神州泰岳

神州泰岳零信任解决方案筑数字化时代的安全堡垒

2021-11-04 1803
阅读提示:

11月1日-3日,2021中国移动全球合作伙伴大会在广州召开,神州泰岳零信任安全解决方案受到广泛关注,什么是零信任安全?它是怎么出现的呢?往下看给你答案!

1 神州泰岳零信任解决方案研发背景

随着云大物移技术的发展和数字化转型,网络安全边界逐渐瓦解,传统城堡式防御模型面临巨大挑战,甚至不再奏效。另一方面内部人员的威胁和APT攻击让内网和互联网一样充满风险,基于边界的网络安全架构难以应对如今的网络威胁,需要全新的网络安全架构应对现代复杂的企业网络基础设施,为应对日益严峻的网络威胁形势,神州泰岳基于零信任的安全架构应运而生。

2 神州泰岳零信任解决方案核心能力

神州泰岳零信任安全架构由SDP、微隔离、IAM三部分组成,其中IAM是实践零信任安全战略愿景的技术根基,提供身份验证与访问控制的关键能力。为了实施零信任架构提出的“永不信任、持续验证”的安全理念,泰岳安全提出了基于IAM的增强性身份安全演进思路,通过更灵活的技术手段应对动态变化的人、终端、系统,采用基于数字身份化的新逻辑边界,实现对人/终端/系统的识别、智能的动态访问控制,筑造基于零信任的IAM增强产品-零信任风控中心(以下统称为零信任身份服务系统),对解决当下及未来异构网络环境下企业的业务安全管控需求具有重要且必要的意义。

神州泰岳零信任身份服务系统

01 以身份为核心

零信任的本质是以身份为核心进行动态访问控制,零信任身份服务系统实现对所有人、接入设备的数字身份真实性的验证以及对访问行为的动态授权和控制。

在零信任理念下,网络位置不再决定访问权限,在访问被允许之前,所有访问主体都需要经过身份认证和授权。

身份认证不再仅仅针对用户,还将对终端设备、应用软件等多种身份进行识别和认证。

授权决策不再仅仅基于传统静态访问控制模型,而是通过持续的安全监测和信任评估,进行动态、细粒度的授权。

02 持续信任评估能力

零信任架构认为一次性的身份认证无法确保身份的持续合法性,即便是采用了强度较高的多因子认证,也需要通过度量访问主体的风险,持续进行信任评估,零信任身份服务系统提供两种评估方式:

访问主体信任评估:通过构建访问主体信任评估模型,建立适配访问行为的访问主体风险和信任评估机制,对影响信任的关键风险进行有限枚举,并从风险评估角度建立度量依据,设立度量子项内容与对应的信任分,分别评估访问主体的身份信任分和当前访问上下文的信任分,综合得到访问主体的信任评估结果,即访问主体信任。

访问客体信任评估:通过构建访问客体安全等级评估模型,建立适配访问客体的业务价值和安全级别的评估机制,从客体的等保级别、业务重要性、影响度等维度综合度量出客体的业务价值分,并设定对应的安全等级。

03 动态决策能力

零信任身份服务系统提供动态访问控制决策能力,对经过“持续信任评估”的用户访问行为生成访问控制决策,决定用户访问行为的阻断、授权干预与放行。确保所有访问都必须被认证、授权。

动态访问控制决策能力通过构建动态决策模型,建立基于访问控制策略的访问主客体信任与决策动作的关系,达成适用客体安全等级的客体分级访问决策依据。动态决策模型使用“持续信任评估”能力输出的<访问主体信任分>与<访问客体安全等级>作为动态决策模型的输入条件,与动态控制策略管理模块进行关联,平台自动分析访问请求的信任相当性,输出自适应用户访问行为的动态访问控制决策。

3 神州泰岳零信任解决方案优势特点

01 消除隐含信任-基于身份的可信认证

可信认证

零信任身份服务系统提供以身份为中心的可信认证能力,对每一次访问连接的参与者,包括人、设备、网关等都进行身份认证,精准识别访问连接相关参与方、目标访问方、网络是否可被信任,阻断不可信接入,防止非法人员以非法方式接入企业业务服务资源。

身份管理

零信任身份服务系统以身份为中心,将用户访问业务过程的各种因素都身份化,构建可信用户、可信设备、可信网络、可信业务资源、可信网关等可信身份,显式管理可信身份,建立安全身份边界,隔离不合法接入。

02 网络访问最小授权-动态按需授权访问

细粒度授权

零信任身份服务系统基于最小授权原则,建立访问用户与权限范围内业务资源访问关系、零信任客户端与可信零信任隐身网关授权访问准入、及零信任隐身网关与业务资源授权连接控制,实现基于最小授权的安全访问边界的定义。

应用级别访问控制

零信任身份服务系统提供对用户端至业务服务端访问接入的准入放行、行为阻断的控制能力,从应用级别审查控制所有业务访问连接,保护业务安全访问。

动态权限调整

零信任身份服务系统可按业务需要随时调整授权连接,即时生成访问授权策略,下发至零信任隐身网关执行,实现对用户业务访问接入的自适应控制。

03 便捷访问-跨设备统一访问入口

统一访问入口

零信任身份服务系统构建基于零信任客户端的统一访问入口,用户持终端设备上通过零信任客户端入口,不区分内外网访问环境,随时随地访问企业业务资源,系统支持的终端设备类型包括包括PC端、Android端、IOS端,实现跨终端设备的用户访问。

统一访问门户

零信任身份服务系统提供基于用户的资源访问门户,汇聚用户权限业务资源,呈现统一访问视图,同时兼容各类浏览器,支持默认浏览器访问,方便用户便捷访问业务资源。

资源单点登录

零信任身份服务系统集成资源SSO单点登录能力,用户直接点击业务资源即可访问,实现业务一键访问。

4 神州泰岳零信任解决方案应用场景

01 替代VPN实现远程办公

基于VPN的用户远程安全访问方式,其范围和功能有限,VPN仅能对用户进行认证,访问控制强度低粒度粗,通常仅提供粗粒度访问控制(访问整个网段或子网),不能有效使用目前企业对远程访问安全管控和身价要求。

基于零信任的远程安全访问,可以保护远程用户便捷业务访问,专为细粒度访问控制而设计。用户无法访问所有未经授权的资源,符合最小权限原则。

02 云上业务安全访问

零信任隐身网关屏蔽基于网络向内网业务系统、云上服务资源发起的攻击,保证业务服务不在互联网暴露。有效避免来自非授权用户侧的网络攻击。所有业务访问流量数据从用户端至业务端全程加密传输,缓解恶意威胁攻击,防止数据窃听或篡改,保护企业业务数据安全。

神州泰岳零信任身份服务系统对网络安全进行了重构,无边界的网络、基于可信的身份、动态的授权和持续的信任评估成为新的理念,身份认证范围更为全面,不光有用户的身份,还有设备和应用、系统身份。访问授权更为精准,不再基于角色的静态授权,而是基于信任评估的结果进行动态授权,最终形成一整套适用企业数字化转型的新型安全机制。