智能侦测+无缝防御,威斯尼斯人wns2299cn零信任系统打造全方位安全体系
数字化时代,互联网已成为我们生活、工作和学习不可或缺的一部分,它在极大地促进了信息流通与共享的同时也为网络安全带来了全新挑战。近年来,从大规模的数据泄露导致个人隐私泄露,到网络诈骗案件层出不穷,再到勒索软件攻击让企业和政府机构陷入运营困境,一系列触目惊心的网络安全事件频发,已严重威胁着个人财产安全社会稳定和国家安全。这些事件严重威胁到网络空间的安全性,也促使网络安全问题在全球范围内得到了前所未有的重视。
为了应对这些日益严峻的网络安全挑战,各国政府纷纷出台了一系列相关政策规定,旨在构建一个更加安全、可信、有序的网络环境。这些政策不仅涉及加强对网络基础设施的保护,提高网络安全事件的应急响应能力,还明确了网络空间的行为规范,加大了对违法行为的惩处力度。例如,一些国家通过立法要求企业加强数据加密、定期进行安全审计,并对敏感信息实施严格的访问控制。
在我国,政府高度重视网络安全,特别是积极推动零信任等先进安全理念和技术的发展。为了规范零信任系统的应用,中华人民共和国工业和信息化部发布了零信任安全技术参考框架(YDT 4574-2023 ),该标准于2023年12月20日发布,2024年4月1日正式实施。这一标准的出台,为零信任安全系统的设计、开发和使用提供了权威指导,促进了零信任产业的健康发展。
此外,在国家网络安全战略和规划中,零信任作为一种重要的安全理念和技术手段,被纳入其中。国家鼓励企业采用零信任架构,加强网络安全防护能力,以应对日益复杂的网络威胁。
一、零信任网络行业现状
在当今数字化浪潮汹涌澎湃的时代背景下,网络安全威胁日益复杂化和多样化,对网络安全防护能力提出了更高要求。
(1)网络架构复杂化
网络接入设备多元化:包括移动终端、物联网IoT设备和BYOD设备。
接入的角色多样化:包括权限管理员、内部员工、供应商、外包、合作伙伴等。
网络服务复杂化:企业提供的应用服务可能来自自建的服务器或者私有云平台,也可能是第三方的公有云平台。
(2)网络安全风险日渐突出
企业业务的全球化推动企业向全面数字信息化发展,而其中移动办公需求将是信息化发展的必然趋势,而传统VPN技术,使公司的核心数据泄漏风险增大。形式各样的网络攻击(包括蠕虫病毒、勒索软件等),使得传统意义上的防火墙防不胜防。此外各种异构的接入终端,包括新旧设备的升级、维护和更新换代很容易成为攻击的载体。
(3)零信任网络访问ZTNA系统
2020年2月,美国国家标准与技术研究院(NIST)发布SP800-208:Zero Trust Architecture草案第二版本,第一次由研究组织发布的基于文档形式的零信任架构设计详细指导。其整个中心思想是通过软件的方式,在移动和云化的时代,构建一个虚拟的企业边界,利用基于身份的访问控制,来应对边界模糊化带来的粗粒度控制问题,以此达到保护企业数据安全的目的。
零信任架构在解决网络边界问题后,引入传统的IAM系统解决身份唯一标识、身份属性、身份全生命周期管理的功能问题。通过IAM将身份信息(身份吊销离职、身份过期、身份异常等)传递给零信任系统后,零信任系统可以通过IAM系统的身份信息来分配相应权限,而通过IAM系统对身份的唯一标识,可有利于零信任系统确认用户可信,通过唯一标识对用户身份建立起终端、资源的信任关系,并在发现风险时实施针对关键用户相关的访问连接进行阻断等控制。
二、全新升级的长扬零信任系统
长扬零信任访问控制系统产品正是参考NIST发布的零信任架构草案和中国通信行业标准零信任安全技术参考框架,率先提出了基于SDP+IAM的零信任访问控制系统。通过在单数据包到达目标服务器之前对用户和设备进行身份验证和授权,SDP可以在网络层上执行最小权限原则,可以显著地缩小攻击面。通过集成IAM统一身份认证,实现对认证和授权用户访问行为的持续监测。
