J9九游会AG

11年+专注一站式IT服务商,成为客户值得依赖的合作伙伴

服务热线:400-900-9695

咨询热线:18124774386

零信任身份安全解决方案

随(sui)着信(xin)息技(ji)术(shu)的(de)(de)(de)(de)快速发(fa)展(zhan),云计(ji)算、大数据、物(wu)联(lian)网、移(yi)动互联(lian)、人(ren)工智能等新(xin)兴技(ji)术(shu)为(wei)政府部(bu)(bu)(bu)门及(ji)各类企(qi)(qi)业(ye)(ye)的(de)(de)(de)(de)信(xin)息化(hua)发(fa)展(zhan)及(ji)现代化(hua)建设(she)带来(lai)了(le)新(xin)的(de)(de)(de)(de)生产力,但同时也(ye)给信(xin)息安(an)全(quan)带来(lai)了(le)新(xin)挑战(zhan)。一(yi)方面(mian),云计(ji)算、移(yi)动互联(lian)导致的(de)(de)(de)(de)企(qi)(qi)业(ye)(ye)边界(jie)瓦解,难以继续基于边界(jie)构筑企(qi)(qi)业(ye)(ye)的(de)(de)(de)(de)安(an)全(quan)防(fang)线;另一(yi)方面(mian),外部(bu)(bu)(bu)攻(gong)击(ji)和(he)内(nei)部(bu)(bu)(bu)攻(gong)击(ji)愈演(yan)愈烈,以APT攻(gong)击(ji)为(wei)代表的(de)(de)(de)(de)高级(ji)持(chi)续攻(gong)击(ji)仍然能找(zhao)到各种漏洞突破企(qi)(qi)业(ye)(ye)的(de)(de)(de)(de)边界(jie),同时,内(nei)部(bu)(bu)(bu)业(ye)(ye)务的(de)(de)(de)(de)非授权访(fang)问(wen)、雇员犯错、有意的(de)(de)(de)(de)数据窃取等内(nei)部(bu)(bu)(bu)威胁层(ceng)出不穷;另外,国家和(he)行业(ye)(ye)层(ceng)面(mian)对(dui)(dui)企(qi)(qi)业(ye)(ye)安(an)全(quan)的(de)(de)(de)(de)监管(guan)力度逐步加(jia)强(qiang),也(ye)对(dui)(dui)企(qi)(qi)业(ye)(ye)安(an)全(quan)提(ti)出了(le)更高的(de)(de)(de)(de)要求。只有充分的(de)(de)(de)(de)认识到这些新(xin)IT时代的(de)(de)(de)(de)安(an)全(quan)挑战(zhan),才能更好的(de)(de)(de)(de)进行应对(dui)(dui)。

业务挑战

企业边界瓦解

传统(tong)的(de)安全(quan)架构基(ji)于边界(jie)(jie)(jie)思维(wei),假(jia)定企(qi)业存在(zai)(zai)一个(ge)“内网(wang)”,存在(zai)(zai)一个(ge)边界(jie)(jie)(jie)对内外网(wang)进行(xing)隔离,假(jia)内网(wang)是安全(quan)的(de)、外网(wang)是不安全(quan)的(de),基(ji)于如上(shang)假(jia)设,企(qi)业在(zai)(zai)边界(jie)(jie)(jie)处部署防(fang)火墙、WAF、入(ru)侵检测等(deng)设备进行(xing)防(fang)御,并(bing)期望借(jie)此打(da)造企(qi)业的(de)安全(quan)护城河。随着移动办(ban)公、云(yun)计算等(deng)技术的(de)广泛采用,企(qi)业的(de)边界(jie)(jie)(jie)已(yi)经模糊(hu)甚至(zhi)瓦解。

一(yi)方面,企(qi)(qi)业(ye)(ye)业(ye)(ye)务(wu)和数(shu)据的(de)(de)访问(wen)者已经(jing)超(chao)出(chu)了企(qi)(qi)业(ye)(ye)的(de)(de)边界。借助以智(zhi)能手机(ji)为(wei)支撑的(de)(de)移(yi)动计算技术,传统(tong)的(de)(de)工作方式(shi)从(cong)固定办公转变为(wei)移(yi)动化(hua)、碎片化(hua)的(de)(de)办公方式(shi),各种设备需随时随地进行数(shu)据访问(wen);随着企(qi)(qi)业(ye)(ye)分工与对外协作的(de)(de)愈渐复杂(za),非(fei)企(qi)(qi)业(ye)(ye)内部员工也将对企(qi)(qi)业(ye)(ye)数(shu)据进行访问(wen)。

