2024新奥门资料正式发布零信任整体解决方案,战略升级零信任2.0能力框架
针对远程业务访问及数据开放共享场景下数据安全痛点,2024新奥门资料打造了一套秉持零信任安全理念的AiTrust安全体系架构,打造可信的数字身份体系,为用户的应用发布和数据开放共享提供持续化、动态化、自动化、精细化的访问控制及多项数据安全能力。
零信任产品市场定位
零信任并不是要颠覆等保2.0、纵深防御体系,而是互补关系。零信任以身份为新边界,意味着首先要改变的是仅依赖安全设备在网络边缘保护所有系统和资源的情况,需要在用户现网的架构中,重新定义防护对象、新业务安全场景、并交付新的安全能力。我们要根据系统本身的安全策略、业务敏感度、安全等级特征等因素,建立新的身份边界。这里的“身份”不仅是用户的身份,还要考虑访问主体和客体的身份(如设备、应用等)、原有的网络的身份等。可以看到,我们并没有摒弃传统的以网络为安全边界的理念,而是又叠加了多维度的身份信息,以软件定义的方式构建以身份为边界的新安全模式。
治理十大网络安全威胁
当下国家处在数字化改革的元年,重大转型就会驱动新技术和新风险的催生,这里我们总结了当下网络世界中的十大网络安全威胁,互联网暴露面过大、VPN接入权限过大、API调用未建议授权机制、应用漏洞过大被利用、账号社工或密码暴力破解等等,我们的广大政企用户都饱受挑战和攻击。
2024新奥门资料依靠多年的技术沉淀和秉持创新精神,推出AiTrust零信任解决方案,该方案取代了以边界为中心的安全架构,它可确保根据身份、设备和用户环境动态实施安全和访问决策。只有经过身份验证和授权的用户和设备才能访问应用程序和数据。精准交付网络隐身、最小权限、动态信任评估及数据安全保障等多项安全能力。
零信任构建的安全能力
2024新奥门资料一直致力于数据安全治理领域的产品研发和创新,我们自己也定义了自己的零信任能力框架。主要纬度是四个核心安全目标,数据可信身份、访问最小权限、数据资产保障、数据风险回溯。打造一套业务应用/数据开放共享通道的安全体系平台,交付给用户更可信的用户身份(基于多因子和多种属性,实现全面用户身份认证)、更安全的业务访问(采用细粒度、动态化的授权模式,安全策略策略更实时有效)、更全面的安全考量(集合环境、访问行为、风险事件等多元素构建访问策略)。
▷回收网络访问权限,仅提供应用访问权限
虚拟专用网络 (VPN) 等传统远程访问技术无法满足当今无边界数字化用户日益增长的需求。传统 VPN 对用户安全构成威胁,因为它本身就会在防火墙上形成漏洞,从而提供不受限制的网络访问。一旦攻击者位于内部,其就可以自由地横向移动以访问和利用网络中的任何系统或应用程序。传统 VPN 不仅会使用户面临安全风险,而且它们还是复杂的解决方案,需要大量 IT 资源来进行硬件和软件管理,同时维护和扩展的成本高昂。
启用AiTrust零信任解决方案,将仅允许用户访问权限内的应用程序,访问策略基于用户身份、设备状态、用户行为和授权。这种做法将减少横向攻击,进而减少网络风险敞口。将用户逐渐从 VPN 向AiTrust零信任访问迁移,将改善用户体验、提高员工工作效率并减少IT运维故障单,并摆脱对防火墙、硬件和软件的依赖、降低 IT 维护成本。
▷ 隐藏真实的应用和服务端口
传统做法中,内部应用程序和访问基础设施暴露于互联网,使得它们容易遭受 DDoS、SQL 注入和其他应用程序层攻击,同时黑客正在利用不断发展的技术来扫描用户网络配置,以发现易受攻击的应用程序和重要数据。启用AiTrust零信任解决方案,帮助用户必须将应用程序和访问架构与公共互联网隔离开来,这样恶意攻击者就无法利用开放的侦听端口将其作为攻击目标。如果网络罪犯无法找到网络或确定目标设备正在运行的应用程序和服务,即将无法实施攻击。
