零信任-深信服零信任aTrust介绍(5)

​深信服零信任aTrust介绍

深信服是国内领先的互联网信任服务提供商，也是国内首家通过认证的全球信任服务商。深信服零信任是其中一项核心的信任技术，主要针对身份认证、数字签名、数字证书等方面的信任问题。

深信服零信任提供了一种新的安全保护模式，可以在不对客户端进行任何信任的情况下，通过智能硬件等安全设备实现身份认证和数字签名。深信服零信任不仅可以保证安全，还可以提高效率和易用性，是信任技术领域的一个重要创新。

深信服零信任访问控制系统aTrust（简称aTrust），是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力，满足新形势下多场景的企业应用安全访问需求。同时，aTrust作为深信服零信任安全架构整体解决方案的核心组成部分，支持对接态势感知等多种安全设备，安全能力持续成长，助力客户网络安全体系向零信任架构迁移，帮助客户实现流量身份化、权限智能化、访问控制动态化、运维管理极简化的新一代网络安全架构。

深信服零信任aTrust推出的背景与挑战

过去，安全建设的主要思路是“鉴黑”，通过防御、检测和响应等方式不断发现并闭环问题，但存在无法发现0Day、nDay等高级威胁，平时海量告警无法及时处置等问题。面对数字化转型带来的安全新挑战，需要落地“鉴白”的思路来增强事前防护能力，从源头上加强安全体系建设。

业务开放性增强，安全风险变大：

• 数字化转型催生大量IT业务系统，端口开放增多、访问关系复杂
• 业务系统云化、SaaS化，访问方式更加开放，业务系统直接暴露于互联网上

网络边界模糊，防护效果打折扣：

• 业务开放让边界变得模糊，传统基于边界的安全防护手段失效
• 终端自身缺乏有效的安全保护，潜在的安全漏洞、病BD毒木MM马极易造成新的安全隐患
• 非办公场所访问业务系统，敏感数据容易遭泄露，数据安全成问题

用户角色多样化，身份权限难管理

• 传统身份认证手段单一、强度不足、效果差，账号滥用、冒用现象频发
• 内部员工、供应商、外包人员、合作伙伴等多角色共存，用户访问权限难以有效管理

深信服内部零信任落地历程

图片来自网络,侵权即删.

深信服零信任aTrust所涉及产品

深信服公司提供的零信任解决方案包括：

• 智能硬件安全设备：提供离线的数字签名和身份认证功能，确保用户的敏感信息安全。
• 安全密钥管理：提供安全的密钥管理解决方案，以确保数据的安全性。
• 数字证书：提供数字证书服务，以提高身份认证的安全性。
• 身份认证和授权：提供安全的身份认证和授权服务，以确保数据的安全性。

深信服公司还提供其他相关的安全产品和服务，如安全存储、加密等，以满足不同行业的安全需求。

深信服零信任aTrust架构拓扑介绍

深信服的零信任架构拓扑图通常包括以下几个关键部分：

• 终端安全设备：提供离线的数字签名和身份认证功能，确保用户的敏感信息安全。
• 安全密钥管理系统：管理用户的密钥，以确保数据的安全性。
• 身份认证服务器：负责身份认证和授权，以确保数据的安全性。
• 数字证书服务器：提供数字证书服务，以提高身份认证的安全性。
• 安全存储：存储敏感数据，以确保数据的安全性。

这些关键部分通过严格的安全协议进行通信，以确保整个系统的安全性。深信服的零信任架构还可以通过扩展安全加密等技术来满足不同行业的安全需求。

深信服零信任aTrust方案概览

以ZTA平台为核心的零信任安全解决方案，提供全场景下的零信任安全能力，通过“持续信任评估”、“动态访问控制”等手段持续增强事前防护效果，结合可视、可控、可评价的安全数字化工具，助力安全团队从不断救火向风险监管和安全治理转型，让安全工作更省心。

图片来自网络,侵权即删.