另一(yi)方面(mian),企(qi)(qi)(qi)业(ye)(ye)的(de)业(ye)(ye)务和(he)数(shu)(shu)据也(ye)超出了(le)企(qi)(qi)(qi)业(ye)(ye)的(de)边(bian)界(jie)。随着企(qi)(qi)(qi)业(ye)(ye)数(shu)(shu)字(zi)化转(zhuan)型(xing),企(qi)(qi)(qi)业(ye)(ye)大(da)量采用了(le)云(yun)计算和(he)大(da)数(shu)(shu)据技术,甚至大(da)量将业(ye)(ye)务和(he)数(shu)(shu)据迁移到公有(you)云(yun)之上,这(zhei)些云(yun)和(he)大(da)数(shu)(shu)据中心因为其数(shu)(shu)据的(de)集中,也(ye)导致了(le)这(zhei)些传统的(de)企(qi)(qi)(qi)业(ye)(ye)物理边(bian)界(jie)之外的(de)数(shu)(shu)据和(he)基础设施成(cheng)为高价值的(de)攻击目标。

外部攻击防不胜防

随着大数据技术(shu)的(de)发展,数据也趋于集(ji)(ji)(ji)中,数据的(de)集(ji)(ji)(ji)中意(yi)味着价值(zhi)的(de)集(ji)(ji)(ji)中,自(zi)然也成(cheng)为攻(gong)击(ji)者(zhe)的(de)首要攻(gong)击(ji)目标(biao)。

一方(fang)面,攻(gong)击者(zhe)大量利用弱口令(ling)、口令(ling)爆破等(deng)管用伎俩(liang),轻(qing)易(yi)突破企业(ye)边界。来自于(yu)企业(ye)网络(luo)(luo)外部(bu)(bu)的(de)(de)攻(gong)击,无论是(shi)(shi)基于(yu)登录过(guo)(guo)程(cheng)的(de)(de)用户弱口令(ling)或密码爆破,还是(shi)(shi)对于(yu)传输过(guo)(guo)程(cheng)中(zhong)的(de)(de)凭证截获或伪(wei)造,其(qi)攻(gong)击的(de)(de)根本目标是(shi)(shi)绕过(guo)(guo)或攻(gong)破企业(ye)网络(luo)(luo)的(de)(de)访问(wen)权限(xian)限(xian)制,其(qi)后在(zai)企业(ye)信息内部(bu)(bu)进行横(heng)向攻(gong)击破坏。这(zhei)种攻(gong)击看似低(di)级(ji),却是(shi)(shi)最易(yi)得(de)手的(de)(de)伎俩(liang)之一。根据美国最大的(de)(de)移动运(yun)营(ying)商Verizon报告分析指出,81%的(de)(de)黑(hei)客成(cheng)(cheng)功利用了偷来的(de)(de)口令(ling)或者(zhe)弱口令(ling),就轻(qing)而易(yi)举地获得(de)了数据的(de)(de)访问(wen)权限(xian),成(cheng)(cheng)功窃(qie)取数据。

另外,以APT为代(dai)表的(de)高(gao)级攻(gong)击层出不(bu)穷(qiong)。大型(xing)组织甚至国家发起的(de)大规模网络(luo)攻(gong)击事(shi)件(jian)中,攻(gong)击者可(ke)以利用大量的(de)漏洞“武器”,对重要目标(biao)进行(xing)攻(gong)击,这类攻(gong)击往往防不(bu)胜防,切不(bu)可(ke)掉以轻心。