威斯尼斯人wns2299cn零信任系统经历几年的沉淀与发展,迎来了全新升级。将零信任的概念扩展成主动+被动两层,以攻防兼备的方式,实现了零信任SDP产品的能力跨越。升级后的系统集“智能侦测+无缝防御”于一身,扩展了现有SDP+IAM架构的访问控制系统,创新性的融合“前端提前侦测和资源发现”技术,实现零信任产品的能力升级。
在“防”上,以身份为基础,通过持续信任评估、动态访问控制,建构端到端的信任体系;在“侦”上,融合智能侦测,对用户现有网络下的设备资产进行统一梳理和分析,为用户构建可视可控的设备管理平台;结合强大的规则检测库和病毒、漏洞库,满足用户应对网络安全威胁的需求。“一侦一防”,全方位守护用户数据和网络安全,实现业务系统的无缝防御。
在前期侦查阶段,利用主动探测和资源发现可帮助用户对现有资源的梳理和排查,从而建立可信任访问列表;在中期业务访问阶段,通过代理隐藏服务器和应用信息,减少暴露面;通过统一身份认证,对用户访问行为进行实时追踪,对风险行为进行实时告警;在后期审计和排查阶段,零信任系统可以对威胁访问进行溯源追查。
1.IAM+SDP控制系统
1.1.IAM统一身份认证平台
统一身份认证平台(IAM)是集身份帐号(Account)管理、认证(Authentication)管理、授权(Authorization)管理、安全审计(Audit)及应用管控(App Control)于一体的综合身份安全管理平台。IAM可将用户身份信息集中存储,实现电子身份全生命周期管理,支持账号密码、短信、企业微信、AD等多种认证方式。IAM作为应用导航门户,支持B/S、C/S应用的单点登录,一站式访问,业务应用支持按需授权。IAM以身份为基石,面向业务需求,安全链接各类应用、数据、流程,可为组织信息化业务融合及数字化安全管理提供重要支撑。
1.2.SDP访问控制系统
访问控制系统提供统一的工作入口,对业务做按需授权。从多个维度对用户访问数据进行统计分析,展示企业业务应用访问排名,帮助运维了解业务系统访问及运营情况,展示企业用户访问频率排名帮助企业管理者了解员工工作情况,展示安全网关拦截的非法请求数量帮助运维人员核查异常用户访问情况,及时发现企业内部风险。
通过对事件风险全面评估和持久化检查,实现风险事前自动预警;对主客体属性、安全状态进行持续的信任评估,根据评估结果动态调整访问授权。
2、零信任应用网关
零信任网关提供统一访问接入、流量检测和资源探测等功能模块,包括:
(1)提供了高速的数据流加解密处理及转发通道, 支持国产化信创软件系统和硬件平台,提供商密20G、国密10G的处理吞吐量。
(2)策略访问:指网关对所有接入的访问流量,进行统一的策略管理,通过与管理平台的联动,实现对用户的访问进行实时动态的管控(包括转发、限流、阻断等操作)。访问控制策略根据访问主体、客体和环境上下文等方面进行综合衡量与评估,对用户或设备的每次访问都将执行访问控制策略,动态拦截异常访问和攻击行为。
(3)统一代理:指用户对所有应用服务器的访问,都通过网关提供统一代理,降低安全建设成本,提升管理效率。隔离后端服务器,业务系统无需映射至外网,降低被攻击的风险,做到数据和业务服务器的安全可控。
(4)威胁检测:指网关对所有访问流量,根据企业网络安全风险的定义和策略,对流量和访问进行告警上报、主动阻断等操作。目前,我们的网关系统已支持安全检测规则6800多条,涵盖网络常见的网络攻击、病毒库等。
(5)风险阻断:包括串行实时阻断,和通过交换机、路由器等设备进行端口流量阻断和阻离
3、零信任客户端
零信任客户端作为安全接入终端,所有的设备接入基于零信任的虚拟安全网络,都进行准入控制。PC端和移动端设备通过安装安全客户端的方式,结合CA证书和设备唯一编码进行准入控制。物联网设备通过边缘安全网关硬件准入,支持IP、MAC、协议、厂商和设备指纹的多元组准入机制。
终端接入支持账密、短信、二维码、UKey等多因素身份认证。
