神州泰岳

产品介绍

零信任安全所依赖的身份验证与访问控制能力通常由IAM身份访问与管控系统提供,促使IAM成为实践零信任安全战略愿景的技术根基,Ultra-ZTIAM正是基于IAM实施零信任安全的新身份安全演进产品,其通过更灵活的技术手段应对动态变化的人、终端、系统,采用基于数字身份化的新逻辑边界,实现对人/终端/系统的识别、智能的动态访问控制。助力企业降低远程办公、云上办公等不同业务场景风险,使用户无论位于何处、何时、使用何设备都可安全地访问授权资源,对解决当下及未来异构网络环境下企业的业务安全管控需求具有重要且必要的意义。

优势分析

产品功能

适用场景

经典案例

神州泰岳

行为可视化

Ultra-ZTIAM基于身份的全流量审计和行为追溯原则,采集所有业务资源访问流量日志、用户登录行为日志,可基于帐号、终端或业务资源对历史行为进行审计分析,可视化追踪用户行为访问轨迹。

统一访问入口

Ultra-ZTIAM构建基于零信任客户端的统一访问入口,用户持终端设备上通过零信任客户端入口,不区分内外网访问环境,随时随地访问企业业务资源,系统支持的终端设备类型包括包括PC端、Android端、IOS端,实现跨终端设备的用户访问。

网关隐身

零信任隐身网关默认关闭所有端口,拒绝一切连接,仅与通过单包授权的客户端建立基于动态端口的访问通道,非法连接无法进入,保证了零信任隐身网关关不对外暴露任何攻击面

动态权限调整

Ultra-ZTIAM可按业务需要随时调整授权连接,即时生成访问授权策略,下发至零信任隐身网关执行,实现对用户业务访问接入的自适应控制。

应用级别访问控制

Ultra-ZTIAM提供对用户端至业务服务端访问接入的准入放行、行为阻断的控制能力,从应用级别审查控制所有业务访问连接,保护业务安全访问。

细粒度授权

Ultra-ZTIAM基于最小授权原则,建立访问用户与权限范围内业务资源访问关系、零信任客户端与可信零信任隐身网关授权访问准入、及零信任隐身网关与业务资源授权连接控制,实现基于最小授权的安全访问边界的定义。

可信认证

Ultra-ZTIAM提供以身份为中心的可信认证能力,对每一次访问连接的参与者,包括人、设备、网关等都进行身份认证,精准识别访问连接相关参与方、目标访问方、网络是否可被信任,阻断不可信接入,防止非法人员以非法方式接入企业业务服务资源。

身份管理

Ultra-ZTIAM以身份为中心,将用户访问业务过程的各种因素都身份化,构建可信用户、可信设备、可信网络、可信业务资源、可信网关等可信身份,显式管理可信身份,建立安全身份边界,隔离不合法接入。

SDP管理中心

企业私有CA签发:SDP管理中心本身就是一个私有的CA系统,如果企业用户不具备CA服务,SDP管理中心可以完成企业私有SM2国密证书签发和管理。 隐身网关管理:SDP管理中心提供网关管理功能,包括网关的初始化、网关负载集群,私有域名等配置,完成各项配置后SDP各组件的访问连接方可建立。 SDP控制器管理:SDP管理中心提供控制器相关管理功能,SDP控制器为隐身网关与企业业务资源服务器的访问连接提供身份和权限验证,负责执行零信任风控中心下发的动态决策的安全控制器。

零信任管控平台

异常访问行为告警:零信任管控平台支持为零信任风控中心提供基础数据管理,实现对用户身份、终端身份、设备资产的数字身份真实性的验证以及对访问行为的动态授权和控制。

零信任风控中心

终端身份管理:风控中心获取零信任客户端识别采集的预注册终端设备信息,为管理员提供对终端设备身份合法性的注册审核功能。 SDP管理访问管理:风控中心获取零信任管控平台的用户组信息,为管理员提供对用户组合法性访问的审核功能。 持续信任评估:零信任架构认为一次性的身份认证无法确保身份的持续合法性,即便是采用了强度较高的多因子认证,也需要通过度量访问主体的风险,持续进行信任评估,零信任身份服务系统提供两种评估方式:访问主体信任评估、访问客体信任评估。 动态决策:风控中心对经过“持续信任评估”的用户访问行为生成访问控制决策,决定用户访问行为的阻断、授权干预与放行。 异常访问行为告警:风控中心为安全管理员提供针对异常访问行为的图形化告警展示界面,列表展示异常事件的关键信息,包括异常事件名称、时间、来源终端、源IP、访问客体、访问结果(成功/失败)、访问处置等。 访问日志管理:风控中心接收隐身网关上报的访问日志、记录用户访问行为的认证日志、用户访问行为动态控制决策日志,实现零信任访问日志的审查能力。