内部威胁加剧

传统的(de)(de)(de)(de)企业安全体系(xi)是(shi)建立在(zai)内外(wai)部(bu)(bu)网(wang)(wang)(wang)络边界的(de)(de)(de)(de)基(ji)础之上(shang),假定了(le)内网(wang)(wang)(wang)中的(de)(de)(de)(de)用户、设备(bei)和(he)流(liu)量通(tong)常(chang)都(dou)是(shi)可(ke)信的(de)(de)(de)(de)。因(yin)(yin)此,在(zai)这种边界思维的(de)(de)(de)(de)指导(dao)下在(zai)企业内部(bu)(bu)网(wang)(wang)(wang)络中缺乏足(zu)够的(de)(de)(de)(de)安全访问控(kong)制,一旦(dan)被攻击(ji)者渗(shen)入,数(shu)(shu)据将(jiang)会完全暴露,极易泄漏,并且,企业内部(bu)(bu)员工(gong)对(dui)数(shu)(shu)据的(de)(de)(de)(de)恶意窃(qie)取事件也时有耳闻(wen)。根据《2018 insider threat report》显(xian)示,内部(bu)(bu)威胁是(shi)造(zao)成(cheng)数(shu)(shu)据泄露的(de)(de)(de)(de)第(di)二大原因(yin)(yin)。往(wang)往(wang)因(yin)(yin)为非授权(quan)访问、雇员犯错、外(wai)包员工(gong)犯错等等原因(yin)(yin),导(dao)致 “合法(fa)(fa)用户”可(ke)以(yi)非法(fa)(fa)访问特定的(de)(de)(de)(de)业务和(he)数(shu)(shu)据资源(yuan),造(zao)成(cheng)组(zu)织内部(bu)(bu)数(shu)(shu)据泄漏。

监管力度加大

当前国(guo)(guo)家对(dui)数据信息(xi)安(an)(an)全(quan)越来(lai)越重视,已出(chu)台《中华(hua)人民共和(he)国(guo)(guo)网络(luo)安(an)(an)全(quan)法》、《信息(xi)安(an)(an)全(quan)技术 网络(luo)安(an)(an)全(quan)等级保护基本(ben)要(yao)求》、《国(guo)(guo)家电子政务(wu)标(biao)准(zhun)化(hua)(hua)指(zhi)南(nan)》等相关政策标(biao)准(zhun)。为满(man)足(zu)国(guo)(guo)家对(dui)于企(qi)业信息(xi)数据安(an)(an)全(quan)建(jian)设要(yao)求,企(qi)业需要(yao)以(yi)业务(wu)需求为导向(xiang),规范建(jian)设企(qi)业数据信息(xi)安(an)(an)全(quan)保障体(ti)系,形成科(ke)学实用的规范化(hua)(hua)安(an)(an)全(quan)管理能力、体(ti)系化(hua)(hua)安(an)(an)全(quan)技术防护能力、综(zong)合化(hua)(hua)安(an)(an)全(quan)监(jian)管运(yun)维能力,以(yi)满(man)足(zu)相关部(bu)门对(dui)于企(qi)业信息(xi)安(an)(an)全(quan)的监(jian)管要(yao)求。

解决方案

为(wei)应对(dui)新IT时(shi)代的(de)网(wang)络安(an)(an)全挑战,零(ling)信(xin)(xin)(xin)任(ren)安(an)(an)全应运而生。零(ling)信(xin)(xin)(xin)任(ren)安(an)(an)全(或零(ling)信(xin)(xin)(xin)任(ren)网(wang)络、零(ling)信(xin)(xin)(xin)任(ren)架构(gou)、零(ling)信(xin)(xin)(xin)任(ren))最早由约(yue)翰(han)(han).金德维格(ge)(John Kindervag)在2010年提出,约(yue)翰(han)(han).金德维格(ge)当时(shi)是著名研究机(ji)构(gou)Forrester的(de)首(shou)席分析(xi)师,如今零(ling)信(xin)(xin)(xin)任(ren)安(an)(an)全已逐步(bu)被业界所认可,特别是2017年Google基于(yu)零(ling)信(xin)(xin)(xin)任(ren)构(gou)建的(de)BeyondCorp项目(mu)成(cheng)功完成(cheng),为(wei)零(ling)信(xin)(xin)(xin)任(ren)安(an)(an)全提供了可靠(kao)的(de)实践背书。

