秉持“持續(xù)驗證、永不信任”的零信任安全理念,以SDP(軟件定義邊界)技術為基礎,從“強化用戶認證、持續(xù)環(huán)境評估,動態(tài)權(quán)限調(diào)整”三個層面,構(gòu)筑企業(yè)遠程訪問全生命周期防護體系。
終端用戶遠程訪問核心業(yè)務資源前,必須經(jīng)過可信身份鑒別;訪問期間,終端環(huán)境始終處于可信評估狀態(tài);當終端處于不安全狀態(tài)時,零信任網(wǎng)關實時調(diào)整終端信任級別,阻斷終端及用戶對于信任級別之上的敏感業(yè)務的訪問權(quán)限,并最終實現(xiàn)企業(yè)核心業(yè)務的可信接入。
零信任網(wǎng)關,默認關閉所有TCP端口,拒絕一切TCP連接。網(wǎng)絡訪問時,UDP端口通過抓包捕獲SPA敲門包,驗證用戶身份,對不合法的信息,丟棄處理,從而實現(xiàn)核心資源的網(wǎng)絡隱身,并能有效遏制惡意掃描、DDOS攻擊、撞庫、SQL注入等多種網(wǎng)絡攻擊行為。對合法用戶的IP暫時放行TCP端口,建立TLS加密傳輸隧道,然后關閉TCP端口,此時用戶連接狀態(tài)保持,可正常訪問內(nèi)網(wǎng)授權(quán)應用。
零信任的本質(zhì)是以身份為基石進行動態(tài)訪問控制,全面身份化是實現(xiàn)零信任的前提和基石。方案基于全面身份化,為用戶、設備、應用程序、業(yè)務系統(tǒng)等物理實體,建立統(tǒng)一的數(shù)字身份標識和治理流程。
用戶使用過程中,零信任網(wǎng)關仍會對終端安全進行持續(xù)的風險與信任評估(包括終端是否安裝殺毒軟件、是否安裝指定補丁、安全基線是否合規(guī)、訪問時間是否合規(guī)等),并根據(jù)終端環(huán)境感知結(jié)果,靈活動態(tài)地調(diào)整訪問權(quán)限。
安全性能突出:核心資源網(wǎng)絡隱身,有效防止非法的端口掃描、SQL注入、暴力破解、DDOS攻擊、APT滲入等典型攻擊行為。
簡化運維流程:動態(tài)調(diào)整訪問控制策略,極大簡化安全運維人員日常工作。
適應多云環(huán)境:軟件支持云化部署,解決企業(yè)多云訪問的問題;
滿足等保要求:從多個維度滿足等保合規(guī)要求,如安全訪問控制、運維安全審計、抵御各種網(wǎng)絡攻擊等;
系統(tǒng)可靠性高:具有國產(chǎn)自有知識產(chǎn)權(quán)安全防護系統(tǒng),提供分布式服務。
體系擴展性強:在系統(tǒng)設計中采用模塊化結(jié)構(gòu)、減少模塊間數(shù)據(jù)藕合。
