docurl=/cn/Products_And_Solution/Proactive_Security/Solutions/202106/1415548_473262_0.htm

零信任安全解决方案

【发布时间:2021-06-11】

安全理念的转变:以身份为边界

安全挑战背景:复杂的网络架构、多样化的业务系统、交叉流动的业务数据,使得访问者与业务数据的边界逐渐模糊,从而导致了非黑即白的一次性授权、粗放的权限控制、不及时的威胁响应能力和内部数据泄露等安全风险出现。零信任架构正是在这种背景下诞生,可以有效解决传统的安全挑战。

传统安全机制失效背后的根本原因是信任,随着内网基础设施愈发复杂和流经网络流量的种类增加,同时随着云大物移技术的发展和混合云的大规模部署落地,企业用户无法确立明确的网络边界。此时需要将身份作为全新的安全边界,对于企业整体的零信任安全防护场景来说,共分为南北向和东西向两大零信任安全防护的场景。

实现南北向零信任安全防护可使用身份识别与访问管理(IAM)和软件定义边界(SDP)两大技术架构。通过将原本分散的用户体系、认证体系进行整合,集中式的数字身份管理、认证、授权、审计,同时将控制平面和数据平面分离的方式,同时遵循应用安全访问、持续信任评估和动态访问控制等核心原则,实现用户侧的可信接入。

实现东西向零信任安全防护可使用微隔离(MSG)技术架构。通过将数据中心的资源按不同的工作负载角色在逻辑上细分为不同的安全段,再配置相关安全设备为这些安全段定义相应的访问控制策略,从而对租户内的云主机进行精细化的访问控制能力。

新华三基于对零信任网络安全解决方案的研究,贯彻“永不信任,始终验证”的原则,通过对身份进行统一管理,实现了设备、用户、应用等实体的全面身份化,建立企业全新的身份边界。通过在各个安全场景下的实践,陆续发布了基于南北向和东西向的零信任安全防护解决方案。

以身份管理为核心的零信任解决方案

在南北向安全防护场景中,新华三将零信任的理念融入到各个阶段的安全建设中,通过对访问者身份的管理,接入行为的持续性分析,根据分析结果来动态的控制访问权限,从而形成闭环的零信任安全架构。

零信任的核心本质即是身份管理,新华三以深度解耦、异构兼容为设计理念,贴合用户“安全、合规、可信”的需求,通过安全管理中心、可信代理控制系统、IAM统一身份管理及安全认证系统和终端环境感知系统的建设,将控制平面与数据平面分离,从而实现细粒度授权、动态环境感知、全流程审计、最小化原则的零信任安全理念。

价值能力

以安全接入为核心的零信任解决方案

新华三整合了一体化电信级可信网关、安全准入终端和安全态势分析引擎的核心优势能力,打造了以安全接入为核心的SDP零信任解决方案。方案主要由SDP客户端、SDP可信网关、SDP控制器组成,结合对零信任的研究及实践,通过对用户的统一安全接入及动态权限管理,实现了身份、终端、应用系统的安全可信。

价值能力

以微隔离为核心的零信任体系

传统的东西向安全场景中,随着业务上云的需求逐渐增多,云边界逐渐消失,云租户内部资源的安全隔离和访问控制需求日益复杂。新华三经过多年云安全的研究,正式发布了云安全2.0战略方针,充分将新华三原生的安全能力融入到云化变革当中,构建起完整的、与多种云计算环境全面融合的安全体系架构。其中针对于云内资源安全访问的场景推出了以微隔离为核心的零信任体系,整体分为微隔离控制中心和微隔离客户端两个部分,通过云主机之间的访问控制策略,阻断勒索病毒等安全事件在内部网络中蔓延,降低黑客的攻击面,从而实现东西向流量的可视化展示及策略的控制编排。

价值能力

新华三零信任解决方案应用场景

联系我们