启明星辰零信任:“心”病还须“心”药医

发布时间 2021-06-17

前言:

零信任的出现将网络防御范围从广泛的网络边界转移到单个或小组资源,同时它也代表新一代的网络安全防护理念,打破默认的“信任”,秉持“持续验证,永不信任”原则,即默认不信任网络内外的任何人、设备和系统,基于身份认证和授权,重新构建访问控制的信任基础,确保身份可信、设备可信、应用可信和链路可信。本文旨在通过介绍启明星辰零信任架构如何妙手回春解决困扰传统安全用户的诸多“心病”,帮助您对零信任这一安全理念有更为全面地了解。


心病年年有,今年特别多。信息化发展迅猛,业务上云、移动办公兴起,网络安全、数据安全相关法律法规逐渐完善,安全问题层出不穷,构建具备弹性、融合、敏捷、持续等特性的安全架构势在必行。


且看启明星辰零信任架构如何妙手回春,解决困扰传统安全用户的诸多“心病”。


心病篇


● 传统安全持续投入,安全收效甚微


据Gartner报告统计全球网络安全投入持续增加,2018年较之前年增加了8%,而数据泄露事件较去年同期相比增加了30%以上。传统安全投入在增加,可效果却出现了反差。基于传统边界防护的网络安全设计理念与规划方法已无法应对愈加复杂的网络安全现状。


● 业务逐渐迁移上云,传统安全难以快速适配


传统边界防护模式缺乏分布式、虚拟化的部署联动能力。业务上云快,安全上云进度缓慢。同时政企客户也面临多云、混合云环境下的访问接入、运维管理等问题。


● 移动办公、运维兴起,非受控人员、终端接入如何防范


移动办公兴起,终端的安全问题凸显,业务应用数据在非受控终端落地,或引发更严重安全事件。同时,远程办公及运维场景下使用传统的VPN方式接入内网,现下存在认证手段单一、风险感知能力缺失、人员账号失控、入网后行为监控能力匮乏等隐患,还有繁杂的终端类型带来客户端适配问题、业务访问断线重连事件导致用户体验并不良好。


● 安全设备及应用暴露,常遭受网络入侵


端口扫描、DDOS、SYN Flood等攻击对暴露地址和端口的安全设备和应用造成很大威胁,如何尽量减小安全设备、应用服务等互联网暴露面,成为首要解决的关键问题之一。


● 终端安全组件众多,兼容性差蓝屏死机苦不堪言


EDR、桌管、杀毒、DLP、认证、加密等安全客户端来源不统一,安装多样化,经常出现互不兼容,蓝屏死机等情况。Windows、Linux、信创系统、Android、IOS等操作系统多样且频繁升级,多种客户端支持能力不统一,往往不能完全覆盖安装,导致安全防护出现漏洞。


● 安全风险审计滞后,数据泄露时有发生


传统安全风险组件各自为战,安全审计及追溯定位能力较差,且不具备依据安全风险动态调整安全策略的能力,导致审计追溯难,数据泄露事件时有发生。


● 访问权限过大而且固化,风险发生权限未变


对于受控应用的访问控制,传统安全组件遵循认证通过即可访问的原则,即使发生风险,亦不具备动态调整访问权限的机制。针对渗透后横向平移攻击缺失更先进动态感知机制进行敏捷、持续的过滤异常行为。


● 安全策略配置分散,配置缺陷后患无穷


传统安全传统控制与执行平面多为一体机设计,当防护体系需要发生策略变更,涉及的各个组件安全策略均需单点配置,若策略不统一,易造成防护失效的结果。


等保及密码测评、实战演练,年年升级问题依然存在


等保测评、密码测评每年进行,安全方案设计的合法、合规变得尤为重要。实战演练每年举办,构建达到实战演练级别的安全易用的安全防护机制,才能确保平时即战时,任何时候安全都是牢不可破,经得起考验。


心药篇


启明星辰在国内外零信任架构的基础上,结合IAM、SOC、访问代理和大数据分析等领域十多年的积累,形成了具有启明星辰特点的零信任架构。架构的左边是访问主体,终端包括主机、PC、移动和物联网。在访问企业资源时,需要通过零信任架构核心组件中的身份与访问控制、风险管理中心、策略中心和访问代理中的各种能力,授予应用资源、系统资源和数据资源客体的访问权限。


1.png


启明星辰零信任架构这剂“心药”具备如下功效:


● 可动态拆卸裁剪的弹性、敏捷框架,极大提高投入产出比


具备安全组件可动态扩充,安全能力可软件定义,安全策略可动态调整等弹性敏捷的框架,可根据当前需求最小化部署,也支持根据后续需求动态扩充。


● 支持虚拟化、分布式部署,上云快、场景适应性强


安全组件支持虚拟化部署,可快速上云部署。核心组件支持分布式部署,支持统一协调防护分布式分散应用及服务访问防护,融合统一单点登录技术,实现单点认证,多点无缝接入。


● 多维身份鉴别,验证的不只是用户还有设备和属性


基于用户身份、设备身份、设备安全属性等多维一体的注册、审批与身份鉴别机制,无论是移动办公、内网接入、物联网接入,均能高强度多维验证主体身份,实现但凡放行的一定是可信的。


● 基于SPA及默认丢包策略实现网络及应用隐身


基于SDP设计思路,采用SPA机制及默认丢包策略,实现安全设备及应用服务的地址隐藏,构建网络隐身衣加防弹衣的防护模型,最大限度降低安全风险。


● 多合一融合客户端


具备EDR、桌管、杀毒、DLP、认证、加密等多合一融合客户端,统一下载与安装,内部兼容良好,同时兼容windows、Linux、信创系统、Android、IOS等多种操作系统。


● 实时风险评估,精确审计追溯


汇聚终端、网络、行为、审计等风险,实时汇聚审计分析,追溯定位。


● 精细化动态访问控制



通过不同的代理网关实现网络级、应用级、功能级、接口级等精细化访问控制,并支持联动风险管理中心及IAM组件实现动态权限调整。


● 控制与执行平面分离,安全且简易


实现控制与数据平台分离,策略集中配置管理,安全且简易。


● 符合等保、密评规范


产品设计符合等保及密评要求。


往期相关文章链接:

1、【开篇】零信任解读

2、深度解读国内外零信任技术路线异同