Китай - це надзвичайно цікавий ринок для міжнародних організацій, але його особливості культури та регулятивного оточення вимагають особливої уваги до безпеки та стабільності мережевих з'єднань. Китайський уряд суворо регулює інтернет-середовище, що впливає на доступ до деяких зарубіжних веб-ресурсів та контенту. Ці правові обмеження та технічні виклики можуть створювати складнощі з організацією безпечної роботи філій міжнародних компаній у Китаї.
Особливості правового регулювання інтернету в Китаї
Розгляньмо, які методи блокувань застосовують китайські IT-фахівці для протистояння постійному потоку користувачів, які бажають обійти обмеження:
- Блокування IP-адрес (а також цілих IP-підмереж)Є простим та економічно ефективним методом. У китайському інтернеті існує практика ведення "чорного списку" IP-адрес, що включає адреси небажаних веб-сайтів, таких як New York Times, або публічні IP-адреси DNS-резолверів Google. Повний список заблокованих сайтів можна знайти онлайн. Процес блокування IP-адрес здійснюється стандартним способом за допомогою маршрутизаторів BGP. Всі пакети, надіслані за IP-адресами із "чорного списку", просто відхиляються. При спробі доступу до того чи іншого ресурсу, користувач бачить нескінченне завантаження сайту, без будь-яких інформаційних попереджень.1
- Глибоке пакетне інспектування (DPI) та атаки з використанням TCP ResetDPI - це технологія, що дозволяє аналізувати, фільтрувати та класифікувати мережеві пакети на основі їхнього змісту. На відміну від звичайних брандмауерів, DPI аналізує як заголовки пакетів, так і повний вміст трафіку, що передається. Ефективність DPI-рішень залежить від продуктивності та обсягу оперативної пам'яті використовуваних фільтруючих компонентів. Тому спостереження за всім міжнародним трафіком є тривалим та витратним процесом. Атаки TCP Reset дозволяють перервати TCP-з'єднання шляхом надсилання фальшивого сигналу скидання, що призводить до передчасного завершення з'єднання. Такі атаки можуть бути використані для обходу мережних обмежень та блокувань.2
- Блокування за ключовими словами в URLЦе відносно простий метод. Наприклад, у цьому випадку www.stanford.edu/group/falun може бути заблоковано, тоді як www.stanford.edu залишиться доступним. Незважаючи на його простоту, це є одним із найбільш "демократичних" способів блокування. У прикладі з Китаєм, платформи Github і Reddit можуть залишатися доступними. Однак, якщо спробувати зайти на репозиторій або сабред, пов'язаний з shadowscks (протокол для обходу блокувань), користувач побачить нескінченне завантаження без подальшого доступу.3
- Блокування TORЄ тривалим і цікавим поєдинком у Китаї. Наприклад, через заміну DNS-запитів весь трафік, спрямований на сайт Tor Project, де можна завантажити браузер Tor, тривалий час перенаправлявся на веб-ресурс, пов'язаний із дитячою порнографією з Флориди. У рамках механізму "Великого китайського файрволла" (GFW) також використовується IP-спуффінг для сканування Tor-мостів, створюючи додаткові перешкоди для доступу до мережі Tor.4
- Блокування VPN-трафікуЄ важливим завданням, і згідно з деякими джерелами, "Великий китайський файрволл" (GFW) використовує методи машинного навчання для розпізнавання та блокування VPN та проксі-з'єднань. Незважаючи на те, що ключові слова "машинне навчання" і "Китай" можуть викликати тривогу в деяких, варто визнати, що в технологіях виявлення немає нічого нового. Досить небагато часу, щоб знайти безліч доступної та цікавої літератури щодо застосування статистичного навчання для класифікації інтернет-трафіку. Найпростіша евристика полягає в тому, що якщо 99% трафіку спрямовується до однієї адреси, шифрується і містить однакові заголовки, це може бути ознакою VPN-з'єднання. Однак більш складне завдання полягає у розрізненні, коли використовується VPN, а коли ні. У цьому аспекті китайські фахівці справляються краще за багатьох інших. Вся система інтернет-цензури у Китаї будується на багатомануальній роботі.5
Дуже часто наші клієнти звертаються до нас як до лідерів у галузі безпеки за допомогою організувати надійне з'єднання зі своїми партнерами та філіями по всьому світу, у тому числі й Китаю. І якщо з рештою світу проблем немає, то з Китаєм вони реально є...
Особливості застосування ZIA Private Service Edge
Для критично важливого бізнес-трафіку клієнти можуть використовувати рішення ZIA Private Service Edge/Virtual Private Service Edge та використовувати існуюче підключення
Публічне ЦОД Zscaler використовують стандартну внутрішню пропускну спроможність від різних операторів, включаючи China Telecom та China Unicom
Організації, які використовують публічні ЦОД Zscaler, повинні мати стабільне внутрішнє підключення.
