竹云零信任方案
帮您的企业轻松应对以下挑战
-
边界模糊
传统边界正在瓦解,基于边界的安全体系正在失效。 -
传统安全防御体系逐渐失效
传统的安全架构以“纵深防御+边界防御”为主,难以适应组织快速成长,难以应对业务的快速变化。 -
各安全产品相互独立
传统安全产品各自为界、互相独立,无法协同联动提供整体安全解决方案。 -
身份缺失
网络访问流量缺少基于用户身份有效控制、监控和审计身份标识。 -
基础架构难以改变
如何在不改变现有架构的场景下提升安全防护级别。 -
权限滥用
以静态授权为主,无法基于实时风险作出动态调整。
什么是零信任
在不可信的网络环境下重建信任。应假设网络始终存在外部威胁和内部威胁,仅仅通过网络位置来评估信任是不够的。默认情况下不应该信任网络内部或外部的任何人/设备/系统,而是基于认证和授权重构业务访问控制的信任基础。每个设备、用户的业务访问都应该被认证、授权和加密。访问控制策略和信任应是动态的,基于设备、用户和环境的多源环境数据计算出来。
核心思想:默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。
本质诉求:以身份为中心进行访问控制,引导安全体系架构从网络中心化走向身份中心化。
方案概述
方案概述
零信任的核心部分是以动态IAM为基础,以数字身份为中心的安全架构,同时根据访问的环境信息和风险评估指数,采用动态访问控制机制来防止未授权的访问行为。
方案架构
在身份、认证、授权基础上,集成现有安全产品,提供环境感知、可信代理、控制服务,以最小化权限原则进行访问控制,引导安全体系架构从网络中心化走向身份中心化,不再依赖网络位置判断是否允许访问,而是持续性评估设备、系统、用户、环境、行为、访问流的安全性和风险状态,以达到细粒度、动态的安全访问控制。
信任链
核心组件
-
智能身份管理平台
建设统一身份源,实现全网用户、设备、应用、API接口的统一身份化,实现统一权限梳理。 -
认证服务
基于风险的度量和信任评估,实现动态访问控制 -
可信接入网关
作为安全访问策略执行点,业务均需通过可信接入网关后,才能对合法用户/设备可见。
方案优势
-
基于身份的全方位安全;集中管控身份安全、终端安全链路安全。
-
实时安全数据采集和分析;PB级数据秒级检索溯源,全网安全态势实时感知。
-
多维度授权机制;基于用户属性变化的自动授权和撤销;用户自助申请、审批自动开通权限。
-
多平台联动协作、威胁闭环处置;安全引擎与策略引擎联动下发控制策略,分钟级阻断威胁源。
-
从静态到动态的访问控制;实时感知用户访问过程中的安全环境变化,动态调整安全控制策略;持续评估设备、系统、用户、数据流的安全性和风险状态。
-
多种认证方式识别可信用户,扫码、OTP、UKey、人脸、声纹、指纹等认证方式持续认证,关键应用、异常访问强制二次认证。
-
采用大数据分析技术,基于人和设备的环境数据、访问行为数据,进行风险建模,度量潜在的安全风险。
-
采用机器学习算法,基于高级身份分析技术和工作流引擎,实现身份与访问管理的自动化。
