持安零信任 | 改变攻防不对称的局面
在每一个实战攻防演练的安全事件中,往往藏着很多委屈。因为这不是一场平等的对抗。攻击方失败100次只要成功1次,就旗开得胜。而对防守方来讲,哪怕成功100次,只要失误1次,就是前功尽弃。
对企业安全负责人来讲,买入了很多安全产品,花了公司不少预算,带着一众安全团队,关键时刻没有守住自己的防线。
对企业管理者来讲,团队在安全上投入了人力物力,做了N多个方案,安全培训很多次。这还是其次,更可能以后的每一年,这一事件可能变成经典案例,定时公开处刑。
而业务人员也很难,本来自身的工作已经亚历山大,还要时刻惦记着别被钓鱼,别出安全事故。左一个右一个的安全系统,已经让工作很复杂了。要是再出了影响业务连续性的事件,饭碗不保。
明明每个人都很努力,为什么结果总是不尽如人意?因为个体的努力无法改变整个系统的迟钝和滞后,旧的网络安全产品捉襟见肘,企业安全建设呼唤新产品、期待新理念!
#
零信任架构的出现及演变之路
2010年:Zero trust Network Architecture(ZTNA)
总结:2010年的ZTNA可以是对传统网络安全模型的一次升级更新,只在网络层面上划分的更细,功能整合的更多,和现在我们所谈的零信任架构的核心思想还是有比较大的区别的。
2014年:Google Beyondcorp Project
BeyondCorp组件和访问流程
总结:2014年谷歌BeyondCorp的落地,被认为是业界第一次落地零信任理念。验证了零信任理念在大型系统内的可行性,并体现了其对企业业务与安全方面的价值。
2015年,完美世界零信任项目落地运营
2015年完美世界开启内部的零信任调研与实践,参考Google BeyondCorp ,核心思想同样是建立基于用户、设备、应用的三者信任链,以及动态的安全评估机制,在架构设计上按照分层思想设计,即在网络层、主机层、应用层上分别设有三套独立的系统,系统可以独立其他系统运行,也可以系统之间进行联动,通过联动来实现更强的安全防护能力。
总结:2020年新冠疫情,零信任在完美世界远程办公、混合办公期间发挥了重要作用,保障了企业复工复产的有序开展。
2021年至今,持安零信任多个项目落地
2021年,原完美世界安全负责人何艺创业成立持安科技,主要产品持安零信任平台,在架构上参考了Google的BeyondCorp,同时结合团队20年甲方安全经验,10余年攻防对抗及数据安全经验,充分调研国内企业安全建设场景,结合在完美世界成功落地零信任的经验,七年磨一剑,打造出行业顶尖的平台级产品——持安零信任平台。
持安零信任平台架构
持安科技将零信任作为企业办公网络的基础平台,团队自主研发微服务、模块化的原生零信任架构,具有高弹性、可扩展等优势,根据甲方安全状态的建设情况不同,为其匹配复杂办公环境下的零信任安全解决方案。
具体到产品部署层面,持安零信任核心思想是建立以身份为中心,贯穿企业网络-应用-资源-数据全链路安全网络,通过网关、终端、控制中心,与甲方原有的安全产品联动,形成一体化的零信任安全网络。
其重点在于,将安全能力隐藏在员工日常使用的办公平台之中,减少员工因为多系统、复杂密码、带宽卡顿等导致工作效率低下的问题,通过为业务及员工赋能的方式,保障企业办公安全。
持安零信任网关,解决企业在国内外、SaaS、公有云、私有云、IDC等不同访问途径的安全问题。通过独立式或上云部署等方式,部署在业务访问之前,实现业务隐身。同时网关还拥有网络层、应用层、数据层全链路的零信任能力。
持安轻量化、高性能零信任终端,是零信任可信验证的核心能力之一,除了包含基础的零信任接入能力外,还拥有全方位的安全感知能力,动态安全检测、终端安全处置和修复能力等,可使业务数据加密传输,始终检测、保护终端的安全。
