需求分析
物理邊界曾經是可信網絡和不可信網絡之間的有效分割。防火墻通常部署于網絡的邊緣,基于靜態策略來限制網路流量。位于防火墻內部的用戶會被授予較高信任等級來訪問企業的敏感資源,因為他們被默認是可信的。
然而隨著云計算、移動互聯、物聯網、人工智能、移動設備等新技術的發展,傳統的安全邊界變得越來越模糊,傳統的邊界訪問控制模式局限性越來越明顯。企業需滿足任意員工或合作伙伴,在任意時間、地點,通過任意設備對企業任意應用進行訪問的需求,但存在冒名登錄、非法下載、入侵審批、敏感信息外泄等風險。各類應用系統各自為界、相互獨立,缺乏統一的安全管理標準;端口開放混亂,高危端口長期暴露,帶來被惡意掃描、攻擊入侵的風險。內網過度信任,一旦被攻擊者滲入,數據將會完全暴露,極易泄漏;且存在員工惡意竊取數據的風險。
產品簡介
產品簡介
零信任安全理念默認情況下不應該信任網絡內部和外部的任何人/設備/系統,需要基于認證和授權重構訪問控制的信任基礎。零信任對訪問控制進行了方式上的顛覆,引導安全體系架構從網絡中心化走向身份中心化,其本質訴求是以身份為中心進行訪問控制。
SDP-軟件定義邊界系統作為零信任安全接入的最佳實踐之一,其邊界隱身機制、安全消減網絡攻擊的架構、易于網絡擴展的特性、極易落地實施的優點得到了大多數致力于零信任體系構建的用戶偏好。軟件定義邊界系統,最初由CSA提出,作為零信任的最佳實踐推廣使用。典型部件包含SDP客戶端、SDP網關、SDP控制器。
SDP客戶端預置SPA單包授權種子進行敲門認證。SDP控制器和網關將對無授權的終端完全網絡隱身,掃描不到任何TCP或者UDP端口。SDP客戶端負責采集客戶端的安全狀態,上報給SDP控制器,控制器根據安全評分結果對用戶的訪問權限進行動態調整,觸發二次認證等。SDP控制器是整個系統的決策中心,提供賬號和權限管理、信任評估中心,安全策略引擎等能力。提供了安全可視化大屏,進行集中的安全連接狀態展示。
功能特點
網絡隱身:SDP可將被保護的資源隱藏,外網不可見,極大降低了網絡暴露面,有效緩解多種網絡攻擊。
國際國密雙算法引擎:SDP系統內置國際國密雙算法引擎,符合國家密碼局相關技術規范,可以通過密碼應用評估檢測。
融合一體化客戶端引擎:SDP客戶端內置融合EDR、終端DLP、認證、加密的系統模塊,適應各種移動和國產化操作系統。
持續信任評估:SDP客戶端實現深層次的信任評估機制,并支持對接入主體信任度打分,為生成動態訪問控制策略提供決策依據。
動態訪問控制引擎:SDP控制器可根據信任評估結果生成動態的訪問控制策略,對信任度發生變化的主體執行強制下線、升權、降權等訪問控制操作。
安全可視化展示:SDP控制器支持安全接入可視化展示,統一展示客戶端在訪問資源全過程的安全態勢,產品防護效果等,可以作為日常運維的抓手。
Copyright ? 啟明星辰 版權所有 京ICP備05032414號 京公網安備11010802024551號