传统的基于边界的网(wang)络(luo)安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)架(jia)构(gou)在某种程(cheng)度上(shang)假设、或默认了(le)内网(wang)是(shi)安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)的,认为安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)就(jiu)是(shi)构(gou)筑企(qi)业(ye)的数字护(hu)城河,通(tong)过防火(huo)墙、WAF、IPS等边界安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)产品或方案对(dui)(dui)企(qi)业(ye)网(wang)络(luo)出口进行(xing)重(zhong)(zhong)重(zhong)(zhong)防护(hu)而忽(hu)略(lve)了(le)企(qi)业(ye)内网(wang)的安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)。零(ling)信(xin)任安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)针对(dui)(dui)传统边界安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)架(jia)构(gou)思想进行(xing)了(le)重(zhong)(zhong)新(xin)评估和审(shen)视,并对(dui)(dui)安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)架(jia)构(gou)思路提出了(le)新(xin)的建(jian)议,是(shi)应对(dui)(dui)新(xin)IT时(shi)代的网(wang)络(luo)安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)挑(tiao)战的全(quan)(quan)(quan)(quan)新(xin)战略(lve)。零(ling)信(xin)任安(an)(an)(an)(an)全(quan)(quan)(quan)(quan)架(jia)构(gou)理念简(jian)单概括即为:应该(gai)始终假设网(wang)络(luo)充(chong)满(man)威胁;外部(bu)和内部(bu)威胁每(mei)(mei)时(shi)每(mei)(mei)刻都充(chong)斥着网(wang)络(luo);不能仅(jin)仅(jin)依靠(kao)网(wang)络(luo)位置来建(jian)立信(xin)任关(guan)系;所有设备、用户(hu)和网(wang)络(luo)流量(liang)都应该(gai)被认证和授权;访问(wen)控(kong)制策(ce)略(lve)应该(gai)动(dong)态地(di)、基于尽量(liang)多的数据源进行(xing)计算和评估。

零信任安全架构(gou)从本质可概括(kuo)为以身(shen)(shen)份(fen)(fen)为中(zhong)心的(de)动态访问(wen)控制(zhi),是在(zai)不可信的(de)现代网络环境下(xia),以身(shen)(shen)份(fen)(fen)为中(zhong)心,通过(guo)动态访问(wen)控制(zhi)技(ji)术(shu),以细粒度的(de)应(ying)用、接口、数(shu)据(ju)为核心保护对(dui)象,遵循最小权限原则,构(gou)筑端到端的(de)逻(luo)辑身(shen)(shen)份(fen)(fen)边界。

奇安信所推(tui)出的(de)天鉴零信任(ren)身份(fen)安全(quan)(quan)解(jie)决方案(an),正是基于零信任(ren)安全(quan)(quan)架(jia)构(gou)所实现(xian)的(de)访(fang)问(wen)控制(zhi)安全(quan)(quan)整(zheng)体实践。其核心技术要点包括:以身份(fen)为(wei)中心、业务安全(quan)(quan)访(fang)问(wen)、持续信任(ren)评估(gu)和动态访(fang)问(wen)控制(zhi),如下图所示(shi):

以身份为中心

零信(xin)任(ren)的本质是以身(shen)份为中心进行(xing)动态访问控(kong)制(zhi),全(quan)面(mian)(mian)身(shen)份化是实(shi)现零信(xin)任(ren)的前提和基(ji)石。基(ji)于全(quan)面(mian)(mian)身(shen)份化,为用(yong)户、设备、应用(yong)程序、业务系统(tong)等物理实(shi)体(ti)建立统(tong)一的数字身(shen)份标(biao)识和治理流程。

业务安全访问

在零信任架(jia)构下,所有(you)的(de)业务(wu)访问请求(包括(kuo)用(yong)(yong)(yong)户对业务(wu)应用(yong)(yong)(yong)的(de)访问、应用(yong)(yong)(yong)API之间的(de)接口调用(yong)(yong)(yong)访问等等)都应该被认证、授权和加密。

