秉持“持續驗證、永不信任”的零信任安全理念,以SDP(軟件定義邊界)技術為基礎,從“強化用戶認證、持續環境評估,動態權限調整”三個層面,構筑企業遠程訪問全生命周期防護體系。
終端用戶遠程訪問核心業務資源前,必須經過可信身份鑒別;訪問期間,終端環境始終處于可信評估狀態;當終端處于不安全狀態時,零信任網關實時調整終端信任級別,阻斷終端及用戶對于信任級別之上的敏感業務的訪問權限,并最終實現企業核心業務的可信接入。
零信任網關,默認關閉所有TCP端口,拒絕一切TCP連接。網絡訪問時,UDP端口通過抓包捕獲SPA敲門包,驗證用戶身份,對不合法的信息,丟棄處理,從而實現核心資源的網絡隱身,并能有效遏制惡意掃描、DDOS攻擊、撞庫、SQL注入等多種網絡攻擊行為。對合法用戶的IP暫時放行TCP端口,建立TLS加密傳輸隧道,然后關閉TCP端口,此時用戶連接狀態保持,可正常訪問內網授權應用。
零信任的本質是以身份為基石進行動態訪問控制,全面身份化是實現零信任的前提和基石。方案基于全面身份化,為用戶、設備、應用程序、業務系統等物理實體,建立統一的數字身份標識和治理流程。
用戶使用過程中,零信任網關仍會對終端安全進行持續的風險與信任評估(包括終端是否安裝殺毒軟件、是否安裝指定補丁、安全基線是否合規、訪問時間是否合規等),并根據終端環境感知結果,靈活動態地調整訪問權限。
安全性能突出:核心資源網絡隱身,有效防止非法的端口掃描、SQL注入、暴力破解、DDOS攻擊、APT滲入等典型攻擊行為。
簡化運維流程:動態調整訪問控制策略,極大簡化安全運維人員日常工作。
適應多云環境:軟件支持云化部署,解決企業多云訪問的問題;
滿足等保要求:從多個維度滿足等保合規要求,如安全訪問控制、運維安全審計、抵御各種網絡攻擊等;
系統可靠性高:具有國產自有知識產權安全防護系統,提供分布式服務。
體系擴展性強:在系統設計中采用模塊化結構、減少模塊間數據藕合。
