秉持“持续验证、永不信任”的零信任安全理念,以SDP(软件定义边界)技术为基础,从“强化用户认证、持续环境评估,动态权限调整”三个层面,构筑企业远程访问全生命周期防护体系。
终端用户远程访问核心业务资源前,必须经过可信身份鉴别;访问期间,终端环境始终处于可信评估状态;当终端处于不安全状态时,零信任网关实时调整终端信任级别,阻断终端及用户对于信任级别之上的敏感业务的访问权限,并最终实现企业核心业务的可信接入。
零信任网关,默认关闭所有TCP端口,拒绝一切TCP连接。网络访问时,UDP端口通过抓包捕获SPA敲门包,验证用户身份,对不合法的信息,丢弃处理,从而实现核心资源的网络隐身,并能有效遏制恶意扫描、DDOS攻击、撞库、SQL注入等多种网络攻击行为。对合法用户的IP暂时放行TCP端口,建立TLS加密传输隧道,然后关闭TCP端口,此时用户连接状态保持,可正常访问内网授权应用。
零信任的本质是以身份为基石进行动态访问控制,全面身份化是实现零信任的前提和基石。方案基于全面身份化,为用户、设备、应用程序、业务系统等物理实体,建立统一的数字身份标识和治理流程。
用户使用过程中,零信任网关仍会对终端安全进行持续的风险与信任评估(包括终端是否安装杀毒软件、是否安装指定补丁、安全基线是否合规、访问时间是否合规等),并根据终端环境感知结果,灵活动态地调整访问权限。
安全性能突出:核心资源网络隐身,有效防止非法的端口扫描、SQL注入、暴力破解、DDOS攻击、APT渗入等典型攻击行为。
简化运维流程:动态调整访问控制策略,极大简化安全运维人员日常工作。
适应多云环境:软件支持云化部署,解决企业多云访问的问题;
满足等保要求:从多个维度满足等保合规要求,如安全访问控制、运维安全审计、抵御各种网络攻击等;
系统可靠性高:具有国产自有知识产权安全防护系统,提供分布式服务。
体系扩展性强:在系统设计中采用模块化结构、减少模块间数据藕合。
