我们需要一款怎样的零信任SDP产品？-深信服

新闻中心

新闻中心 > 我们需要一款怎样的零信任SDP产品？

我们需要一款怎样的零信任SDP产品？

2023-11-03 19:54:46

在之前的文章中，深信服提出，零信任不止于远程办公，应逐步向更广泛的场景进发，诠释安全接入的全新范式。（点击跳转：零信任=VPN？只能做远程办公？深信服零信任坦诚解答您的疑问）

在帮助用户向更广泛的应用场景进发过程中，我们识别到零信任还面临两大挑战：

挑战一：零信任SDP无法缓解人的脆弱性带来的安全风险。

挑战二：零信任SDP所设想的最小权限过于理想，落地障碍巨大。

此间种种真实案例，篇幅有限，在此就不一一赘述。

对此，深信服不禁思考：我们需要的是一款怎样的零信任SDP产品？

一张太极八卦图，可以很好描述我们的启发性思考。

太极八卦图

浩瀚宇宙间，一切事物和现象都包含着阴和阳，相反相成，缺一不可。

实战攻防中，黑白并举，攻守兼备，方能谓之业务安全接入防护之“道”。

用户真正需要的零信任SDP产品，除了具备体系化与纵深化的被动防御能力，还应该扩展主动防御能力。而这两种能力，需要以超前稳定的底层架构内核能力为支撑。

由此，深信服在业界率先推出零信任全新能力X-SDP ——集“被动防御+主动防御”于一身，扩展升级传统SDP架构，创新融合“鉴白”“鉴黑”逻辑，实现零信任SDP产品的又一大能力跨越，助力用户安全领先一步。

△一个视频了解深信服零信任X-SDP是什么

01三道防线层层守护

——体系化与纵深化的被动防御能力

体系化与纵深化的被动防御能力

从攻防对抗视角看，当SDP构建起业务防护边界，攻击者一般只能从SDP账号、SDP终端和暴露在外网的SDP设备入手。

攻击者需要突破这三道防线，才能攻击受保护业务系统。

基于此，深信服零信任围绕“账号、终端、设备”体系化建设，深挖战壕，构建层层纵深防护的三道安全防线。

第一道：设备安全防线

SDP设备的自身安全是业务访问安全的基石。

在设备被攻破前，深信服零信任提供SPA单包授权、RASP自防护、防中间人攻击的三道子防线。即使在极端情况下，设备被攻破，深信服零信任也可以提供、HIPS防护、安全内核的两道子防线，层层守护设备自身安全性。

其中，深信服持续引领SPA单包授权技术的发展和创新，率先推出第四代SPA“一次一码”，完美规避以往安全码泄露、冒用等潜在风险。

第二道：账号安全防线

基于攻击视角，深信服零信任账号安全防线可以分为两个阶段：

在账号登录前，需经首次认证、终端认证、准入检查、多因素认证、增强认证，五道认证机制，层层审核。
在账号登录后，通过权限鉴权、动态权限访问控制，告别以往“非黑即白”的粗放式管理，形成精细化管控。

第三道：终端安全防线

终端安全防线

假设终端已经失陷的情况下，深信服零信任终端安全防线可通过基线核查、进程安全、网络隔离、终端数据防泄漏、权限鉴权、动态权限访问控制，有效防止攻击者通过已失陷终端作为跳板攻击业务系统。

深信服零信任提供驱动级终端网络隔离能力，支持10+终端基线检查，在“办公不上网，上网不办公”的场景，用户连接办公网则自动断开互联网等不安全网络，有效防止终端远控。

02零误报鉴黑秒速自阻断

——可扩展的主动防御能力

威胁诱捕——请君入瓮手到擒来

零信任SDP是对传统边界安全机制的升级，在解决传统边界模糊、不可控的问题时，随着社工钓鱼、远控内部终端等攻击手法愈发常见，仍然面临着利用人员的习惯性疏忽进行攻击、最小化权限过于理想以致难以落地等挑战。

为了逆转实战中攻防不对等的局面，零信任SDP需要进一步演化升级，向协同式的“被动防御+主动防御”进行转变，切实兑现业务安全接入的承诺。

深信服零信任X-SDP创新扩展主动防御能力，通过威胁诱捕和安全雷达两大核心能力，持续强化和升级主动防御和主动预警的能力，实现原生零误报鉴黑、秒速自阻断。

威胁诱捕——请君入瓮手到擒来

当终端被攻陷，攻击者需要通过失陷终端查找网络路由DNS、翻找浏览器记录和磁盘敏感文件、访问业务应用等方式进行扫描侦察。

零信任X-SDP通过主动部署终端多维诱饵、应用诱饵，以及独创的原生无交互蜜罐，推送终端文件、浏览器记录、网络路由等多种类型的信息类诱饵，引导潜入终端的攻击者暴露攻击行为，快速精准发现终端钓鱼、帐号泄露等事件，实时阻断攻击通路，快速回溯攻击路径。

并且，这种信息类诱饵类似于在终端放置一张“纸条”，推送后不占用终端CPU和内存资源，实现部署零消耗，向攻击者反向钓鱼，实现精准鉴黑。

安全雷达——顺藤摸瓜一网打尽

安全雷达可细分为行为洞察、实体调查和防线可视三个子能力，实现零信任访问体系内的全链路行为追踪洞察、用户实体AI智能风险预警、防线纵深流量可视，完成事前预警、事中运营处置、事后溯源闭环。

1.全链路行为追踪洞察

基于完整的账号/终端/进程信息，通过会话跟踪技术串联日志上文，快速还原事件的完整登录及访问行为路径，对事件进行定性分析，并通过关联分析，对明确的攻击以点带面、以面及网，顺藤摸瓜，所有潜在威胁一网打尽。

2.用户实体AI智能风险预警

依托全身份化的访问记录，利用AI智能分析引擎，对关键实体（账号、IP、终端）进行深入调查分析和风险评级，高危实体及时预警，高效支撑事中运营处置。

3.防线纵深流量可视

以桑吉图可视化的形式，展示端到端全流程用户访问应用过程，通过设备/账号/终端三道防线及15+子防线的的流量分布和流向，帮助安全管理员全方位、实时掌握安全态势。

03稳稳承载单用户超百万并发

——超前稳定的底层架构内核能力

能力持续演进的背后，离不开超前稳定的底层架构内核能力。

作为支撑业务安全访问的设施，深信服零信任潜心打磨数十载，以高性能隧道传输技术X-Tunnel和自研分布式高可靠架构X-Performance，为X-SDP提供超前稳定的底层内核支撑，稳稳承载单用户超百万并发，两倍超压下业务成功率高达90%。

深信服零信任X-SDP，被动防御+主动防御一体化新能力，正如太极阴阳两仪，既矛盾对立，又交融统一，两者缺一不可，是实战场景中攻防兼备的「制胜法宝」。

在今年的实战攻防演练中，我们有不少金融、能源等各行业用户进行了升级试用，X-SDP的效果得以验证并持续优化，也欢迎更多新老朋友成为X-SDP体验官，携手共创。

安全底部动图

上一篇：深信服发布《网络安全数字化转型白皮书》

下一篇：深信服总代会议暨AMD联合方案发布会顺利举办