基本介紹
- 中文名:零信任安全網關
- 所屬學科:網路安全
核心功能,套用場景,套用實踐,
核心功能
1. 套用訪問代理
零信任安全網關通過對用戶訪問和API調用的統一代理,對外僅暴露網關IP和連線埠,收斂套用服務的網路暴露面。
2. 套用資源隱藏
零信任安全網關採用SPA單包授權技術,默認拒絕一切連線,不回響未經過驗證設備和用戶的訪問請求,使攻擊者無法找到服務地址和連線埠。SPA單包授權技術與套用訪問代理配合,實現網關自身和套用資源的雙重隱藏,讓企業“網路隱身”。
3. 多維身份認證
支持靜態密碼、動態口令、生物識別、社交認證、App掃碼認證及數字證書等多種認證方式,可自定義登錄策略,能夠實現單點登錄、多因素認證、免密認證等功能,提升用戶認證的安全性和體驗性。
4. 動態訪問控制
零信任安全網關部署在用戶和資源之間,綜合身份、設備、行為等維度的風險信息,通過智慧型安全大腦和動態訪問控制引擎,進行持續的風險和信任等級評估,執行動態的細粒度訪問控制策略,在業務系統的任意場景實現包括放行、阻斷、自適應認證、許可權收斂在內的自適應處置。
5. 數據安全傳輸
在用戶終端和網關之間建立端到端的雙向加密隧道,並在資源訪問全生命周期維護隧道連結。
6. 訪問行為審計
提供詳細的訪問日誌,基於日誌進行合規審計。
7. API安全防護
提供API接口的統一代理、訪問認證、數據加密、安全防護、套用審計等能力,提升後端服務安全的開發效率和維護效率。
8. 數據脫敏與溯源
對流經的數據提供數據脫敏、水印設定等功能,防止數據泄露,方便溯源追查。
套用場景
1. 網路安全加固
通過多維身份認證、動態訪問控制、訪問行為審計、數據脫敏與溯源等功能,提升業務安全能力,避免身份冒用、越權訪問、數據泄露等安全風險。
2. 遠程訪問
保證內部員工和第三方人員在遠程辦公、遠程開發、遠程運維等場景中,能夠使用任意設備,在任意地點、任意時間,以最小化許可權安全地訪問企業資源,提升遠程辦公的安全性和體驗性。
3. 替換VPN
將VPN“先連線後認證”的機制升級為“先認證後連線”,通過連線埠隱藏、多因素認證、數據安全傳輸等功能,讓用戶通過網際網路安全便捷的接入企業區域網路。Gartner預測到2023年,60%的企業將採用零信任替代大部分VPN。
4. API調用
代理API,通過安全認證鑒權、流量管控、風險熔斷等安全策略,保障API接口的安全。
5. 攻防演練
通過套用代理和SPA單包授權,幫助企業“網路隱身”,使攻擊者無法掃描探測到任何信息,大幅縮小暴露面。
套用實踐
芯盾時代零信任安全網關打破以網路邊界為信任條件、認為區域網路皆可信的舊安全理念,從身份、設備、行為等維度展開全方位防護,通過客戶端採集全局信息、智慧型安全大腦評估風險等級、動態訪問控制引擎生成訪問控制策略,對用戶和設備進行全面驗證,對所有訪問企業資源的請求進行認證、授權和加密,對內、外部的每一次訪問持續進行信任評估和動態訪問控制,真正做到“永不信任,持續驗證”。
某股份制商業銀行的測試環境完全開放在網際網路上,面臨訪問主體多且環境複雜、訪問控制寬鬆、套用系統多且暴露面廣等安全風險。利用芯盾時代零信任安全網關改造測試環境後,公網IP從100+收斂至9個,開放連線埠從10000+收斂至121個,資源暴露面大幅縮減;網關對接100+業務系統,日均防護調用次數超60萬次,實現對全行員工及合作夥伴的動態訪問控制;在不改造合作夥伴系統和銀行開放系統的情況下快速部署和上線,在攻防演練中表現優異。
