零信任本质

基于身份的动态权限管控

安全边界在变化

网络边界

传统网络环境将企业内部网络定义为“可信区域”,这个区域内部的所有计算资源可以互相通信,由于没有做到权限最小化管理,一旦有外部黑客攻入内网,或是企业内部人员恶意破坏,就可以在“可信区域”内对计算资源进行大肆攻击

身份边界

人已经成为企业安全的绝对核心,企业在防范外部攻击的同时,也需要防范来自内部人员的威胁。“身份”作为人在网络世界中的直观映像,零信任通过对身份进行持续认证和动态管控,可以有效应对内外网恶意攻击

什么是零信任?

零信任认为企业不应该自动信任内部或外部的任何人/事/物,应在授权前通过动态和持续的身份认证和评估机制,对网络环境中的访问主体人和设备的危险等级进行科学准确判定,采用最小特权访问策略,严格执行访问控制,提升所有网络实体之间连接的可信关系。

玉符零信任架构

零信任的本质是基于身份的动态权限管控,企业需要搭建高性能可横向拓展的权限引擎,并进行更为复杂和更细粒度的访问策略管理,最终实现内部和外部的人、设备和应用系统之间更为安全可靠的长久连接。

零信任架构核心组件

统一身份目录

除用来存储基本的人员属性信息外,还会对企业的应用类型和权限模型进行管理,并为风险评估引擎提供上下文数据,比如访问地点、访问网络、访问设备等。

密钥管理系统

可实现对个人登录密码、到生产环境Key、数据库登录信息、API认证等私密信息的管理,大幅提升密钥存储安全系数,避免传统文件存储存在的安全隐患。

风险评估模块

风险评估服务基于历史和当前的上下文访问信息,结合企业外部数据,主动标志高危险人群、DNS黑名单,实时检测有高危风险的用户行为,并自动或根据设置调整用户的权限等级。

SIEM与日志审计

防止任何运行时的敏感数据被记录,严格日志规范,加入代码审查;统一日志系统,可审计用户在各系统的行为,跨系统检测异常操作;严格限制内部员工访问权限,需在足够授权下才进行访问或修改。

零信任应用场景

多分支机构企业

基于风险等级对访问主体进行认证和授权,有效降低企业总部和分支机构之间远程访问中存在的安全隐患

多云部署企业

建立多云服务间的安全连接,使托管在云提供商A中的应用,可以直接安全连接到托管在云提供商B中的数据源

企业业务外包

支持临时工和供应商等多种角色身份管理,并对外包服务商应用访问进行最小权限处理,确保核心数据安全

跨企业协同

为员工设置专用账户,使其只可以访问所需访问的数据,并拒绝访问其他资源,确保跨企业协同数据安全

零信任应用价值

  • 增强微边界
  • 快速投资回报
  • 提升数据安全
  • 高效合规审计
  • 传统上,企业将“内部防火墙”作为一种分段方法,零信任通过基于身份的动态权限管控为网络环境中的每个用户都进行了分段,用户只能访问被授予权限或是符合相应风险等级访问要求的应用进行访问,通过增强性的微边界来确保企业网络安全。
增强微边界
  • 传统上,企业将“内部防火墙”作为一种分段方法,零信任通过基于身份的动态权限管控为网络环境中的每个用户都进行了分段,用户只能访问被授予权限或是符合相应风险等级访问要求的应用进行访问,通过增强性的微边界来确保企业网络安全。
快速投资回报
提升数据安全
高效合规审计
010-84404911