密碼技術與零信任安全架構探討

時間:2022-06-13 08:49:23

導語:密碼技術與零信任安全架構探討一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

密碼技術與零信任安全架構探討

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動辦公等新技術的發(fā)展以及遠程辦公的流行,傳統(tǒng)基于邊界的網(wǎng)絡安全架構已經(jīng)難以適應現(xiàn)代企業(yè)網(wǎng)絡建設需求,以資源保護為核心的零信任安全更符合當下發(fā)展趨勢。北京信安世紀科技股份有限公司(以下簡稱“信安世紀”)將商用密碼技術與SDP(軟件定義邊界)技術、IAM(身份識別與訪問管理)技術等零信任技術有機結合,通過網(wǎng)絡隱身、以身份為核心、可信業(yè)務訪問、動態(tài)訪問控制、多源信任評估等核心能力,幫助企業(yè)解決傳統(tǒng)的網(wǎng)絡安全邊界理念與防護手段不足的問題,構建以身份為邊界的零信任安全模式,營造安全、可信的網(wǎng)絡環(huán)境。兩大核心組件,筑牢零信任安全架構信安世紀零信任解決方案由信安世紀自主產(chǎn)品體系構成,主要包括零信任統(tǒng)一身份認證管理系統(tǒng)和零信任安全認證網(wǎng)關兩大產(chǎn)品。零信任統(tǒng)一身份認證管理系統(tǒng)可以根據(jù)多維訪問日志和風險信息進行綜合建模,能夠做到應用級、服務級的細粒度訪問控制,為所有對象賦予數(shù)字身份,是整個方案的控制大腦。零信任安全認證網(wǎng)關通過服務隱藏及單包敲門技術、細顆粒度最小授權管理及風險動態(tài)識別能力,提供安全可靠的訪問控制以及隨時隨地的安全接入。同時,方案內含零信任安全代理客戶端,通過SPA能力,與核心組件聯(lián)動建立“先認證后連接”模型,實現(xiàn)近乎實時的終端安全檢測與防護,是面向用戶的安全代理窗口。

六大領先優(yōu)勢,構建安全、可信網(wǎng)絡環(huán)境

1.以商用密碼技術為基礎,實現(xiàn)通信雙方的可信鑒別和安全加密通信信安世紀零信任方案采用基于國密算法的證書和動態(tài)口令,支持國密SM2、SM3、SM4等加密算法,有效保障數(shù)據(jù)的安全性;在通信方面,方案采用TLCP協(xié)議進行隧道加密,保障流量在安全的加密通道上傳輸,實現(xiàn)數(shù)據(jù)完整性保護;在密鑰管理方面,方案采用協(xié)同簽名技術做密鑰分割,充分保證密鑰安全性,大大降低私鑰泄露的風險,提升整體安全防護能力。2.以身份管理技術為核心,實現(xiàn)持續(xù)的身份認證和動態(tài)訪問控制信安世紀零信任方案支持零信任自適應身份認證,可根據(jù)多因素動態(tài)調整身份認證策略。通過零信任安全代理客戶端來獲取終端安全狀態(tài),將終端環(huán)境感知與風險信息上報至零信任安全認證網(wǎng)關;零信任安全認證網(wǎng)關將信息轉發(fā)給策略中心,策略中心根據(jù)上報的日志,對終端環(huán)境和風險信息進行綜合建模,實現(xiàn)持續(xù)的信任評估,并將評估結果推送到動態(tài)授權模塊,為用戶提供動態(tài)的、近乎實時的、自動的權限調整,做到整體的安全閉環(huán)。3.以安全網(wǎng)關技術為支撐,實現(xiàn)大規(guī)模、復雜場景的靈活部署和應用交付為了滿足靈活部署需求,信安世紀零信任方案提供產(chǎn)品軟硬件的不同部署方式,支持在虛擬平臺和公有云平臺上通過虛擬化軟件的方式部署。同時,網(wǎng)關單臺硬件設備支持超高吞吐量,滿足大流量的客戶需求;支持用戶數(shù)最高可達幾十萬量級,滿足海量接入的需求。此外,在保證性能和安全的前提下,還集成了硬件SSL加速、連接復用、HTTP壓縮、集群等功能,具有靈活的可擴展性。即使在出現(xiàn)故障時,信安世紀N+1集群技術也可以確保終端用戶的體驗和訪問不受影響。4.優(yōu)秀的SPA網(wǎng)絡隱身能力,隱藏企業(yè)數(shù)據(jù)資產(chǎn)、最小化攻擊面信安世紀零信任方案支持SPA單包授權機制。在接入企業(yè)網(wǎng)絡之前,客戶端會先將必要信息集成在單個數(shù)據(jù)包內,攜帶數(shù)據(jù)包至信安零信任系統(tǒng)進行身份校驗,只有驗證通過后才能進行認證授權,且不會開放額外端口,而未攜帶SPA包的客戶端在訪問零信任系統(tǒng)時,將不被允許通過。此種方式可以有效隱藏企業(yè)數(shù)據(jù)資產(chǎn),從而降低攻擊風險。5.以企業(yè)現(xiàn)有安全架構為依托,實現(xiàn)客戶化、異構化的零信任安全架構信安世紀零信任方案具備極強的適應能力,可以集成企業(yè)已有的安全產(chǎn)品,與現(xiàn)有的網(wǎng)絡安全管理融合形成聯(lián)動,無需做任何改動即可實現(xiàn)零信任安全能力持續(xù)增強。方案支持跨平臺API以及開放的接口標準和規(guī)范,支持對多種應用系統(tǒng)的集成,保障整體網(wǎng)絡架構的穩(wěn)定運行。6.以豐富的登錄認證場景為優(yōu)勢,帶來無感、友好、一站式的訪問體驗信安世紀零信任方案支持B/S、C/S、遠程RDP等豐富的單點登錄場景,用戶只需通過一次強身份認證,即可無感知訪問授權范圍內的系統(tǒng)應用;支持人臉識別、指紋認證、國密證書等十幾種登錄方式以及多種操作系統(tǒng)、瀏覽器、移動設備的遠程接入,隨時隨地滿足移動辦公需求。

價值體現(xiàn)

1.業(yè)務安全方面:改善傳統(tǒng)安全架構,重塑企業(yè)網(wǎng)絡邊界;以商用密碼技術為基礎,以身份管理技術為核心,以安全網(wǎng)關技術為中樞,以動態(tài)訪問控制為支撐,全面增強企業(yè)安全能力;提供一站式的虛擬門戶和單點登錄,為企業(yè)用戶帶來極速訪問體驗。2.合規(guī)性方面:信安世紀零信任方案滿足等級保護與商用密碼應用安全性評估相關要求,同時可在本地化環(huán)境中靈活部署,有效解決用戶多層次的合規(guī)需求。3.綜合價值:信安世紀零信任方案最終實現(xiàn)網(wǎng)絡資產(chǎn)可規(guī)劃、終端合規(guī)可檢查、身份認證自適應、設備入網(wǎng)可控制、全網(wǎng)態(tài)勢可視化、安全風險早知道、事故責任可追溯的綜合價值。

作者:趙志遠