零信任客户端

设备识别采集:零信任客户端能自动识别终端设备信息,实现对Windows、Mac等类型的用户终端设备的指纹信息的采集, 管控平台访问入口:零信任客户端是管控平台访问入口,4A零信任管控平台的用户必须通过此访问入口登录4A零信任管控平台门户。

支撑企业等保合规需求

零信任身份服务系统具备基于身份可信认证、业务隐身、网络最小安全访问、行为流量可视化审计等核心能力,实现以身份为边界的数据与管控分离、业务数据域安全隔离、用户行为访问轨迹的可视化追踪、端至端业务数据安全传输。帮助企业业务与数据安全访问,满足等保2.0合规审计需求。

纵深防御场景

在纵深防御场景下,在每个执行点都要进行动态鉴权。动态鉴权主要提供权限的动态自动授予,动态鉴权综合考虑终端环境、用户行为、身份强度等多种因素进行动态计算,为访问控制引擎提供动态的授权因子。权限系统根据动态的授权因子,对外部授权请求进行实时授权处理,基于多维属性和实时信息反馈进行授权判断。

云上资源访问场景

零信任身份服务系统可帮助用户安全的访问云上资源。企业部署在公有云上的内部应用,因安全考虑,如直接面向互联网开放,将会收到大量的匿名流量攻击。零信任身份服务系统可打通网络隔离,将部署在云上的内部应用,限制于仅有内部员工才可访问的资源。

远程安全访问场景

零信任身份服务系统适用于在家/出差/分支机构等异地访问公司本地资源。可保障异地员工在网络可达的情况下,通过客户端、互联网访问到部署在公司内网出口的网关,进而在通过认证的情况下访问公司内部资源。相当于在互联网上为企业架设了一层虚拟私有网络。

经典案例

某运营商泰岳零信任4A试点工程项目

合作背景

某省运营商网络安全管控平台系统经过十期项目的建设和扩容,目前已经实现支撑网管中心各专业室业务系统及地市公司对设备的日常管理维护工作,已经成为管理维护设备的主要途径。截止目前,接管各类资源24146个,管理主账号17028个,峰值在线用户数2806个,管控自身登录日均14629次。系统功能建设完备情况及使用效果在全国省公司中排名前列,多次被要求承担的各类试点工作,为集团网络安全管理工作提供强力支持。 2021年,某省运营商再次被集团确定为试点省省份,根据本省管控平台现状,本次试点引入零信任技术,改造现有平台能力并强化边界防护和精细化自动化访问控制能力,提升5G网络自身安全防护能力。

客户价值

用户远程访问体验更好:基于SDP的远程访问相对VPN远程访问更加稳定和易用; 内网应用更安全:不需要向互联网暴露任何应用:默认不开放任何可被远程扫描和识别的端口,避免被从互联网扫描; 精细化的资源访问控制:细粒度的访问控制和用户行为的评估,降低安全操作风险; 基于访问客体的增强认证方式:通过安全策略控制,对于高危资源和操作进行加强认证、审批或者告警等处理。

  

技术方案

零信任客户端:零信任网络安全访问的入口,用于与SDP控制器及隐身网关通信建立零信任连接,实时验证访问主体身份,以确保用户和终端设备可信。

SDP管理中心:SDP管理中心支持对隐身网关、SDP控制器的可视化管理能力,其中基于SDP技术的隐身网关是安全访问被保护服务的唯一通道,隐藏被保护的业务资源及系统资源,避免业务资源遭受网络攻击,实现零信任网络不以边界为核心的安全理念;SDP控制器为隐身网关与业务资源服务器的访问连接提供身份和权限验证转发,负责执行零信任风控中心下发的动态决策的安全控制器;由SDP管理中心实现对隐身网关、SDP控制器的身份注册与认证、安全维护管理。

零信任风控中心:零信任网络安全访问行为的决策者,负责企业业务资源零信任访问的终端身份权限认证、网关与隐身业务资产的权限认证、零信任访问连接的持续信任评估与动态访问控制决策的生成与下发、异常访问行为的告警与处置;零信任风控中心动态下发的控制决策作用于SDP管理中心的隐身网关,控制用户访问行为的网络放行与否。

零信任管控平台:企业身份与业务资源的统一管控方,为零信任风控中心提供用户、资产、认证与授权的数据支撑,帮助零信任风控中心实现对用户访问业务连接的行为决策能力。

应用场景

Ultra-ZTIAM核心作用是通过在客户端和SDP网关之间建立可信加密的连接通道,使用户能够安全、方便从外部网络访问公司/企业的资源,可替代VPN应用在远程运维、办公场景中。