芯盾时代零信任安全实践路径之SDP方案
星期四, 四月 8, 2021
一场企业业务资源访问的变革已经开始。
云计算、大数据、物联网等技术的发展重塑了企业网络空间环境,云资源访问、远程办公、远程协作等成为企业运营新常态。企业需要满足任意员工在任意时间、任意地点,通过任意设备对企业任意应用进行访问的需求,但却存在冒名登录、非法下载、入侵审批、敏感信息外泄等业务风险,而企业传统的网络边界正在逐渐模糊和失效,无法有效抵御当下新型风险。
零信任安全是在网络发展的历程中由需求推动产生。CSA于2013年提出新一代网络安全架构SDP,旨在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来,SDP将物理设备替换为在应用程序所有者控制下运行的逻辑组件,并仅在设备验证和身份验证后才允许访问企业应用。
基于SDP技术,网络安全的边界被拆解的更加细化,类似于疫情防控中基于城市、社区、小区、单元、家庭,甚至口罩的防控边界越来越细粒化让病毒无孔可入一样,以细粒度的边界防护更好保护用户、设备、应用程序、工作负载、数据资源等安全。
以人为核心的零信任SDP解决方案
芯盾零信任SDP解决方案提供安全客户端(ZSC)、安全应用网关(ZEG)、安全API网关(ZAG)、动态访问控制平台(ZAE)、智能安全大脑(ZITE)等核心零信任产品组件,融合软件定义边界SDP、增强型IAM和微隔离三大技术,覆盖win/mac/linux/android/iOS/browser等泛终端平台,全面感知端点设备、身份、应用、服务、网络和人员行为等风险态势,基于持续的风险和信任等级评估,对业务和数据等资源的访问授予细粒度的最小权限,并进行动态访问控制和风险处置,最终提升企业整体安全水平,满足远程办公、企业间协作、安全演练、特权运维、云资源访问保护等场景对安全性和体验的要求。
五大典型应用场景&方案优势
根据DTEX Systems的最新调查报告,全球企业面临的最大安全隐患依次是:通过端点泄漏数据(27%);丢失用户活动的可见性(25%);法规遵从,合规(24%);来自边界外的访问(23%);对核心业务应用程序的远程访问(18%),例如电子邮件和协作。
芯盾时代认为,零信任体系的目标是建立一个不依赖于城墙和壕沟的防御体系,基于用户身份、位置,相关业务数据、管理数据等各种信息的相互关系,场景匹配等各种微分化的情况来判断、确定以及响应访问的合法性。在移动互联网时代,应从设备、身份和行为等维度入手,持续验证“人”是否可信,并根据状态进行及时处置,实现身份/设备管控、持续认证、动态授权、威胁发现与动态处理的闭环操作,保障企业业务场景的动态安全。
新冠疫情让远程办公成为众多企业的日常,而企业在远程办公期间面临着在管理、技术和人员三方面的安全风险问题。芯盾时代对不同场景实现一体化动态访问控制体系,解决远程和移动办公面临的终端环境安全风险、VPN使用繁杂且易被攻击等安全问题,满足员工在任意时间、地点和设备上安全可控的访问业务的诉求。
企业和组织机构的数据库往往包含敏感数据,也是网络犯罪分子的目标。芯盾时代通过计算身份感知等风险信息,建立最小访问权限动态访问控制体系,减少企业内部资源非法授权访问行为,提升内部资源访问安全,确保业务和数据安全。
芯盾时代采用规则引擎、终端风险感知、认证决策、信任持续计算等零信任核心技术,记录敏感操作行为,发现违规操作或异常行为发起加强认证或阻断,实现端到端加密访问,解决身份信息暴露、身份盗用、内部人员窃取公司敏感信息等风险。
芯盾时代通过SPA技术将安全网关和业务服务实现隐藏,对连接服务器的数据包进行认证授权,服务器认证通过之后,才会响应连接请求。以此达到隐藏服务,攻击者无法找到服务地址和端口。
芯盾时代基于多因素认证能力,通过增加扫描、动态口令、人脸识别等认证方式,部署安全应用网关增加动态风险感知步骤,对邮箱、网络设备等实现增强身份认证。企业无需改造原应用系统即可实现增强身份认证需求。
方案优势
从2004年耶利哥论坛提出去边界化安全理念,到2010年“零信任之父”John Kindervag提出零信任网络模型概念,并在Google的BeyondCorp项目中得到了应用。2015年芯盾时代率先提出“以人为核心”的零信任业务安全理念,多年来积累了丰富的政府、金融、运营商和企业等行业客户落地案例,致力于为用户构建智能、安全、可信的互联未来。
芯盾时代是业务安全产品和服务提供商,率先提出“以人为核心的业务安全”理念的公司。芯盾时代持续引领业务安全技术发展方向,以人工智能赋能信息安全,为客户提供场景化全生命周期业务安全防护方案,助力客户打造安全、智能、可信的业务体系。