密碼技術與零信任安全架構探討

時間:2022-06-13 08:49:23

導語:密碼技術與零信任安全架構探討一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

密碼技術與零信任安全架構探討

隨著云計算、大數據、物聯網、移動辦公等新技術的發展以及遠程辦公的流行,傳統基于邊界的網絡安全架構已經難以適應現代企業網絡建設需求,以資源保護為核心的零信任安全更符合當下發展趨勢。北京信安世紀科技股份有限公司(以下簡稱“信安世紀”)將商用密碼技術與SDP(軟件定義邊界)技術、IAM(身份識別與訪問管理)技術等零信任技術有機結合,通過網絡隱身、以身份為核心、可信業務訪問、動態訪問控制、多源信任評估等核心能力,幫助企業解決傳統的網絡安全邊界理念與防護手段不足的問題,構建以身份為邊界的零信任安全模式,營造安全、可信的網絡環境。兩大核心組件,筑牢零信任安全架構信安世紀零信任解決方案由信安世紀自主產品體系構成,主要包括零信任統一身份認證管理系統和零信任安全認證網關兩大產品。零信任統一身份認證管理系統可以根據多維訪問日志和風險信息進行綜合建模,能夠做到應用級、服務級的細粒度訪問控制,為所有對象賦予數字身份,是整個方案的控制大腦。零信任安全認證網關通過服務隱藏及單包敲門技術、細顆粒度最小授權管理及風險動態識別能力,提供安全可靠的訪問控制以及隨時隨地的安全接入。同時,方案內含零信任安全代理客戶端,通過SPA能力,與核心組件聯動建立“先認證后連接”模型,實現近乎實時的終端安全檢測與防護,是面向用戶的安全代理窗口。

六大領先優勢,構建安全、可信網絡環境

1.以商用密碼技術為基礎,實現通信雙方的可信鑒別和安全加密通信信安世紀零信任方案采用基于國密算法的證書和動態口令,支持國密SM2、SM3、SM4等加密算法,有效保障數據的安全性;在通信方面,方案采用TLCP協議進行隧道加密,保障流量在安全的加密通道上傳輸,實現數據完整性保護;在密鑰管理方面,方案采用協同簽名技術做密鑰分割,充分保證密鑰安全性,大大降低私鑰泄露的風險,提升整體安全防護能力。2.以身份管理技術為核心,實現持續的身份認證和動態訪問控制信安世紀零信任方案支持零信任自適應身份認證,可根據多因素動態調整身份認證策略。通過零信任安全代理客戶端來獲取終端安全狀態,將終端環境感知與風險信息上報至零信任安全認證網關;零信任安全認證網關將信息轉發給策略中心,策略中心根據上報的日志,對終端環境和風險信息進行綜合建模,實現持續的信任評估,并將評估結果推送到動態授權模塊,為用戶提供動態的、近乎實時的、自動的權限調整,做到整體的安全閉環。3.以安全網關技術為支撐,實現大規模、復雜場景的靈活部署和應用交付為了滿足靈活部署需求,信安世紀零信任方案提供產品軟硬件的不同部署方式,支持在虛擬平臺和公有云平臺上通過虛擬化軟件的方式部署。同時,網關單臺硬件設備支持超高吞吐量,滿足大流量的客戶需求;支持用戶數最高可達幾十萬量級,滿足海量接入的需求。此外,在保證性能和安全的前提下,還集成了硬件SSL加速、連接復用、HTTP壓縮、集群等功能,具有靈活的可擴展性。即使在出現故障時,信安世紀N+1集群技術也可以確保終端用戶的體驗和訪問不受影響。4.優秀的SPA網絡隱身能力,隱藏企業數據資產、最小化攻擊面信安世紀零信任方案支持SPA單包授權機制。在接入企業網絡之前,客戶端會先將必要信息集成在單個數據包內,攜帶數據包至信安零信任系統進行身份校驗,只有驗證通過后才能進行認證授權,且不會開放額外端口,而未攜帶SPA包的客戶端在訪問零信任系統時,將不被允許通過。此種方式可以有效隱藏企業數據資產,從而降低攻擊風險。5.以企業現有安全架構為依托,實現客戶化、異構化的零信任安全架構信安世紀零信任方案具備極強的適應能力,可以集成企業已有的安全產品,與現有的網絡安全管理融合形成聯動,無需做任何改動即可實現零信任安全能力持續增強。方案支持跨平臺API以及開放的接口標準和規范,支持對多種應用系統的集成,保障整體網絡架構的穩定運行。6.以豐富的登錄認證場景為優勢,帶來無感、友好、一站式的訪問體驗信安世紀零信任方案支持B/S、C/S、遠程RDP等豐富的單點登錄場景,用戶只需通過一次強身份認證,即可無感知訪問授權范圍內的系統應用;支持人臉識別、指紋認證、國密證書等十幾種登錄方式以及多種操作系統、瀏覽器、移動設備的遠程接入,隨時隨地滿足移動辦公需求。

價值體現

1.業務安全方面:改善傳統安全架構,重塑企業網絡邊界;以商用密碼技術為基礎,以身份管理技術為核心,以安全網關技術為中樞,以動態訪問控制為支撐,全面增強企業安全能力;提供一站式的虛擬門戶和單點登錄,為企業用戶帶來極速訪問體驗。2.合規性方面:信安世紀零信任方案滿足等級保護與商用密碼應用安全性評估相關要求,同時可在本地化環境中靈活部署,有效解決用戶多層次的合規需求。3.綜合價值:信安世紀零信任方案最終實現網絡資產可規劃、終端合規可檢查、身份認證自適應、設備入網可控制、全網態勢可視化、安全風險早知道、事故責任可追溯的綜合價值。

作者:趙志遠