秉持“持續(xù)驗證、永不信任”的零信任安全理念,以SDP(軟件定義邊界)技術(shù)為基礎(chǔ),從“強化用戶認(rèn)證、持續(xù)環(huán)境評估,動態(tài)權(quán)限調(diào)整”三個層面,構(gòu)筑企業(yè)遠(yuǎn)程訪問全生命周期防護(hù)體系。
終端用戶遠(yuǎn)程訪問核心業(yè)務(wù)資源前,必須經(jīng)過可信身份鑒別;訪問期間,終端環(huán)境始終處于可信評估狀態(tài);當(dāng)終端處于不安全狀態(tài)時,零信任網(wǎng)關(guān)實時調(diào)整終端信任級別,阻斷終端及用戶對于信任級別之上的敏感業(yè)務(wù)的訪問權(quán)限,并最終實現(xiàn)企業(yè)核心業(yè)務(wù)的可信接入。
零信任網(wǎng)關(guān),默認(rèn)關(guān)閉所有TCP端口,拒絕一切TCP連接。網(wǎng)絡(luò)訪問時,UDP端口通過抓包捕獲SPA敲門包,驗證用戶身份,對不合法的信息,丟棄處理,從而實現(xiàn)核心資源的網(wǎng)絡(luò)隱身,并能有效遏制惡意掃描、DDOS攻擊、撞庫、SQL注入等多種網(wǎng)絡(luò)攻擊行為。對合法用戶的IP暫時放行TCP端口,建立TLS加密傳輸隧道,然后關(guān)閉TCP端口,此時用戶連接狀態(tài)保持,可正常訪問內(nèi)網(wǎng)授權(quán)應(yīng)用。
零信任的本質(zhì)是以身份為基石進(jìn)行動態(tài)訪問控制,全面身份化是實現(xiàn)零信任的前提和基石。方案基于全面身份化,為用戶、設(shè)備、應(yīng)用程序、業(yè)務(wù)系統(tǒng)等物理實體,建立統(tǒng)一的數(shù)字身份標(biāo)識和治理流程。
用戶使用過程中,零信任網(wǎng)關(guān)仍會對終端安全進(jìn)行持續(xù)的風(fēng)險與信任評估(包括終端是否安裝殺毒軟件、是否安裝指定補丁、安全基線是否合規(guī)、訪問時間是否合規(guī)等),并根據(jù)終端環(huán)境感知結(jié)果,靈活動態(tài)地調(diào)整訪問權(quán)限。
安全性能突出:核心資源網(wǎng)絡(luò)隱身,有效防止非法的端口掃描、SQL注入、暴力破解、DDOS攻擊、APT滲入等典型攻擊行為。
簡化運維流程:動態(tài)調(diào)整訪問控制策略,極大簡化安全運維人員日常工作。
適應(yīng)多云環(huán)境:軟件支持云化部署,解決企業(yè)多云訪問的問題;
滿足等保要求:從多個維度滿足等保合規(guī)要求,如安全訪問控制、運維安全審計、抵御各種網(wǎng)絡(luò)攻擊等;
系統(tǒng)可靠性高:具有國產(chǎn)自有知識產(chǎn)權(quán)安全防護(hù)系統(tǒng),提供分布式服務(wù)。
體系擴展性強:在系統(tǒng)設(shè)計中采用模塊化結(jié)構(gòu)、減少模塊間數(shù)據(jù)藕合。
