东森平台零信任:“心”病还须“心”药医

宣布时间 2021-06-17

前言:

零信任的泛起将网络防御范围从广泛的网络界限转移到单个或小组资源 ,同时它也代表新一代的网络宁静防护理念 ,打破默认的“信任” ,秉持“连续验证 ,永不信任”原则 ,即默认不信任网络内外的任何人、设备和系统 ,基于身份认证和授权 ,重新构建访问控制的信任基础 ,确保身份可信、设备可信、应用可信和链路可信。本文旨在通过介绍东森平台零信任架构如何妙手回春解决困扰传统宁静用户的诸多“心病” ,资助您对零信任这一宁静理念有更为全面地了解。


心病年年有 ,今年特别多。信息化生长迅猛 ,业务上云、移动办公兴起 ,网络宁静、数据宁静相关执法规则逐渐完善 ,宁静问题层出不穷 ,构建具备弹性、融合、敏捷、连续等特性的宁静架构势在必行。


且看东森平台零信任架构如何妙手回春 ,解决困扰传统宁静用户的诸多“心病”。


心病篇


● 传统宁静连续投入 ,宁静收效甚微


据Gartner陈诉统计全球网络宁静投入连续增加 ,2018年较之前年增加了8% ,而数据泄露事件较去年同期相比增加了30%以上。传统宁静投入在增加 ,可效果却泛起了反差�;诖辰缦薹阑さ耐缒采杓评砟钣牍婊煲盐薹ㄓΧ杂优哟蟮耐缒蚕肿�。


● 业务逐渐迁移上云 ,传统宁静难以快速适配


传统界限防护模式缺乏漫衍式、虚拟化的部署联动能力。业务上云快 ,宁静上云进度缓慢。同时政企客户也面临多云、混合云环境下的访问接入、运维管理等问题。


● 移动办公、运维兴起 ,非受控人员、终端接入如何防范


移动办公兴起 ,终端的宁静问题凸显 ,业务应用数据在非受控终端落地 ,或引发更严重宁静事件。同时 ,远程办公及运维场景下使用传统的VPN方式接入内网 ,现下存在认证手段单一、风险感知能力缺失、人员账号失控、入网后行为监控能力匮乏等隐患 ,还有繁杂的终端类型带来客户端适配问题、业务访问断线重连事件导致用户体验并不良好。


● 宁静设备及应用袒露 ,常遭受网络入侵


端口扫描、DDOS、SYN Flood等攻击对袒露地址和端口的宁静设备和应用造成很大威胁 ,如何尽量减小宁静设备、应用服务等互联网袒露面 ,成为首要解决的要害问题之一。


● 终端宁静组件众多 ,兼容性差蓝屏死机苦不堪言


EDR、桌管、杀毒、DLP、认证、加密等宁静客户端来源不统一 ,安装多样化 ,经常泛起互不兼容 ,蓝屏死机等情况。Windows、Linux、信创系统、Android、IOS等操作系统多样且频繁升级 ,多种客户端支持能力不统一 ,往往不能完全笼罩安装 ,导致宁静防护泛起漏洞。


● 宁静风险审计滞后 ,数据泄露时有发生


传统宁静风险组件各自为战 ,宁静审计及追溯定位能力较差 ,且不具备依据宁静风险动态调整宁静计谋的能力 ,导致审计追溯难 ,数据泄露事件时有发生。


● 访问权限过大而且固化 ,风险发生权限未变


对于受控应用的访问控制 ,传统宁静组件遵循认证通过即可访问的原则 ,即使发生风险 ,亦不具备动态调整访问权限的机制。针对渗透后横向平移攻击缺失更先进动态感知机制进行敏捷、连续的过滤异常行为。


● 宁静计谋配置疏散 ,配置缺陷后患无穷


传统宁静传统控制与执行平面多为一体机设计 ,当防护体系需要发生计谋变换 ,涉及的各个组件宁静计谋均需单点配置 ,若计谋不统一 ,易造成防护失效的结果。


等保及密码测评、实战演练 ,年年升级问题依然存在


等保测评、密码测评每年进行 ,宁静方案设计的合法、合规变得尤为重要。实战演练每年举办 ,构建到达实战演练级此外宁静易用的宁静防护机制 ,才气确保平时即战时 ,任何时候宁静都是牢不行破 ,经得起考验。


心药篇


东森平台集团在国内外零信任架构的基础上 ,结合IAM、SOC、访问署理和大数据分析等领域十多年的积累 ,形成了具有东森平台特点的零信任架构。架构的左边是访问主体 ,终端包罗主机、PC、移动和物联网。在访问企业资源时 ,需要通过零信任架构核心组件中的身份与访问控制、风险管理中心、计谋中心和访问署理中的种种能力 ,授予应用资源、系统资源和数据资源客体的访问权限。


1.png


东森平台集团零信任架构这剂“心药”具备如下功效:


● 可动态拆卸裁剪的弹性、敏捷框架 ,极大提高投入产出比


具备宁静组件可动态扩充 ,宁静能力可软件界说 ,宁静计谋可动态调整等弹性敏捷的框架 ,可凭据当前需求最小化部署 ,也支持凭据后续需求动态扩充。


● 支持虚拟化、漫衍式部署 ,上云快、场景适应性强


宁静组件支持虚拟化部署 ,可快速上云部署。核心组件支持漫衍式部署 ,支持统一协调防护漫衍式疏散应用及服务访问防护 ,融合统一单点登录技术 ,实现单点认证 ,多点无缝接入。


● 多维身份鉴别 ,验证的不只是用户还有设备和属性


基于用户身份、设备身份、设备宁静属性等多维一体的注册、审批与身份鉴别机制 ,无论是移动办公、内网接入、物联网接入 ,均能高强度多维验证主体身份 ,实现但凡放行的一定是可信的。


● 基于SPA及默认丢包计谋实现网络及应用隐身


基于SDP设计思路 ,接纳SPA机制及默认丢包计谋 ,实现宁静设备及应用服务的地址隐藏 ,构建网络隐身衣加防弹衣的防护模型 ,最大限度降低宁静风险。


● 多合一融合客户端


具备EDR、桌管、杀毒、DLP、认证、加密等多合一融合客户端 ,统一下载与安装 ,内部兼容良好 ,同时兼容windows、Linux、信创系统、Android、IOS等多种操作系统。


● 实时风险评估 ,精确审计追溯


汇聚终端、网络、行为、审计等风险 ,实时汇聚审计分析 ,追溯定位。


● 精细化动态访问控制



通过差异的署理网关实现网络级、应用级、功效级、接口级等精细化访问控制 ,并支持联动风险管理中心及IAM组件实现动态权限调整。


● 控制与执行平面疏散 ,宁静且简易


实现控制与数据平台疏散 ,计谋集中配置管理 ,宁静且简易。


● 切合等保、密评规范


产物设计切合等保及密评要求。


往期相关文章链接:

1、【开篇】零信任解读

2、深度解读国内外零信任技术路线异同