作者—Mia
随着云计算、人工智能、5G的网络泛化发展,保护企业核心数据资产显得更加困难,也更为重要,息象科技致力于帮助企业解决数据安全保护的问题,基于零信任安全的的核心思想自主研发了一套数据安全防护系统——息象天龙SDP。
2010年,Forrester Research的John Kindervag发表了一篇论文推广零信任的概念。从本质上讲,这个概念很简单:零信任=假定一切都是敌对的。
零信任方法将所有流量(包括边界内已存在的流量)视为敌对的,除非已通过策略验证。基于身份的策略可提供更强的安全性,无论是在公共云、混合环境、容器还是本地网络体系结构中,它都可以随工作负载进行通信。
零信任的一个关键方面是最小特权访问。最小特权访问不仅在授予访问权限之前应用,而且还对应用在什么位置、何时何地(服务,设备或连接)等进行追踪,从而大大减少了攻击面,防御者可以缩小关注范围。
零信任技术开始从概念走向落地经过近十年的探索,理论及实践不断完善,逐渐从概念发展成为主流的网络安全技术架构。零信任抓住了目前网络安全用户的痛点,是未来网络安全技术发展的重要方向。
根据Cybersecurity的调查,目前网络安全的最大的挑战是私有应用程序的访问端⼝分散,以及内部用户的权限过多:
• 62%的企业认为保护遍布在各个数据中心和云上的端口是目前最大的挑战。
• 61%的企业最担心的是内部用户被给予的权限过多。
这两点正是零信任专注解决的问题,现有78%的网络安全团队在尝试采用零信任架构。
息象天龙聚合身份认证能力、应用访问协议、权限管理模型,实现企业各类应用间访问互通、互信;系统遵循碎片化应用纳入统一管理的理念,实现企业应用的统一身份认证、访问权限集中控制、访问安全协同管理,为企业构建以身份为核心、覆盖内外部用户体系的统一身份认证管理平台;为应用系统提供多样化的身份管理和认证服务能力,解决现有身份数据分散、跨系统身份互信互认等问题,保障企业的应用信息安全。
可信接入:用户可信、终端可信、访问链路可信、接入应用可信、持续认证;
软件定义边界:动态扩展、零信任安全、网络粒度细、精度高;
智能策略引擎:动态策略、权限安全、管理更简洁。
身份管理:持续认证、单点登录、多因子认证
鉴权:软件定义边界、PBAC、智能安全策略
决策支持:动态感知、智能分析、策略自学习
审计:异常行为审计、关联与溯源、预警
企业VPN:
同域横向攻击难以防护:基于网络物理位置进行信任和非信任网络的划分,无法防护到同域环境内的系统之间的攻击行为;
合法权限的复用难以防护:攻击者通常可以复用合法权限(如口令、访问票据等),系统难以区分是正常访问,还是攻击数据;
安全检测盲点:边界防护模型通常不介入到业务中,不能有效关联分析,导致安全检测容易出现盲点;
边界容易绕过:难以抵御高级威胁攻击,防护机制容易被绕过。
息象天龙SDP:
安全可信度高:信任链条中间状态发生任何改变都会被及时发现和检测;
动态防护能力:持续校验,动态安全,迅速感知并阻断异常;
攻击难度大:应用隐身,全链路加密,确保被保护资源安全。
通过使用单包授权,保护服务端口等方式,封闭内部引流系统,对访问进行鉴权,拒绝非授权的URL访问,授权用户可以添加至白名单内,应用路径默认隐藏和授权推送从而达到缩小攻击面的效果;息象天龙还会对数据进行全程加密安全保护,确保数据在传输及储存方面的安全;使用息象天龙后,可以通过统一入口来访问具体BS / CS应用,无需VPN拨号即可进行无缝单点登录,为您带来内外网一致的办公体验。在终端账号方面,息象天龙提供终端与账号的深层绑定,避免非法设备接入,通过配置参数防篡改,避免恶意软件攻击,还提供了细粒度的用户审计功能,方便追踪用户的行为路径。
以身份为中心:为网络中的人、设备、应用都赋予逻辑身份,并基于身份进行细粒度的权限设置和判定,将统一身份管理;
安全业务访问:所有的访问请求(应用、接口等)都需要被认证、授权和加密;
动态访问控制:对主客体属性、安全状态进行持续的信任评估,根据评估结果动态调整访问授权,防止数据泄露;
持续信任评估:通过对事件风险全面评估和持久化检查, 实现风险事前自动预警。
将合作伙伴、供应商纳入协作成员,通过零信任架构安全将开放业务系统提供给协作成员访问,提升协作效率。
现状:
VPN端口暴露,容易被嗅探,一旦渗透内网失守。
方案:
息象天龙替代VPN,符合远程办公安全接入。构建以身份为核心的统一身份认证管理平台,覆盖内外部用户体系,逐步接入设备、网络、应用/API、数据身份体系。为应用系统提供多样化的身份管理和认证服务能力,解决现有身份数据分散、跨系统身份互信互认等问题,保障企业的应用信息安全。
与传统VPN相比,零信任SDP在网络安全方面表现比较突出,安全防御能力更强, 零信任SDP为现代网络提供更加可靠和直观的保护。
息象天龙SDP技术是基于标准零信任框架研发的控制访问系统能进一步保护网络资源,用户不仅无法查看或访问隐藏在外围的网络资源,而且这些用户将始终经过严格的身份验证过程才能访问资源。息象天龙SDP产品的目标是实现更高的安全性,为企业数据安全保驾护航。