新技术带来的安全挑战:
传统的网络安全理论基于安全边界模型,认为网络是有固定的边界,企业认为守住“大门”(边界)就可以高枕无忧。随着云计算、大数据、移动互联网等技术的广泛应用,导致企业不仅仅要守住“大门”,还要保护众多“窗户”,每一个“窗户”就代表着新的边界,导致传统内外网边界模糊。员工在随时随地访问应用系统的同时,“有心人”也可以通过这些“窗户”进入企业进行破坏。同时企业花费重金打造的防御壁垒也无法应对威胁诸如DDoS、0DAY漏洞等高级攻击方式。
内部威胁加剧:
内部威胁已经成为企业内部数据泄露的主要因素,据Forrester Research Survey的研究报告显示,超过60%的安全问题是由内部引起;FortScale的调查报告则显示,85%的数据泄露是来于内部威胁。
由于攻击者来自于内部用户,因此检测更加困难,危害性却更大。内部人员拥有对企业信息系统合法的访问权,这些可能包括员工故意或无意泄漏密码和敏感信息,也有可能是供应商、商业伙伴的恶意行为,利用他们的权限来破坏或谋取利益,这些威胁所造成的安全成本也是非常巨大。
为了帮助各行业用户解决上述安全问题,易安联零信任安全解决方案应运而生,目的是基于身份和访问控制从零构建企业新的逻辑边界。
易安联SDP应用访问安全解决方案,基于“零信任”、“应用为中心”的基本原则,利用上下文访问智能分析、动态访问权限控制、专有DNS解析、单包授权双向认证等核心技术,实现访问细粒度权限控制、单次访问动态评级授权、业务安全发布、用户行为全流程可视审计,从而构建端到端的安全访问新模式。
易安联SDP解决方案为行业用户提供强安全应用访问控制,匹配等保2.0的相关合规要求,作为攻防演练中的守方安全工具等,适用于政府、公安、运营商、金融、能源等单位。
ENLINK SDP 架构图
ENLINK SDP三个核心组成部分由安众、安枢、安界三部分构成。
安众(EnBrowser\APP)为具备SPA能力的ENLINK国密浏览器和APP,为用户提供统一的办公入口,让用户享受安全、极致的访问体验,同时也提供API方式供第三方集成,灵活部署。
安枢(EnsBrain)为SDP安全策略中枢,负责用户及设备的安全管控,设备安全基线评估及安全状态检测,感知网络环境,动态评估安全访问策略生成与下发,动态调整访问行为全流程记录。
安界(EnsGate)为SDP安全网关,作为应用安全发布容器,是企业应用的屏障,阻断了直接接触式访问,避免应用直接遭受的网络安全威胁,默认屏蔽掉任何未经授权的访问请求,从而实现承载服务“隐身”能力。
安信(EnIAM)为易安联身份管理与访问控制系统对企业复杂的账号和权限体系进行统一治理,提供用户的全生命周期管理,统一管理用户在各个应用系统中的账号,提供统一账号目录服务和授权服务,能够有效的降低风险,提升用户体验,让管理更加科学高效。
安见(EnNSSA)为易安联态势感知系统,面向用户提供整体业务安全态势分析决策及预警功能。基于机器学习的多异常告警关联识别,发现告警根源,全方位多维度安全数据挖掘,对用户、设备、应用等维度数据关联分析,全面洞察业务安全态势。
ENLINK SDP解决方案通过一系列防护机制和安全策略,有效缓解外部攻击和内部威胁,极大地收缩攻击面。有效规避安全威胁和漏洞,降低企业数据泄露风险。提高用户的访问体验,提高工作效率。
提升主动防御能力,有效收缩网络保护面,拒绝未授权访问,实现业务隐身;通过国密和商用密码加密手段对通信链路双向加密,有效保护传输数据安全;通过最小化策略、细粒度访问控制,保护数据资产,满足安全合规要求。
提升用户业务安全视角的安全威胁识别、预测及响应能力,加强对用户重要的操作和访问的识别和分析,记录用户、事件类型、事件的日期和时间等全生命周期管理,结合易安联态势感知系统,洞悉威胁源头。
构建统一的用户身份管理和设备管理中心,自动化完成认证及授权,提升运维管理效率,提升安全策略管控能力,实现高效的运维管理。
通过ENLINK企业级浏览器实现员工随时随地访问业务系统,单点登录和社交化结合的多因子认证等措施提升了身份安全性的同时简化了用户的操作,优化用户体验。
面对日益加剧的外部威胁和内部风险,以及传统边界安全防御模型面临的巨大挑战,零信任将成为企业面对数字化浪潮中新安全建设的主流架构之一,但零信任的真正落地需要结合用户需求与最佳实践,分阶段完成传统安全架构到零信任架构的转变,易安联将深入安全领域,挖掘用户需求,创新行业方案,助力更多用户构建全方位的“零信任”访问安全和资源防护体系。