(CWW)进入2022年,零信任理念加速落地,越来越多的企业希望基于零信任理念建设或改造网络安全防护体系。零信任理念是一个整体的架构,包含诸多技术和组件,安全厂商会根据用户的实际需求、结合自身的技术优势,推出有特色的零信任产品,零信任安全网关就是其中最具代表性、应用最为广泛、技术最为全面的产品之一。


(相关资料图)

一、什么是零信任网关零信任安全网关是零信任架构最核心的部分,通常部署在网络入口或应用服务前端,分隔用户和资源,对所有流量强制执行访问控制策略。零信任安全网关通常包含安全客户端、动态访问控制引擎、智能安全大脑、身份管理等组件,采用应用代理、SPA单包授权、增强型身份管理和AI等技术,具备应用访问代理、应用资源隐藏、访问主体多维认证、动态访问控制、数据安全传输、访问日志审计、API安全防护等功能,在提高应用访问安全性的同时简化接入过程,提升业务效率。

零信任安全网关按照架构与应用场景的不同,以安全应用网关、安全API网关、访问控制网关、安全接入网关等多种形态,被广泛应用于金融、政府、运营商、互联网、教育、能源、电力、医疗等行业中。

二、零信任网关核心功能零信任安全网关以软件定义的方式构建基于身份的安全边界,对每一次业务访问请求进行持续信任评估和动态访问控制,真正做到“持续验证、永不信任”。零信任安全网关通常具备以下核心功能:

1.应用访问代理

零信任安全网关通过对用户访问和API调用的统一代理,对外仅暴露网关IP和端口,收敛应用服务的网络暴露面。

2.应用资源隐藏

零信任安全网关采用SPA单包授权技术,默认拒绝一切连接,不响应未经过验证设备和用户的访问请求,使攻击者无法找到服务地址和端口。SPA单包授权技术与应用访问代理配合,实现网关自身和应用资源的双重隐藏,让企业“网络隐身”。

3.多维身份认证

支持静态密码、动态口令、生物识别、社交认证、App扫码认证及数字证书等多种认证方式,可自定义登录策略,能够实现单点登录、多因素认证、免密认证等功能,提升用户认证的安全性和体验性。

4.动态访问控制

零信任安全网关部署在用户和资源之间,综合身份、设备、行为等维度的风险信息,通智能安全大脑和动态访问控制引擎,进行持续的风险和信任等级评估,执行动态的细粒度访问控制策略,在业务系统的任意场景实现包括放行、阻断、自适应认证、权限收敛在内的自适应处置。

5.数据安全传输

在用户终端和网关之间建立端到端的双向加密隧道,并在资源访问全生命周期维护隧道链接。

6.访问行为审计

提供详细的访问日志,基于日志进行合规审计。

7.API安全防护

提供API接口的统一代理、访问认证、数据加密、安全防护、应用审计等能力,提升后端服务安全的开发效率和维护效率。

8.数据脱敏与溯源

对流经的数据提供数据脱敏、水印设置等功能,防止数据泄露,方便溯源追查。

三、零信任安全网关的应用场景零信任安全网关的应用场景广泛,可与企业原有的纵深安全防护体系结合,全面提升企业的安全防护能力。在以下场景中,零信任安全网关都起到了良好的应用效果:

1.网络安全加固

通过多维身份认证、动态访问控制、访问行为审计、数据脱敏与溯源等功能,提升业务安全能力,避免身份冒用、越权访问、数据泄露等安全风险。

2.远程访问

保证内部员工和第三方人员在远程办公、远程开发、远程运维等场景中,能够使用任意设备,在任意地点、任意时间,以最小化权限安全地访问企业资源,提升远程办公的安全性和体验性。

3.替换VPN

将VPN“先连接后认证”的机制升级为“先认证后连接”,通过端口隐藏、多因素认证、数据安全传输等功能,让用户通过互联网安全便捷的接入企业内网。Gartner预测到2023年,60%的企业将采用零信任替代大部分VPN。

4.API调用

代理API,通过安全认证鉴权、流量管控、风险熔断等安全策略,保障API接口的安全。

5.攻防演练

通过应用代理和SPA单包授权,帮助企业“网络隐身”,使攻击者无法扫描探测到任何信息,大幅缩小暴露面。

四、零信任安全网关的应用实践芯盾时代零信任安全网关打破以网络边界为信任条件、认为内网皆可信的旧安全理念,从身份、设备、行为等维度展开全方位防护,通过客户端采集全局信息、智能安全大脑评估风险等级、动态访问控制引擎生成访问控制策略,对用户和设备进行全面验证,对所有访问企业资源的请求进行认证、授权和加密,对内、外部的每一次访问持续进行信任评估和动态访问控制,真正做到“永不信任,持续验证”。

某股份制商业银行的测试环境完全开放在互联网上,面临访问主体多且环境复杂、访问控制宽松、应用系统多且暴露面广等安全风险。利用芯盾时代零信任安全网关改造测试环境后,公网IP从100+收敛至9个,开放端口从10000+收敛至121个,资源暴露面大幅缩减;网关对接100+业务系统,日均防护调用次数超60万次,实现对全行员工及合作伙伴的动态访问控制;在不改造合作伙伴系统和银行开放系统的情况下快速部署和上线,在攻防演练中表现优异。

推荐内容