看「零信任」如何解决业务访问的安全问题-深信服

新闻中心

新闻中心 > 看「零信任」如何解决业务访问的安全问题

看「零信任」如何解决业务访问的安全问题

2021-01-22 00:00:00

2020年有个经常碰到的词儿，那就是「零信任」。

业界关于零信任的探讨和认可也从不吝啬：

「网络安全的新基石」

「无边界化时代的安全架构」

「在不可信网络中构建安全边界」

……

还有各类零信任研讨会、各大门派的「零信任」白皮书等等。从概念提出到逐步落地实践，「从不信任，永远验证」的零信任走了十年了，未来还将继续往前走。事实证明，赛博世界需要零信任，企业安全需要零信任。

尽管如此，仍旧有很多用户在困惑，零信任那么好，该怎么落地应用呢？只有大型企业才用得起零信任吗？……为帮助用户寻求到这些问题的答案，我们把负责零信任架构的工程师给抓来了。

“业务”隐身

企业对外发布业务时，业务系统直接暴露在互联网中，很容易被黑客攻击。尤其是在云计算、移动/远程办公常态化的今天，内外网界限模糊，即使是在内网发布的敏感系统，如OA、HR、CRM、ERP等，随着企业规模的扩大、员工角色及终端的多样性，其安全性也无法有效保障。

零信任可提供安全代理访问服务，用户能不能访问、能访问哪些业务系统都要经过零信任的策略控制，通过策略审核后才能访问业务系统。相当于对外隐藏了业务，极大地减少黑客的攻击。

SPA（Single Packet Authorization）即单包授权，是SDP（软件定义边界）的核心功能。在启用SPA时，零信任代理网关会在SSL连接握手时进行认证授权，只有通过特定客户端（携带授信的SPA种子/握手口令的客户端）发送认证报文信息给服务器，服务器认证通过后，才能响应连接请求，从而实现真正的网络隐身。

▲SPA单包授权安全机制实现「网络隐身」

这就好比添加微信好友时，别人可以随意通过手机号、微信号、群聊等方式向你发起好友申请。现在，你把这些添加方式都关闭，只保留共同好友分享名片这一方式，共同好友就好比SPA种子，具备共同好友则默认此人是可信的，能放心通过。

通过SPA单包授权技术，保证了只有具备合法SPA种子的客户端才能与零信任代理网关建立连接实现对业务系统的访问。

终端动态环境检测和业务准入

解决了业务的隐身问题，访问业务的终端成了新的“暴露面”，终端感染恶意程序、异常登录、不授信的网络环境等等都可能威胁到终端要访问的业务系统的安全。因此，需要对终端设备进行持续的信任评估。

零信任提供全过程的终端环境动态检测与业务准入，对需要通过零信任来访问业务系统的终端启动上线准入功能，进行24小时动态安检，一旦发现终端不符合安全要求，则禁止登录。

同时，基于业务应用的不同敏感度，零信任可为用户设置不同的业务准入策略，比如访问高敏感应用，需要限定指定终端和指定的网络环境；访问中敏感应用，只需限定指定终端；访问一般敏感应用，可以不限制终端和网络环境。

▲终端环境动态检测与业务准入

业务动态准入是贯穿业务访问的全过程的，以确保终端环境只有处于指定安全级别时才能访问对应的业务系统，如果不满足要求，可以访问低敏感度的应用。既保障了敏感业务的安全性，也不影响用户访问一般敏感应用。

动态ACL

动态ACL（动态访问权限控制）是零信任信任评估理念落地的关键，只有实现了根据信任评估结果对访问权限进行动态调整，信任评估才有意义。当终端环境或访问行为不满足安全基线时，会自动收回对应权限。

零信任在静态权限配置基础上，基于环境、行为、身份等综合信息动态调整访问权限，以应对终端环境变化导致的异常访问。

当同样的终端和用户从指定网络环境切换到不授信的外部网络时，即可实时收回仅能在指定网络环境访问的高敏感应用访问权限，确保高敏感应用的安全。

相反，如果终端一开始不符合高敏感应用的访问要求，可以通过增强认证等方式提高信任等级从而获得高敏感应用访问权限。

▲零信任动态访问权限控制

作为一种全新的理念和架构，零信任在企业进行安全建设和访问控制上能起到很好的指导作用，实现对重要数据和核心应用的高强度安全保护。

零信任在缩小暴露面隐藏业务、终端动态安全检测、动态自适应认证、动态访问控制、分级保护业务、数据防泄密等方面具备优势，可覆盖多场景远程办公、内网权限控制、内外网统一访问控制、多云多数据中心安全访问等应用场景。

深信服零信任安全架构

作为国内较早探索零信任应用的企业之一，深信服推出了零信任安全架构及相应的解决方案和产品，基于“以身份为中心，可信访问、智能权限、极简运维”的理念，通过新一代网络隐身、动态自适应认证、全周期终端环境检测、动态业务准入、动态访问控制、多源信任评估等核心能力，帮助用户实现流量身份化、权限智能化、访问控制动态化、运维管理极简化的新一代网络安全架构转型。