持安零信任控制中心可为用户的每一个请求施行零信任动态决策,还可以与企业现有的第三方安全产品融合,通过联防联控。
此外,作为国内第一个真正以甲方身份创业的零信任厂商,持安科技积累了较为完备的零信任运营能力,可以协助甲方持续精细化运营,通过零信任平台承载业务,并在零信任运营过程中不断优化、提升零信任平台与企业不同场景下的贴合度,简化工作流程,提升安全效能,让普通员工、安全部门、企业高管均能在接入零信任系统后受益。
#
持安零信任理念的防守优势
持安攻防演练解决方案经过真实攻防实战考验,从甲方视角出发,以零信任最佳实践的方式实施,无论是攻防演练期间还是普通办公期间,员工都可使用同样的方式办公,不再区分内、外网,以身份为中心,遵循最小权限原则持续动态的访问控制,可以在有效保障企业业务与核心数据安全的同时,简化工作流程,提高效率。
零信任的防护特点
用户每一次对企业办公系统的访问,都需要回答三个来自零信任的灵魂拷问,即“你是谁?你在哪?你要做什么?”,这也是零信任在防守时的优势所在。
第一,零信任的鉴权过程不仅仅基于账号及其地理位置,而是基于用户、设备、应用三者的权限关系额综合判定,而只有被验证用户、设备环境、应用皆可信的数据包,才能够正常通过认证体系,访问到受零信任保护的资源;
第二,用户每次资源访问申请,零信任都会重新对以上三个方面鉴权,通过后方可访问;
第三,终端实时监测用户安全状态,一旦感应到威胁,即时阻断并发送到对访问行为做留存以备日后查验;
第四,用户的每一次行为、动作都会被零信任记录下来,一旦发生安全事件,零信任可完成全链路溯源与审计。
持安零信任产品的优势
· 技术优势
- 原生平台化的弹性架构,可实时根据企业现状调整策略,且支持随时横向或纵向扩容;
- 产品具备网络-应用-资源-数据,全阶段零信任能力;
- 基于身份的全链路数据溯源能力;
- 集群分布式部署,具备高可用及可扩展性。
· 安全优势
- 安全一体化:一套控制台集中管控所有应用系统,可以制定丰富灵活的客户端安全策略,梳理内网应用;
- 漏洞防护:用户访问业务系统之前,先经过零信任平台的可信验证,同时平台可对系统内存在的漏洞进行URI级别的精准防护;
- 行为安全监测及异常行为监控:收集的信息通过分析关联恶意样本的行为进行全面的分析检测,此外,对用户终端的异常行为进行全面的溯源排查与监控分析;
- 安全融合:与企业原有的安全产品融合,不改变原有的使用习惯,业务权限管控,每一次访问的过程均可以记录基于身份溯源的访问日志,能够提供基于身份的日志溯源能力;
- 安全审计:对用户行为或是安全分析溯源可以基于精准的身份而非传统的IP,还原用户所有行为轨迹;
- 数据安全:基于身份的终端敏感文件发现、终端敏感文件外发审计、应用敏感数据的识别、数据访问获取链路的可视化溯源的能力。
落地优势
- 全场景、全行业的覆盖能力:所有业务、所有员工上零信任,员工办公不区分内外网,实现零信任权限最小化、动态鉴权以及去静态密码化;
- 用户无感,业务无侵入式的接入能力:接入时不需要业务系统二次开发,使用时不会给业务带来网络卡顿、过多占用电脑内存、多系统多密码等问题;
- 零信任持续运营能力:持安零信任连续7年的落地使用,通过零信任平台打通安全其他系统,实现安全一体化,持续提供安全运营能力。
此外,为在客户服务时,持安为了保障零信任产品自身的安全性,做了诸多工作。团队组成方面,持安成立零信任攻防实验室及持安SRC,通过对内、对外公开招募征集、定向邀请等方式,提前检验、发现产品问题;在产品研发层面,持安产品基于DevSecOps理念,从代码开始最大程度保障持安零信任产品的安全性;在人员配备层面,持安科技安全攻防团队有着数十年的一线攻防经验,从攻防的角度,定期检测、发现产品自身的安全问题。
整个行业的盛会马上就要开始。
联系持安,一起过关。