证券简称:天融信   证券代码:002212
7*24小时应急服务:400-777-0777
数字化转型企业零信任安全解决方案
首页 > 解决方案 > 数字化转型企业零信任安全解决方案
背景介绍

企业数字化转型带动了互联网和新技术应用的蓬勃发展,同时也为企业网络带来了更多的风险暴露面和巨大的安全挑战。泛在接入、移动办公、业务上云、微服务化等新应用场景不断涌现,恶意攻击、非法访问、数据泄露等风险不断加剧,传统基于网络边界隔离的安全防护体系已力不从心。

零信任安全架构提供了区别于传统安全的增强安全机制,基于“从不信任、始终验证”的理念,不再以访问主体(人/设备/应用)的物理位置或网络位置作为是否被信任的主要依据,而是对无论来自内部或外部网络的任何主体的每次资源访问请求都进行信任评估,只有评估结论给出的信任等级符合业务安全要求的主体才能够被授予对应资源访问权限。

天融信自2019年正式推出零信任安全解决方案,并积极开展行业实践和场景化落地探索。凭借公司26年来在网络安全领域的丰厚积累,将现有成熟安全产品技术与具有零信任基因的新技术进行充分融合,形成了面向数字化转型企业的零信任安全解决方案。

方案设计

天融信零信任安全解决方案充分借鉴国际先进理念和框架,面向企业本地物理服务器上和私有云上的业务应用资源,采用“零信任客户端、零信任控制器、零信任网关”三位一体的技术架构,构建以身份为中心的动态访问控制机制,为企业提供更为精准、有效的资源访问安全管控。 其中:

1.零信任控制器基于访问主体(用户/设备/应用)的身份,结合环境风险、异常行为、安全事件等方面的分析结果,在每个会话过程中持续评估访问主体的可信度,动态调整身份认证、资源授权、访问控制等策略。

2.零信任网关和零信任客户端负责在不同场景下为访问主体与被访问资源之间建立安全的连接,并具体执行动态访问控制策略。

通过以上两部分的有机结合,真正做到访问双方可信赖、访问路径可控制、恶意行为可阻断,实现业务应用资源的可信访问,确保业务数据安全可靠的流动

技术特点

天融信零信任安全解决方案基于零信任理念,采用多种新型技术措施,具备“先认证后访问、按需最小授权、弹性策略调整、全程国密保护、持续信任评估、多维风险感知”六大技术特点。 

1、 先认证后访问

访问主体不能直接访问企业资源。只有确认访问主体身份合法且可信后,才能经由零信任网关访问到所需资源。

2、按需最小授权

遵循最小权限原则,仅授予访问主体满足业务需要的最小资源访问权限,降低资源暴露面。

3、多维风险感知

在终端、网络、资源侧分别进行环境状况、健康状态、安全威胁等的实时监测,感知风险变化。

4、 持续信任评估

在会话过程中,结合环境风险、异常行为、安全事件等因素持续评估访问主体的信任等级,实时监测其变化。

5、弹性策略调整

根据访问主体信任等级的变化动态调整其访问权限、认证方式以及网络访问控制策略,并下发策略给零信任客户端和零信任网关执行。

6、 全程国密保护

采用基于国密算法的认证和加密技术,为访问端到资源端的整个通信过程提供高强度的安全保护。

应用效果

天融信基于零信任理念,设计出业界领先的零信任解决方案,能够切实解决资源非受控访问问题,为企业数字化转型保驾护航。天融信零信任解决方案的应用效果要体现在以下4个方面:

1)确保访问主体可信:只有信任等级符合业务安全要求的访问主体(用户+设备+应用)才有可能访问到企业资源,防止因身份仿冒、会话劫持、终端失陷等威胁造成企业资源暴露;

2)确保访问行为可控:可信主体对资源的访问行为始终处于受控状态,正常合规的访问行为被放行、异常行为被及时分析评估、越权或滥用等非法行为被阻断;

3)确保访问范围可管:缩小“隐式信任区”,基于访问主体的访问权限和信任等级重构安全边界,使可信主体仅能访问完成业务所需的最小业务应用资源,超出静态授权范围和动态访问许可的资源均对访问主体不可见;

4)确保访问过程可靠:从可信主体到被访问资源工作负载的端到端通信全程采用基于国密算法的密码技术进行保护,攻击者无法窃取或篡改通信链路上传输的业务数据。

客户收益

提升业务效率

天融信零信任安全解决方案以身份为中心,以信任评估为基础,构建贯穿会话过程的动态安全管控机制,使业务数据仅在可信主体与授权资源之间通过加密信道进行安全流转,并结合具有良好使用体验的单点登录机制,满足企业用户(包括内部员工和外部合作伙伴等)随时、随地、安全、便捷地访问企业应用和数据资源的需求,大大提升了企业的业务运行效率。

降低安全风险

天融信零信任安全解决方案提供按需最小授权和细粒度访问控制策略,且对任何访问主体在授予资源访问许可之前都要进行身份认证和信任评估,对未获得信任和授权的主体完全隐藏资源访问路径,从而最大程度地收缩企业数字资产暴露面,减少企业遭受网络攻击和发生信息泄露的风险隐患。

保护现有投资

对于已经具备一定网络安全基础能力的数字化转型企业而言,采用天融信零信任安全解决方案并不会推翻原有的安全体系,而是要基于零信任理念进行安全架构的优化。在实施天融信零信任安全解决方案的同时,企业可通过功能升级、接口适配等方式使现有安全机制在新的架构中继续发挥作用,最大化保护现有安全投资,避免出现大量沉没成本。

减轻运维压力

天融信零信任安全解决方案基于集中访问授权机制、持续信任评估机制和弹性策略调整机制,动态、自适应地管控访问主体的资源访问权限及访问过程,大大减轻了边界划分、策略设置、配置变更、事件处置等日常安全运维工作压力。

典型案例