摘要: 当下网络世界中的十大网络安全威胁,互联网暴露面过大、VPN接入权限过大、API调用未建议授权机制、应用漏洞过大被利用、账号社工或密码暴力破解等等,广大政企单位都饱受挑战和攻击。 基于多年安全行业技术沉淀和创新精神,借助大数据智能分析技术优势,安恒信息正式推出...
当下网络世界中的十大网络安全威胁,互联网暴露面过大、VPN接入权限过大、API调用未建议授权机制、应用漏洞过大被利用、账号社工或密码暴力破解等等,广大政企单位都饱受挑战和攻击。
基于多年安全行业技术沉淀和创新精神,借助大数据智能分析技术优势,安恒信息正式推出“AiTrust零信任”解决方案。针对远程业务访问及数据开放共享场景下数据安全痛点,安恒信息打造了一套秉持零信任安全理念的“AiTrust安全体系架构”,打造可信的数字身份体系,为应用发布和数据开放共享提供持续化、动态化、自动化、精细化的访问控制及多项数据安全能力。
该方案以身份与访问管理为关键技术,由TAM零信任身份服务中心、DSG-APP零信任应用代理系统、DSG-API零信任API代理系统、AiThink用户与实体行为分析系统等产品组成,可以与第三方风险分析平台、身份及权限基础设施、策略控制服务对接,实现向零信任体系的平滑迁移。
“零信任”并不是要颠覆等保2.0纵深防御体系,而是互补关系。根据系统本身的安全策略、业务敏感度、安全等级特征等因素,建立新的身份边界。在用户现有网络架构中,重新定义防护对象、新业务安全场景,交付新的安全能力。这里的“身份”不仅是用户的身份,还要考虑访问主体和客体的身份(如设备、应用等)、原有的网络身份等。“零信任”在以网络为安全边界的传统理念之上,叠加了多维度的身份信息,以软件定义的方式构建以身份为边界的新安全模式。
“零信任”可确保根据身份、设备和用户环境动态,实施安全和访问决策。只有经过身份验证和授权的用户和设备才能访问应用程序和数据。精准交付网络隐身、最小权限、动态信任评估及数据安全保障等多项安全能力。
“AiTrust零信任”解决方案可以回收网络访问权限,仅提供应用访问权限;隐藏真实的应用和服务端口;持续动态地验证用户身份和应用权限;启用API安全能力对数据进行保护;支持与SIEM平台集成及安全能力编排。
安恒信息基于4个核心安全目标:数据可信身份、访问最小权限、数据资产保障、数据风险回溯,定义了独特的零信任能力框架,打造出一套业务应用与数据开放共享通道的安全体系平台,交付给用户更可信的用户身份(基于多因子和多种属性,实现全面用户身份认证)、更安全的业务访问(采用细粒度、动态化的授权模式,安全策略策略更实时有效)、更全面的安全考量(集合环境、访问行为、风险事件等多元素构建访问策略)。
随着数据开放面逐渐扩大、数据访问量不断增加,我们预见到了开放共享过程中潜在的数据安全防护及溯源问题,例如数据访问无法追溯到最终用户、API 自身脆弱性带来的安全配置错误及注入风险、API 异常高频访问带来的数据暴露风险等。
AiTrust零信任解决方案基于“零信任”身份权限控制,在应用服务器之前的零信任网关已对用户的访问权限控制细化到设备和应用、服务层级,将权限控制进一步细化到数据内容层级,实现对敏感数据的精准靶向监控。数据鉴权机制架构在设置于各应用服务器之间的数据安全网关上,控制各应用间的相互访问,实现对信息系统各使用人员、设备、应用访问在数据内容粒度上的精确权限控制。
安恒信息基于零信任的理念,本次方案强调“永不信任、始终确认”,在业务访问的全流程中引入身份认证的能力,对管控的客体对象“用户”、“应用”的身份进行持续校验,并针对防护对象 API 资源,实现“先认证、再授权、再访问”的管控逻辑,通过为数据安全中台构建虚拟身份安全边界,最大程度上收窄公共数据平台的暴露面,保障业务安全开展。一举解决政企用户多项安全顽疾:例如数据访问无法追溯到最终用户、API 自身脆弱性带来的安全配置错误及注入风险、API 异常高频访问带来的数据暴露风险等。