深信服零信任的核心优势：

场景覆盖更广泛

• 支持更多业务场景，方案涵盖了远程办公、移动办公、混合办公、多分支办公、远程开发、特权访问等多种访问场景。
• 扩展不同核心组件，可平滑扩展不同场景下的组件，帮助用户从单一场景逐步演进到全场景零信任。

落地部署更容易

• 部署方式多样，具备多种交付形态，支持多样化部署模式，满足用户不同环境下的交付和部署需求。
• 网络改动小，国内独创零信任直连网关DGW，实现内网改造零摩擦，终端无需安装零信任客户端，让零信任落地更简单。
• 落地经验丰富，全国交付2000+用户，并在集团内部率先完成零信任改造，具备丰富的落地交付经验。

“鉴白”能力更强大

• 强大的“鉴白分析”，广泛采集客户端、网关、防火墙、态势感知、第三方PIP等多维度数据，并基于身份、终端、行为进行多维度关联分析，进行持续信任评估。
• 灵活的处置方式，基于持续信任评估结果，可联动各类组件实现增强认证、智能降权、联动阻断等多种处置效果

运营效果更显著

• 丰富的数字化工具，提供风险地图、告警中心、行为轨迹、智能报表等多类数字化工具，对内部访问轨迹做可视化展示并持续运营。
• 完善的评价体系，基于组织、终端、应用等多个视角进行安全效能评价，帮助安全部门看清风险，助力安全团队从不断救火向风险监管和安全治理转型。

深信服零信任aTrust架构的应用场景

作为一个零信任安全解决方案提供商，深信服很可能为各个行业和组织提供零信任架构解决方案。一些零信任架构的常见应用场景包括：

• 远程工作：随着越来越多的员工在家工作，组织需要一种方法来保护他们的网络和数据免受远程访问的威胁。
• 多云环境：随着越来越多的组织采用多云策略，他们需要一种方法来保护他们在不同云环境中的数据和应用程序。
• 受监管行业：像医疗和金融这样的行业对数据隐私和安全有严格的规定。零信任架构可以帮助组织满足这些规定。
• 工业控制系统：使用工业控制系统来自动化关键基础设施设备中的过程的组织可以从零信任架构中受益，以保护这些系统免受网络威胁。

以下内容为实际场景及引入效果介绍：

​远程接入场景：

包含远程办公、远程开发、移动办公等远程场景，通过零信任安全解决方案提供安全的访问通道，大幅收敛互联网暴露面，精细化管控用户访问权限，保护敏感数据不外泄。

内外网混合办公：

为职场、分支、下级单位提供内外网一致的访问体验，解决内网权限控制策略腐化、失效等安全问题，实现基于身份的访问控制和动态评估，降低安全运维工作量、提升实际安全效果。

攻GF防演练安全加固：

通过零信任解决方案实现业务隐藏，结合SPA单包授权、动态访问控制、信任评估等技术对用户身份、访问环境、访问行为进行持续监测和分析，极大地提高攻GJ击者的攻GJ击成本，在事前进行有效的安全加固。

内外网统一访问控制：

对于内外网均有相同业务系统访问需求的企事业单位，深信服零信任解决方案可以帮助企业或单位在内外网、多区域使用同一套访问控制体系，统一终端安全接入基线，从而简化网络架构，避免重复建设，节约建设成本，提升内外网一致的访问体验。

多云多数据中心业务安全访问：

对于多数据中心的中大型集团企业、业务上云接入终端多的企业，由于云上边界模糊，传统边界ACL的访问控制模式失效，业务分布多数据中心时，需要实现同时连接，深信服零信任方案可实现多云多数据中心安全访问，并统一权限控制，统一访问体验。

H5微应用办公安全访问：

对于使用或计划使用企业微信/钉钉等超级SaaS APP开展移动办公或业务移动化的企事业单位，深信服零信任解决方案支持在企业微信、钉钉等第三方办公平台上，采用纯Web安全代理方式接入企业内网访问业务系统，无需安装任何插件，具有超高兼容性特点，最大程度保障原有站点的正常访问，让客户保障安全的情况下，感受极致访问体验。

终端数据安全保护：

对于远程访问涉及敏感数据，需要对终端侧进行数据保护的企事业单位，深信服零信任解决方案从用户终端安全、身份识别、传输安全、权限评估、策略评估、数据安全各个维度为用户构建零信任“双域空间”办公平台。通过终端双域隔离沙箱，实现数据落地后的安全保护，防止终端数据主动或被动泄密。

深信服零信任aTrust的未来发展展望

随着科技的不断发展，零信任架构可能会得到更广泛的应用，并在安全性、易用性、性能等方面有更多的提升。但具体的发展趋势需要随着市场的发展而慢慢明朗。​