Якість і доступність зовнішніх пунктів призначення можуть змінюватись в залежності від провайдера, що використовується, та умов на місцевості.
Користувачі Zscaler матимуть аналогічну продуктивність при доступі до внутрішніх сайтів та додатків SaaS, що й під час використання іншого місцевого постачальника послуг.
Клієнти, які вже використовують преміальне або приватне підключення на своїх місцях, можуть зіткнутися з різними показниками продуктивності при використанні публічних ЦОД Zscaler.
Преміальні ЦОД Zscaler, як правило, працюють так само, як преміальне підключення клієнтів для міжнародного контенту, хоча дотримання та поведінка можуть відрізнятися.
Деякі порти, протоколи (наприклад, IPsec, GRE) або IP-адреси недоступні - Іноді або в загальному випадку певні міжнародні пункти призначення стають недоступними з території Китаю, але доступні з інших місць. Усі спроби залучити місцевих китайських операторів не призводять до результату чи дають невизначені відповіді.
Як налаштувати підключення?
Підключення робиться в один клік, на підключення необхідно придбати та встановити Zscaler у філіях у Китаї та встановити на нього додаткове розширення Zscaler China Premium Access
Що таке Zscaler China Premium Access?
Простіше кажучи, Zscaler China Premium Access - це розширення Zscaler Zero Trust Exchange, що працює в мережі преміум-класу в Китаї, яке дозволяє користувачам насолоджуватися позитивним інтерфейсом користувача без складності запуску приватної мережі, а оскільки потреби кожного клієнта різні, є кілька варіантів для задоволення кожного
Які є варіанти China Premium Access?
- China Premium AccessКлієнти можуть надсилати свій трафік, спрямований в інтернет, у ЦОД Zscaler, розміщений на преміальному китайському провайдері, який має доступ як до внутрішнього інтернету в Китаї, так і до преміум-доступу до міжнародних веб-сайтів та додатків SaaS.
Більшість варіантів пересилання трафіку є доступними, але можуть змінитися (від Client Connector, Cloud Connector або Branch з використанням GRE або IPSEC тунелю). Весь трафік захищається за допомогою служби Zscaler Service Edge на місцевому преміальному провайдері.1 - China Premium Access PlusКлієнти можуть спрямовувати трафік до ЦОДу Zscaler, розміщеного на преміальному китайському провайдері, який має доступ як до внутрішнього інтернету в Китаї, так і до комбінованого приватного підключення.
Хостинг приватної інфраструктури призначений виключно для використання трафіку цього клієнта. Усі варіанти пересилання трафіку доступні (від Client Connector, Cloud Connector або Branch із використанням GRE або IPSEC тунелю). Міжнародний трафік захищається за допомогою Zscaler Service Edge на місцевому преміальному провайдері. Через характер цієї послуги, розмір та надання повинні бути ретельно сплановані клієнтом.2 - China Premium Access Underlay
У випадку, якщо клієнт може чітко визначити та розділити певні програми та направити такий трафік до керованої точки Zscaler, Zscaler, співпрацюючи з Alibaba, надає керовану службу, яка може забезпечити надійний транспорт для такого трафіку.3 - Також є рішення для локальної інфраструктури (On-premises Solutions)Віртуальне приватне підключення до сервісів ZIA (ZIA Virtual Private Service Edge) та Приватне підключення до сервісів ZIA (ZIA Private Service Edge) можуть бути використані для запобігання потенційним проблемам, які можуть виникнути при маршрутизації через публічні ЦОД Zscaler.
Варіанти Віртуального приватного підключення до сервісів ZIA та Приватного підключення до сервісів ZIA дозволяють клієнтам використовувати доступне преміальне рішення (MPLS, CN2 тощо), зберігаючи захист своїх користувачів.
Віртуальне приватне підключення до сервісів ZIA може бути швидко розгорнуте, тоді як Приватне підключення до сервісів ZIA вимагатиме часу для розгортання, оскільки включає логістичні аспекти забезпечення та доставки.
ZIA VPSE/PSE вимагає доступу до портів 80/443 для доступу за допомогою клієнтського підключення (Client Connector Access).4
Як бачимо Zscaler надає можливості для управління та захисту даних відповідно до китайських регулятивів, преміум-хмарних вузлів у Китаї.
З правильним налаштуванням та інтеграцією Zscaler у китайських філіях організації зможуть забезпечити надійну та безпечну мережеву інфраструктуру, що сприяє ефективній роботі в умовах китайського інтернет-середовища. У наступному розділі розглянемо переваги моніторингу та аналітики Zscaler у Китаї для підвищення безпеки та продуктивності мережі.
Бажаєте такий же кейс з підключення?
Отримайте безпечну мережну інфрастркуткру для роботи у специфічних мережах