啟明星辰零信任:“心”病還須“心”藥醫

發布時間 2021-06-17

前言:

零信任的出現將網絡防御范圍從廣泛的網絡邊界轉移到單個或小組資源,同時它也代表新一代的網絡安全防護理念,打破默認的“信任”,秉持“持續驗證,永不信任”原則,即默認不信任網絡內外的任何人、設備和系統,基于身份認證和授權,重新構建訪問控制的信任基礎,確保身份可信、設備可信、應用可信和鏈路可信。本文旨在通過介紹啟明星辰零信任架構如何妙手回春解決困擾傳統安全用戶的諸多“心病”,幫助您對零信任這一安全理念有更為全面地了解。


心病年年有,今年特別多。信息化發展迅猛,業務上云、移動辦公興起,網絡安全、數據安全相關法律法規逐漸完善,安全問題層出不窮,構建具備彈性、融合、敏捷、持續等特性的安全架構勢在必行。


且看啟明星辰零信任架構如何妙手回春,解決困擾傳統安全用戶的諸多“心病”。


心病篇


● 傳統安全持續投入,安全收效甚微


據Gartner報告統計全球網絡安全投入持續增加,2018年較之前年增加了8%,而數據泄露事件較去年同期相比增加了30%以上。傳統安全投入在增加,可效果卻出現了反差?;趥鹘y邊界防護的網絡安全設計理念與規劃方法已無法應對愈加復雜的網絡安全現狀。


● 業務逐漸遷移上云,傳統安全難以快速適配


傳統邊界防護模式缺乏分布式、虛擬化的部署聯動能力。業務上云快,安全上云進度緩慢。同時政企客戶也面臨多云、混合云環境下的訪問接入、運維管理等問題。


● 移動辦公、運維興起,非受控人員、終端接入如何防范


移動辦公興起,終端的安全問題凸顯,業務應用數據在非受控終端落地,或引發更嚴重安全事件。同時,遠程辦公及運維場景下使用傳統的VPN方式接入內網,現下存在認證手段單一、風險感知能力缺失、人員賬號失控、入網后行為監控能力匱乏等隱患,還有繁雜的終端類型帶來客戶端適配問題、業務訪問斷線重連事件導致用戶體驗并不良好。


● 安全設備及應用暴露,常遭受網絡入侵


端口掃描、DDOS、SYN Flood等攻擊對暴露地址和端口的安全設備和應用造成很大威脅,如何盡量減小安全設備、應用服務等互聯網暴露面,成為首要解決的關鍵問題之一。


● 終端安全組件眾多,兼容性差藍屏死機苦不堪言


EDR、桌管、殺毒、DLP、認證、加密等安全客戶端來源不統一,安裝多樣化,經常出現互不兼容,藍屏死機等情況。Windows、Linux、信創系統、Android、IOS等操作系統多樣且頻繁升級,多種客戶端支持能力不統一,往往不能完全覆蓋安裝,導致安全防護出現漏洞。


● 安全風險審計滯后,數據泄露時有發生


傳統安全風險組件各自為戰,安全審計及追溯定位能力較差,且不具備依據安全風險動態調整安全策略的能力,導致審計追溯難,數據泄露事件時有發生。


● 訪問權限過大而且固化,風險發生權限未變


對于受控應用的訪問控制,傳統安全組件遵循認證通過即可訪問的原則,即使發生風險,亦不具備動態調整訪問權限的機制。針對滲透后橫向平移攻擊缺失更先進動態感知機制進行敏捷、持續的過濾異常行為。


● 安全策略配置分散,配置缺陷后患無窮


傳統安全傳統控制與執行平面多為一體機設計,當防護體系需要發生策略變更,涉及的各個組件安全策略均需單點配置,若策略不統一,易造成防護失效的結果。


等保及密碼測評、實戰演練,年年升級問題依然存在


等保測評、密碼測評每年進行,安全方案設計的合法、合規變得尤為重要。實戰演練每年舉辦,構建達到實戰演練級別的安全易用的安全防護機制,才能確保平時即戰時,任何時候安全都是牢不可破,經得起考驗。


心藥篇


啟明星辰集團在國內外零信任架構的基礎上,結合IAM、SOC、訪問代理和大數據分析等領域十多年的積累,形成了具有啟明星辰特點的零信任架構。架構的左邊是訪問主體,終端包括主機、PC、移動和物聯網。在訪問企業資源時,需要通過零信任架構核心組件中的身份與訪問控制、風險管理中心、策略中心和訪問代理中的各種能力,授予應用資源、系統資源和數據資源客體的訪問權限。


1.png


啟明星辰集團零信任架構這劑“心藥”具備如下功效:


● 可動態拆卸裁剪的彈性、敏捷框架,極大提高投入產出比


具備安全組件可動態擴充,安全能力可軟件定義,安全策略可動態調整等彈性敏捷的框架,可根據當前需求最小化部署,也支持根據后續需求動態擴充。


● 支持虛擬化、分布式部署,上云快、場景適應性強


安全組件支持虛擬化部署,可快速上云部署。核心組件支持分布式部署,支持統一協調防護分布式分散應用及服務訪問防護,融合統一單點登錄技術,實現單點認證,多點無縫接入。


● 多維身份鑒別,驗證的不只是用戶還有設備和屬性


基于用戶身份、設備身份、設備安全屬性等多維一體的注冊、審批與身份鑒別機制,無論是移動辦公、內網接入、物聯網接入,均能高強度多維驗證主體身份,實現但凡放行的一定是可信的。


● 基于SPA及默認丟包策略實現網絡及應用隱身


基于SDP設計思路,采用SPA機制及默認丟包策略,實現安全設備及應用服務的地址隱藏,構建網絡隱身衣加防彈衣的防護模型,最大限度降低安全風險。


● 多合一融合客戶端


具備EDR、桌管、殺毒、DLP、認證、加密等多合一融合客戶端,統一下載與安裝,內部兼容良好,同時兼容windows、Linux、信創系統、Android、IOS等多種操作系統。


● 實時風險評估,精確審計追溯


匯聚終端、網絡、行為、審計等風險,實時匯聚審計分析,追溯定位。


● 精細化動態訪問控制



通過不同的代理網關實現網絡級、應用級、功能級、接口級等精細化訪問控制,并支持聯動風險管理中心及IAM組件實現動態權限調整。


● 控制與執行平面分離,安全且簡易


實現控制與數據平臺分離,策略集中配置管理,安全且簡易。


● 符合等保、密評規范


產品設計符合等保及密評要求。


往期相關文章鏈接:

1、【開篇】零信任解讀

2、深度解讀國內外零信任技術路線異同