持续信任评估

零信(xin)(xin)任(ren)架构认(ren)为一次性的(de)(de)(de)身份(fen)认(ren)证无法确保身份(fen)的(de)(de)(de)持续合(he)法性,即便是(shi)采用(yong)了(le)强度较高的(de)(de)(de)多因子(zi)认(ren)证,也需要通过度量访问(wen)(wen)主体的(de)(de)(de)风险,持续进行(xing)信(xin)(xin)任(ren)评估(gu)。例(li)如,主体的(de)(de)(de)信(xin)(xin)任(ren)评估(gu)可以依据采用(yong)的(de)(de)(de)认(ren)证手段、设(she)备(bei)的(de)(de)(de)健康度、应用(yong)程序是(shi)否(fou)企业分发(fa)、主体的(de)(de)(de)访问(wen)(wen)行(xing)为、操作习(xi)惯等(deng)等(deng);环境(jing)的(de)(de)(de)信(xin)(xin)任(ren)评估(gu)则可能包括访问(wen)(wen)时(shi)间、来源IP地址(zhi)、来源地理位置、访问(wen)(wen)频(pin)度、设(she)备(bei)相似(si)性等(deng)各种(zhong)时(shi)空因素(su)。

动态访问控制

在零信任(ren)架(jia)构(gou)(gou)下,主体的(de)(de)访问(wen)权(quan)限不是静态(tai)的(de)(de),而是根(gen)据主体属(shu)性(xing)(xing)、客(ke)体属(shu)性(xing)(xing)、环境属(shu)性(xing)(xing)和持续(xu)的(de)(de)信任(ren)评估(gu)结果进(jin)行(xing)动态(tai)计算和判定。传(chuan)统的(de)(de)访问(wen)控(kong)制(zhi)机制(zhi)是宏观的(de)(de)二(er)值逻辑,大多基于静态(tai)的(de)(de)授(shou)权(quan)规(gui)则、黑白名(ming)单等技术手段进(jin)行(xing)一次性(xing)(xing)的(de)(de)评估(gu)。零信任(ren)架(jia)构(gou)(gou)下的(de)(de)访问(wen)控(kong)制(zhi)基于持续(xu)度(du)量、自动适应的(de)(de)思(si)想,是一种动态(tai)微观判定逻辑。

基(ji)于以上四大(da)核心特性,奇安(an)(an)信零(ling)信任解(jie)决(jue)方案进一步将安(an)(an)全(quan)理念落(luo)地为(wei)具体的安(an)(an)全(quan)能力,为(wei)企业(ye)提(ti)供构(gou)建零(ling)信任安(an)(an)全(quan)体系(xi)的基(ji)础产品(pin)组件和(he)整体解(jie)决(jue)方案,助(zhu)力企业(ye)快(kuai)速(su)迁(qian)移(yi)到零(ling)信任安(an)(an)全(quan)架构(gou)。

方案价值

革新安全架构,树立行业标杆
  • √ 采用领先的零信任安全架构解决企业数据访问的安全性问题,树立行业安全标杆;
  • √ 具备已实践的标准化落地方案,可实现企业快速升级部署;
  • √ 重构企业信息安全边界,从根源上解决数据访问的安全性问题。
提升安全能力,应对实时风险
  • √ 采用统一的数字化身份信息,实现访问用户身份的全面认证;
  • √ 通过细粒度以及动态化的授权方式,满足实时的安全性要求;
  • √ 集中业务代理,提供通道加密以及攻击防护功能,有效保护传输数据安全;
  • √ 获取实时的环境安全状态、访问行为数据,智能分析风险并调整访问控制策略。
实现自动管理,降低运维成本
  • √ 通过自动化的身份管理、认证及授权能力,有效减少企业IT人员工作量及人为出错;
  • √ 从安全架构层面解决安全的源头问题,投入低,可靠性高,避免重复建设。
提高工作效率,提升用户体验
  • √ 消除物理逻辑边界,提供随时随地的企业数据访问;
  • √ 自动获取用户身份安全状态进行访问授权,安全用户无感接入;
  • √ 一站式访问门户和单点登录,有效提升用户使用效率。

适用场景

奇安信零信任身(shen)份安全解决方案覆(fu)盖了(le)政(zheng)(zheng)企(qi)(qi)(qi)行业用户(hu)访问(wen)控制的完整生命流程(cheng)以及组织(zhi)内多种被访问(wen)的应用类型,适用于政(zheng)(zheng)府、部(bu)委、金(jin)融(rong)、能源、运营商、央企(qi)(qi)(qi)、其他大型企(qi)(qi)(qi)业等(deng)单位。

您的项目需求

*请认真填写需求信(xin)息(xi),J9九游会AG 会在24小时内(nei)与您取得联系。