安全挑战与需求分析
随着企业数字化转型的持续深入,远程办公常态化,企业业务大量上云,企业的网络边界逐渐模糊,传统基于边界的安全架构面临越来越大的挑战,以传统的内外网边界来构建信任关系的模式难以有效满足当前企业的安全建设要求。
外网业务暴露面大
远程办公趋于常态化、规模化,企业面向互联网对外发布的业务越来越多,企业员工、供应商、合作伙伴等各种角色、终端均需要访问业务,容易造成业务暴露面过大,带来被恶意扫描、攻击入侵的风险。
网络安全边界模糊
大数据、云计算、移动互联网、物联网等新技术在为企业数字化转型注入新活力的同时,也使得网络安全边界逐渐模糊,导致传统只围绕物理边界进行安全建设的防护手段逐渐失效。
高级威胁层出不穷
随着数字资产价值不断提高,黑客攻击手段不断升级,内外部高级威胁频现,传统基于静态防护的机制无法快速响应及处置。
静态权限遭遇瓶颈
传统基于IP/区域的静态访问控制机制,限制了移动性,限制了生产力,业务、权限不能按需随行;也不能动态地识别用户的安全状况,无法调整合理的访问权限,不能有效保护核心业务。
产品概述
深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。同时,aTrust作为深信服零信任安全架构整体解决方案的核心组成部分,支持对接态势感知等多种安全设备,安全能力持续成长,助力客户网络安全体系向零信任架构迁移,帮助客户实现流量身份化、权限智能化、访问控制动态化、运维管理极简化的新一代网络安全架构。
核心能力
可信访问
网络隐身
利用SPA单包授权安全机制实现“网络隐身”,隐藏关键业务,缩小暴露面。先认证、再授权、后连接,未携带合法SPA票据的终端,无法访问任何业务系统,有效缓解扫描探测、漏洞利用、DDoS等攻击行为。
终端可信检测
全周期实时地检测终端环境,不仅在用户登陆环节,而且在登录后访问业务期间进行实时检测,只有终端环境符合要求,如开启了防火墙、从Windows域接入等,才能登录访问,确保用户接入终端的安全性,避免因终端环境的安全隐患给业务系统带来安全威胁。
动态业务准入
对于不同敏感度的业务系统,采用不同安全级别的准入策略,对业务实现分级保护,平衡安全与体验。
智能权限
权限基线梳理
利用智能权限工具,通过采集、试运行、正式运行三个阶段辅助用户实现基础权限模型梳理。并可利用权限申请与审批工具来提升权限管理运维效率。
动态访问控制
通过“信任引擎”,识别环境、身份、行为等维度安全风险,动态调整用户的访问权限,保护业务数据资产。
第三方安全能力集成
提供开放的第三方安全API接口,安全联动更多安全组件,获得更丰富的安全能力,更准确、更有效地识别与应对高级威胁、异常行为。
极简运维
架构轻量化易落地
以控制中心、代理网关、客户端(非必须)为核心组件的极简架构,帮助客户更容易分场景、分阶段快速落地实践。
WEB资源免客户端访问
针对B/S业务,可提供免客户端接入方案,不改变用户原有使用习惯,提升用户体验,免除客户端运维成本。
自服务终端运维管理
提供多种用户自服务能力,简化管理运维难度。如提供权限申请自服务工具、终端环境诊断工具、授信终端自助管理工具等。
技术亮点
终端环境动态检测
终端环境动态检测与可信进程检测,全周期终端安全保障。
动态访问控制
基于身份、环境、行为等因素评估,动态调整访问权限。对于不同敏感度业务可采取不同的安全访问策略,并实现灰度处置。
智能权限工具
智能权限工具,可帮助运维人员更快速地梳理访问权限基础模型。通过权限自服务工具,有效降低权限运维管理成本。
网络隐身
利用SPA单包授权安全机制实现“网络隐身”,隐藏关键业务,缩小暴露面。
应用场景
办公业务安全访问
对于移动办公、远程运维、远程开发等多场景远程访问的客户,通过部署aTrust零信任访问控制系统为用户接入内网提供统一的安全访问通道,所有远程接入访问均需要经过aTrust进行身份验证和终端/环境/行为的可信确认,然后通过aTrust零信任访问控制系统的代理网关组件加密转发,极大的减少远程办公场景内部系统被非授权访问的行为。
内网办公业务安全访问
对于内网业务丰富、权限管理复杂、人员流动频繁、跨部门合作多的企事业单位等,利用深信服零信任解决方案规范内网权限机制,基于身份的动态访问控制,应对高级威胁的风险,同时提升提升企业的生产效率,释放生产力。
内外网统一访问控制
对于内外网均有相同业务系统访问需求的企事业单位,深信服零信任解决方案可以帮助企业或单位在内外网、多区域使用同一套访问控制体系,统一终端安全接入基线,从而简化网络架构,避免重复建设,节约建设成本,提升内外网一致的访问体验。
多云多数据中心业务安全访问
对于多数据中心的中大型集团企业、业务上云接入终端多的企业,由于云上边界模糊,传统边界ACL的访问控制模式失效,业务分布多数据中心时,需要实现同时连接,深信服零信任方案可实现多云多数据中心安全访问,并统一权限控制,统一访问体验。
H5微应用办公安全访问
对于使用或计划使用企业微信/钉钉等超级SaaS APP开展移动办公或业务移动化的企事业单位,深信服零信任解决方案支持在企业微信、钉钉等第三方办公平台上,采用纯Web安全代理方式接入企业内网访问业务系统,无需安装任何插件,具有超高兼容性特点,最大程度保障原有站点的正常访问,让客户保障安全的情况下,感受极致访问体验。
终端数据安全保护
对于远程访问涉及敏感数据,需要对终端侧进行数据保护的企事业单位,深信服零信任解决方案从用户终端安全、身份识别、传输安全、权限评估、策略评估、数据安全各个维度为用户构建零信任“双域空间”办公平台。通过终端双域隔离沙箱,实现数据落地后的安全保护,防止终端数据主动或被动泄密。
成功案例
【助力江苏银行集团】深信服零信任最佳实践案例第一期
【走进广州视源股份】深信服零信任最佳实践案例第二期
【对话上海环境集团】深信服零信任最佳实践案例第三期
