多因素认证产品系列
  • 金融交易安全防护(FPD)
  • 在线设备指纹服务(DFS)
  • 终端安全防护控件(SSE)
  • 终端威胁态势感知(MTD)
  • 生物安全在线认证(BSC)
身份管理产品系列
  • 身份管理与访问控制 (IAM)
  • 双因素认证产品(2FA)
  • 企业移动管理(EMM)
人工智能产品系列
  • 全渠道交易反欺诈(TOFD)
  • 信贷反欺诈(COFD)
  • 互联网营销反欺诈(MOFD)
  • 智能人机识别(CAPTCHA)
  • 可视化人工智能中台(VAI)
零信任安全产品系列
  • 持续自适应安全平台(ECP)
  • 用户实体行为分析(UEBA)
  • 零信任业务网关(ECG)
芯盾时代 22 天前·104人阅读 原创
芯盾时代零信任安全实践路径之SDP方案 领跑业务安全新赛道

一场企业业务资源访问的变革已经开始。

云计算、大数据、物联网等技术的发展重塑了企业网络空间环境,云资源访问、远程办公、远程协作等成为企业运营新常态。企业需要满足任意员工在任意时间、任意地点,通过任意设备对企业任意应用进行访问的需求,但却存在冒名登录、非法下载、入侵审批、敏感信息外泄等业务风险,而企业传统的网络边界正在逐渐模糊和失效,无法有效抵御当下新型风险。

零信任安全是在网络发展的历程中由需求推动产生。CSA于2013年提出新一代网络安全架构SDP,旨在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来,SDP将物理设备替换为在应用程序所有者控制下运行的逻辑组件,并仅在设备验证和身份验证后才允许访问企业应用。

基于SDP技术,网络安全的边界被拆解的更加细化,类似于疫情防控中基于城市、社区、小区、单元、家庭,甚至口罩的防控边界越来越细粒化让病毒无孔可入一样,以细粒度的边界防护更好保护用户、设备、应用程序、工作负载、数据资源等安全。

以人为核心的零信任SDP解决方案

芯盾时代零信任SDP解决方案提供安全客户端(ZSC)、安全应用网关(ZEG)、安全API网关(ZAG)、动态访问控制平台(ZAE)、智能安全大脑(ZITE)等核心零信任产品组件,融合软件定义边界SDP、增强型IAM和微隔离三大技术,覆盖
win/mac/linux/android/iOS/browser等泛终端平台,全面感知端点设备、身份、应用、服务、网络和人员行为等风险态势,基于持续的风险和信任等级评估,对业务和数据等资源的访问授予细粒度的最小权限,并进行动态访问控制和风险处置,最终提升企业整体安全水平,满足远程办公、企业间协作、安全演练、特权运维、云资源访问保护等场景对安全性和体验的要求。

芯盾时代零信任安全实践路径之SDP方案 领跑业务安全新赛道


五大典型应用场景

根据DTEX Systems的最新调查报告,全球企业面临的最大安全隐患依次是:通过端点泄漏数据(27%);丢失用户活动的可见性(25%);法规遵从,合规(24%);来自边界外的访问(23%);对核心业务应用程序的远程访问(18%),例如电子邮件和协作。

芯盾时代认为,零信任体系的目标是建立一个不依赖于城墙和壕沟的防御体系,基于用户身份、位置,相关业务数据、管理数据等各种信息的相互关系,场景匹配等各种微分化的情况来判断、确定以及响应访问的合法性。在移动互联网时代,应从设备、身份和行为等维度入手,持续验证“人”是否可信,并根据状态进行及时处置,实现身份/设备管控、持续认证、动态授权、威胁发现与动态处理的闭环操作,保障企业业务场景的动态安全。

远程办公

新冠疫情让远程办公成为众多企业的日常,而企业在远程办公期间面临着在管理、技术和人员三方面的安全风险问题。芯盾时代对不同场景实现一体化动态访问控制体系,解决远程和移动办公面临的终端环境安全风险、VPN使用繁杂且易被攻击等安全问题,满足员工在任意时间、地点和设备上安全可控的访问业务的诉求。

芯盾时代零信任安全实践路径之SDP方案 领跑业务安全新赛道


数据访问管理及API安全访问

企业和组织机构的数据库往往包含敏感数据,也是网络犯罪分子的目标。芯盾时代通过计算身份感知等风险信息,建立最小访问权限动态访问控制体系,减少企业内部资源非法授权访问行为,提升内部资源访问安全,确保业务和数据安全。

敏感行为事中干预及事后审计

芯盾时代采用规则引擎、终端风险感知、认证决策、信任持续计算等零信任核心技术,记录敏感操作行为,发现违规操作或异常行为发起加强认证或阻断,实现端到端加密访问,解决身份信息暴露、身份盗用、内部人员窃取公司敏感信息等风险。

业务网络隐身

芯盾时代通过SPA技术将安全网关和业务服务实现隐藏,对连接服务器的数据包进行认证授权,服务器认证通过之后,才会响应连接请求。以此达到隐藏服务,攻击者无法找到服务地址和端口。

增强身份认证

芯盾时代基于多因素认证能力,通过增加扫描、动态口令、人脸识别等认证方式,部署安全应用网关增加动态风险感知步骤,对邮箱、网络设备等实现增强身份认证。企业无需改造原应用系统即可实现增强身份认证需求。

方案优势

1、无需改造开发:快速对接企业业务应用;

2、多因素认证:支持扫描、动态令牌等移动端认证方式,以及微信、钉钉等第三方认证;

3、业务隐藏:收敛业务系统IP及端口,隐藏业务服务地址;

4、动态访问控制:动态感知用户的身份、设备、行为风险等级,实时进行业务处置;

5、前端保护:针对Web应用页面,加持防调试、防爬虫功能;

6、合规要求:满足基础平台合规、数据传输合规、密码算法合规及账户安全合规等监管要求;

7、支持国产化:拥有国密等完备的资质,兼容支持各主流国产化数据库、操作系统。

从2004年耶利哥论坛提出去边界化安全理念,到2010年“零信任之父”John Kindervag提出零信任网络模型概念,并在Google的BeyondCorp项目中得到了应用。2015年芯盾时代率先提出“以人为核心”的零信任业务安全理念,多年来积累了丰富的政府、金融、运营商和企业等行业客户落地案例,致力于为用户构建智能、安全、可信的互联未来。