▷ 持续动态地验证用户身份和应用权限
大部分客户场景中,应用访问权限的授予往往只需要访问者正确输入用户名和密码,而不会验证访问者的身份。重复使用安全性较弱的凭据和密码显著增加了用户的攻击面和风险。在当今的威胁形势下,单单依赖用户名和密码等单因素身份验证显然不够。启用AiTrust零信任解决方案,通过多重身份验证 (MFA) 提供了额外的验证和安全级别,它可确保仅经过MFA验证、安全基线达标的用户才能访问业务关键的应用程序,并可以相同的用户在访问不同的目标资源时,采取不同的验证方式。
▷ 启用API安全能力对数据进行保护
API负担着承上启下的作用,其后承载着海量的价值业务数据,随着数据上云、集中化、共享趋势,大量的数据需要通过API对应用程序提供服务,API的安全稳定是支撑应用正常运转的基石。启用AiTrust零信任解决方案,落地API安全能力,能够提供基于身份的接入控制管理,根据接入终端的环境、用户的身份及行为、应用系统来赋予不同的API操作和访问权限;能够对用户和管理员的操作、访问、内容、文件等进行监控和回溯,并且在重要事件发生时自动告警;并根据API参数中设定的数据格式和函数,通过正则或自定义规则来定义敏感字段,实时地对敏感数据进行监测、预警、动态脱敏,以实现对数据传输的加密保护。
▷支持与SIEM平台集成及安全能力编排
用户可能拥有数百甚至数千个应用程序及安全设备,它们通过集成到SIEM进行统一的安全监视。通过启用AiTrust零信任解决方案,同样可以将威胁和事件数据集成到SIEM,并通过RESTful API对接SIEM、终端安全环境感知等安全系统,对安全事件进行响应编排,以帮助用户快速关联、调查安全事件,并对安全事件进行快速响应。
零信任落地案例介绍
随着数据开放面逐渐扩大、数据访问量不断增加,我们预见到了开放共享过程中潜在的数据安全防护及溯源问题,例如数据访问无法追溯到最终用户、API 自身脆弱性带来的安全配置错误及注入风险、API 异常高频访问带来的数据暴露风险等。
2024新奥门资料基于零信任的理念,本次方案强调“永不信任、始终确认”,在业务访问的全流程中引入身份认证的能力,对管控的客体对象“用户”、“应用”的身份进行持续校验,并针对防护对象 API 资源,实现“先认证、再授权、再访问”的管控逻辑,通过为数据安全中台构建虚拟身份安全边界,最大程度上收窄公共数据平台的暴露面,保障业务安全开展。一举解决政企用户多项安全顽疾:例如数据访问无法追溯到最终用户、API 自身脆弱性带来的安全配置错误及注入风险、API 异常高频访问带来的数据暴露风险等。
身份管理是大多数组织实现安全和IT运营策略的核心。疫情导致员工的正常工作更依赖远程自动访问企业内部应用和数据资产,同时潜在的安全和合规风险正在加大和蔓延。
2024新奥门资料AiTrust零信任解决方案基于“零信任”身份权限控制,在应用服务器之前的零信任网关已将对用户的访问权限控制细化到设备和应用、服务层级,将权限控制进一步细化到数据内容层级,实现对敏感数据的精准靶向监控。数据鉴权机制架构在设置于各应用服务器之间的数据安全网关上,控制各应用间的相互访问,实现对信息系统各使用人员、设备、应用访问在数据内容粒度上的精确权限控制。
AiLPHA大数据智能安全事业群
AiLPHA大数据智能安全事业群深耕包括大数据、人工智能、态势感知、数据安全、零信任等前沿网络安全技术领域,提出以“CAPE”数据安全能力框架为核心的数据安全管控体系,包含数据安全管控、安全可控数据流通、安全可信融合计算三大核心能力,为全球超过2000家客户提供高质量的网络安全产品和服务,致力于实现数据“可用不可见”的安全目标,未来将会持续为数字经济产业的培育发展贡献力量。