三、“智能侦测+无缝防御”的全方位安全体系
全新升级的长扬零信任系统,以“攻防兼备”理念,一侦一防,真正做到给用户提供“智能侦测+无缝防御”的全方位安全体系,助力客户快速安全地实现数字化转型。
长扬零信任系统的迭代升级,率先将零信任的概念扩展为主动+被动两层架构,不仅深化了零信任理念的应用,还以攻防兼备的创新方式,引领了网络安全防护的新趋势。整个系统不仅是对自身产品力的提升,更是对整个网络安全行业的一次重要推动和贡献。
推动零信任理念普及:
随着数字化转型的加速,网络安全威胁日益复杂多变,零信任作为一种先进的网络安全理念,正逐渐成为行业共识。长扬零信任系统的升级,通过实际产品的应用展示,进一步推动了零信任理念的普及和深入,促进了行业对网络安全防护模式的重新认识。
提升行业安全防护水平:
传统的网络安全防护手段往往侧重于边界防御,难以应对内部威胁和横向移动攻击。长扬零信任系统的升级,通过构建端到端的信任体系和智能侦测机制,实现了对网络安全威胁的全面感知和快速响应,显著提升了整个行业的安全防护水平。
促进技术创新与融合:
长扬零信任系统的升级,融合了身份认证、持续信任评估、动态访问控制、智能侦测等多种先进技术,展现了技术创新与融合的巨大潜力。这一创新实践不仅为长扬自身赢得了竞争优势,也为整个行业提供了宝贵的技术参考和借鉴。
助力数字化转型安全发展:
数字化转型是当前企业发展的必然趋势,但安全问题始终是制约其发展的重要因素。长扬零信任系统的升级,通过提供“智能侦测+无缝防御”的全方位安全体系,有效保障了企业在数字化转型过程中的数据安全和业务连续性,为企业的快速发展提供了坚实的安全保障。
推动行业标准化与规范化:
随着零信任理念的普及和应用,行业对于零信任产品的标准化和规范化需求也日益迫切。长扬零信任系统的升级,通过实际产品的成功实践,为行业标准的制定和规范化发展提供了有力支持,有助于推动整个行业向更加健康、有序的方向发展。
四、应用案例
1.工业互联网平台+数字工厂:
(1)客户需求场景
工业云平台需要从工厂采集数据,反向控制工厂中的设备,实现同工厂之间的数据通道要求加密传输。
(2)常规零信任产品难以应对新情况
大量物联网终端设备的新增接入;当前部署的各类设备种类繁多,设备资产管理较混乱。
(3)降低成本、方便管理,长扬零信任系统部署实施优势明显
①工厂部署“零信任边缘安全网关”,实现“防火墙+零信任VPN+数据采集”功能合一,大幅降低工厂采购成本;
②边缘安全网关和中心应用网关集成了升级后的主动侦测系统,可有效的探查在网的设备,帮助用户快速的完成设备资产梳理,对于需要周期性更新、替换设备的工厂车间而言,方便人员和资产设备的审计和交接、管理;
③工业云平台部署“零信任访问控制系统”和“零信任应用安全网关”,实现核心业务按需代理、业务隐身和最小访问权限,在保障工业云平台安全的同时,降低了云端安全采购成本。
2.企业远程办公安全防护:
(1)客户需求场景
企业远程办公、远程运维和远程研发的安全防护。企业远程运维和远程研发的数据安全保护。
(2)常规零信任产品难以解决新情况
分公司内部的各种设备资产发现及梳理。远程办公、远程运维和远程研发带来的各种潜在威胁,包括网络攻击、病毒侵入和数据泄露。
(3)保障核心数据、实时防护管控,长扬零信任系统部署实施优势明显
①互联网接入区单臂部署“零信任访问控制系统”和“零信任应用安全网关”,实现核心业务按需代理、业务隐身和动态访问权限控制;
②远程办公的PC端和移动端,部署“零信任安全客户端”和最小权限接入;
③远程运维和远程研发的PC端,部署“零信任安全工作空间”,实现终端数据防泄露,保障企业核心数据安全;
④提前做好设备资产扫描及梳理,做到实时防护与管控;
长扬零信任系统的全新升级,将以更加智能、灵活、全面的安全防护体系,助力企业在数字化转型的道路上稳健前行,共同推动网络安全行业的繁荣发展。