-basierte Software-definierte Netzwerk- und Sicherheitsdienste geht. Mehr über Aryaka finden Sie unter www.aryaka.com.