预约演示:0591-83936055

联系我们

Security and backup

安全与备份

零信任身份安全解决方案

为应对新IT时代的网络安全挑战,零信任安全应运而生。零信任的最早雏形源于2004年成立的耶利哥论坛(Jericho Forum),其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案。2010年,Forrester的分析师约翰·金德维格(John Kindervag)正式使用了零信任这个术语,金德维格在他的研究报告中指出,所有的网络流量都是不可信的,需要对访问任何资源的任何请求进行安全控制。

传统的基于边界的网络安全架构在某种程度上假设、或默认了内网是安全的,认为安全就是构筑企业的数字护城河,通过防火墙、WAF、IPS等边界安全产品或方案对企业网络出口进行重重防护而忽略了企业内网的安全。零信任安全针对传统边界安全架构思想进行了重新评估和审视,并对安全架构思路提出了新的建议,是应对新IT时代的网络安全挑战的全新战略。零信任安全架构理念简单概括即为:应该始终假设网络充满威胁;外部和内部威胁每时每刻都充斥着网络;不能仅仅依靠网络位置来建立信任关系;所有设备、用户和网络流量都应该被认证和授权;访问控制策略应该动态地、基于尽量多的数据源进行计算和评估。

零信任安全架构从本质可概括为以身份为基石的动态访问控制,是在不可信的现代网络环境下,以身份为基石,通过动态访问控制技术,以细粒度的应用、接口、数据为核心保护对象,遵循最小权限原则,构筑端到端的逻辑身份边界。

奇安信零信任身份安全解决方案,正是基于零信任架构所实现的访问控制安全整体实践。通过以身份为基石、业务安全访问、持续信任评估和动态访问控制这四大关键能力,基于对网络所有参与实体的数字身份,对默认不可信的所有访问请求进行加密、认证和强制授权,汇聚关联各种数据源进行持续信任评估,并根据信任的程度动态对权限进行调整,最终在访问主体和访问客体之间建立一种动态的信任关系。

以身份为基石

零信任的本质是以身份为基石进行动态访问控制,全面身份化是实现零信任的前提和基石。基于全面身份化,为用户、设备、应用程序、业务系统等物理实体建立统一的数字身份标识和治理流程。

业务安全访问

在零信任架构下,所有的业务访问请求(包括用户对业务应用的访问、应用API之间的接口调用访问等等)都应该被认证、授权和加密。

持续信任评估

零信任架构认为一次性的身份认证无法确保身份的持续合法性,即便是采用了强度较高的多因子认证,也需要通过度量访问主体的风险,持续进行信任评估。例如,主体的信任评估可以依据采用的认证手段、设备的健康度、应用程序是否企业分发、主体的访问行为、操作习惯等等;环境的信任评估则可能包括访问时间、来源IP地址、来源地理位置、访问频度、设备相似性等各种时空因素。

动态访问控制

在零信任架构下,主体的访问权限不是静态的,而是根据主体属性、客体属性、环境属性和持续的信任评估结果进行动态计算和判定。传统的访问控制机制是宏观的二值逻辑,大多基于静态的授权规则、黑白名单等技术手段进行一次性的评估。零信任架构下的访问控制基于持续度量、自动适应的思想,是一种动态微观判定逻辑。

基于以上四大核心特性,奇安信零信任身份安全解决方案进一步将安全理念落地为具体的安全能力,为企业提供构建零信任安全体系的基础产品组件和整体解决方案,助力企业迁移到零信任安全架构。


相关资源

Related Resource

READ MORE

动态

Dynamic

READ MORE

成功案例

Successful cases

READ MORE