目录
零信任架构定义
在不可信的网络环境下重建信任
技术本质是构建以身份为基石的业务动态可信访问控制机制。
- 应该假设网络始终存在外部威胁和内部威胁,仅仅通过网络位置来评估信任是不够的。
- 默认情况下不应该信任网络内部或外部的任何人/设备/系统,而是基于认证和授权重构业务访问控制的信任基础。
- 每个设备、用户的业务访问都应该被认证、授权和加密。
- 访问控制策略和信任应该是动态的,基于设备、用户和环境的多源环境数据计算出来。
NIST《零信任架构》草案2020年2月14日
零信任架构是一种端到端的网络安全体系,包含身份、凭据、访问管理、操作、终端、托管环境与关联基础设施。零信任架构提供了相关概念、思路和组件关系的集合,旨在消除在信息系统和服务中实施精准访问策略的不确定性。
奇安信零信任基于"never trust, always verify"(永远不信任,始终验证)的安全理念,通过实时验证用户身份、设备、应用程序、数据等多个因素,实现对企业网络资源的可见性、可控性和可信度的管理。
在奇安信零信任模型中,不再假设任何一部分网络是安全的,而是假设所有网络资源都是潜在的威胁。因此,在这个模型中,所有设备和用户都必须进行身份验证,以确保他们具有访问资源的权限。此外,网络流量也必须经过精细的检查,以确保它不包含任何恶意活动。
奇安信对零信任的解读
安全能力内嵌入业务体系,构建自适应内生安全机制。
以身份为基石
- 为人和设备赋予数字身份
- 为数字身份构建访问主体
- 为访问主体设定最小权限
业务安全访问
- 全场景业务隐藏
- 全流量加密代理
- 全业务强制授权
持续信任评估
- 基于身份的信任评估
- 基于环境的风险判定
- 基于行为的异常发现
动态访问控制
- 基于属性的访问控制基线
- 基于信任等级的分级访问
- 基于风险感知的动态权限
奇安信零信任身份安全通用参考架构
奇安信零信任体系强调以数据为中心,以身份为基石,围绕企业业务和数据资源,端到端进行身份识别,将访问主体身份化,对访问主体进行持续感知和验证,对访问上下文进行持续评估,最终实现端到端的动态细粒度访问控制
奇安信零信任产品汇总
- 可信应用代理TAP(TAP:Trusted Application Proxy):用于用户/终端和业务应用之间的安全访问,是零信任的访问控制策略执行节点。
- 可信API代理TIP(TIP:Trusted API Proxy):用于数据交换场景的应用和后台服务之间的安全API调用,零信任的访问控制策略执行节点。
- 可信运维代理TOP:用于用户/终端和运维资产之间的安全访问,是零信任的访问控制策略执行节点。
- 可信访问控制台TAC(TAC:Trusted Access Console):为TAP、TIP提供动态访问控制和集中管理,内置身份管理能力,是零信任的安全控制平面。
- 智能身份分析系统IDA:基于TAP/TIP/TAC访问日志及外部感知系统风险通报,进行可信身份感知和安全策略控制,为动态访问控制提供信任度量因子。
- 智能可信身份平台IDM:身份安全基础设施,提供全面的身份、权限管理和治理服务;可和TAC对接,补充TAC内置的身份与权限管理能力。
- 可信终端环境感知系统TESS:提供终端环境的安全状态,为身份分析及可信访问控制台提供实时的终端可信度的判断依据。
- 可信网络感知系统TNSS:提供网络流量环境的可信状态,为身份分析及可信访问控制台提供实时的可信度判断的依据。
奇安信零信任架构适用的业务场景及优势
奇安信零信任网络访问(ZTNA)解决方案,从企业实际业务场景出发,助力迈出零信任架构落地的第一步。ZTNA方案以数据资产为中心,遵循奇安信零信任的四大关键能力。方案覆盖身份、设备、网络、应用、数据等维度,通过动态访问控制机制,持续优化访问策略,有效缓解各类访问风险,满足新形势下多场景的业务安全访问需求。
奇安信零信任安全解决方案,以数据资源为中心,以身份安全为基石,构筑数字时代的零信任动态授权体系。通过动态评估身份、安全状态、信任等级等进行动态细粒度授权及访问控制,实现对应用、数据、服务等的精准管控,助力企业实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构。
奇安信零信任安全解决方案,基于以身份为基石、业务安全访问、持续信任评估和动态访问控制四大核心特性,有效解决用户访问应用,服务之间的API调用等业务场景的安全访问问题,是适用于云计算、大数据等新业务场景下的新一代动态可信访问控制体系。解决方案已经在部委级客户、能源企业、金融行业等进行正式的部署建设或POC试点。
图文来自网络,侵权即删(The full text picture is from the network, and the infringement is deleted)。
奇安信零信任发展展望
未来几年,随着数字化进程的不断推进和信息安全风险的不断加剧,零信任模型将在企业安全领域得到广泛应用。奇安信作为国内领先的信息安全公司,将继续在零信任领域深耕细作,不断推出更加先进、可靠的解决方案,为企业提供全面的安全保障。
奇安信零信任未来的发展展望可能包括以下几点:
- 更加智能化:随着人工智能技术的不断进步和普及,奇安信的零信任解决方案将更加智能化和自动化,通过大数据和机器学习技术,实现更加精细化的安全策略和风险评估。
- 更加个性化:奇安信将根据不同行业和企业的安全需求,提供更加个性化的解决方案,包括不同的安全产品和服务,不同的部署模式和定制化的安全策略,为企业提供全面、可靠的安全保障。
- 更加开放化:奇安信将与更多的安全厂商和平台进行合作,通过开放API和标准化接口,实现多方安全信息共享和互操作,提升整个生态系统的安全水平。
因此,奇安信零信任的未来发展展望是非常广阔的。随着技术的不断创新和市场的不断需求,奇安信将继续发挥自身的技术和创新优势,为企业提供更加先进、可靠的信息安全解决方案。