通過將“信任評估”�����、“訪問授權”和“持續(xù)監(jiān)測”三個環(huán)節(jié)形成閉環(huán),在對“人”和“設備”身份的初步認證之后,持續(xù)性對“風險”和“信任”予以管控��。
在終端安全評估方面,“深信服精益信任”體系首先通過客戶端或瀏覽器對訪問設備的安全狀況進行檢測,而后在“零信任”訪問控制系統(tǒng)中根據(jù)設備所提交的認證和環(huán)境信息,判斷可能產(chǎn)生的安全風險;最后,控制系統(tǒng)根據(jù)反饋的評估結果,按照策略動態(tài)地對訪問終端進行授權���。
對于“人”的身份認證和管理,“深信服精益信任”采用多因素認證的方式,加強認證策略;并在身份生命周期內(nèi)做好維護和更新,避免用戶因重復認證而使得身份認證這一程序變得麻煩與繁瑣��。
在獲取“人”和“設備”兩端的信息以后,根據(jù)訪問者的身份和所使用設備的屬性來判斷其所處的安全等級,映射到應用服務資源的分級當中,最終確定可以授予的訪問和控制權限��。
在授予完權限以后,“深信服精益信任”還會對訪問者的行為和流量走向進行全局實時的采集與檢測,根據(jù)行為和流量判斷訪問者是否有違規(guī)操作產(chǎn)生,并劃分威脅等級,及時對接訪問控制系統(tǒng),實施調(diào)整信任等級�、控制接入和訪問權限,防止惡性事件的發(fā)生。
總的來說,“深信服精益信任”是一種對于“零信任”的延伸��。在“零信任”對“人”和“設備”建立了初步信任以后,將信任在后續(xù)予以控制,形成基于風險和信任的可持續(xù)的����、動態(tài)的反饋閉環(huán)控制,在業(yè)務不斷產(chǎn)生風險的同時,既不打擾業(yè)務,也可以持續(xù)通過“信任”來規(guī)避風險。
除此以外,像政務云�����、公安數(shù)據(jù)中心這類對內(nèi)對外都要提供訪問支持且頻繁��、復雜的場景,“深信服精益信任”還能夠在每一個訪問流量中加入身份標識,防止針對應用系統(tǒng)和數(shù)據(jù)的內(nèi)外部攻擊;同時對身份進行更加精細化��、動態(tài)化的集中管控和認證,讓偽造身份更加困難;
最后,實現(xiàn)端點��、邊界��、內(nèi)網(wǎng)的自動化聯(lián)動,讓運維更加便捷����。
為什么深信服“精益信任”可以落地?
前文說到,國內(nèi)之所以無法復制Google BeyondCorp的成功,是因為Google BeyondCorp需要對企業(yè)的IT部署進行大規(guī)模的改造,甚至需要替換大量已經(jīng)購買的安全產(chǎn)品和設備���。
站在用戶的角度來看,深信服認為一款產(chǎn)品能夠成功實現(xiàn)落地的前提,應該是盡可能利用企業(yè)現(xiàn)有的工具、資源和設備,延續(xù)此前積累的使用習慣,在不對用戶習慣做嚴重調(diào)整的情況下,使其接受一種新的概念,享受新技術帶來的效果����。
因此,“深信服精益信任”的出發(fā)點,就是在滿足用戶使用習慣和國內(nèi)安全產(chǎn)品發(fā)展形勢的前提下,與企業(yè)現(xiàn)有安全體系進行結合,從而構建全新的“信任判決”機制。在安全邊界漸漸消失的前提下,構筑基于“信任”和“風險”為核心的全新邏輯邊界�����。
就以訪問控制為例,如果某一個賬號要對業(yè)務和系統(tǒng)進行訪問,那么就需要驗證“人”和“設備”的身份�。
在“深信服精益信任”體系里,企業(yè)可以通過原有移動設備上的EMM�����、移動控制終端的插件���、PC和服務器上的EDR插件等傳統(tǒng)設備,把人和設備的身份信息接入到信任控制中心里,在進行綜合性的評估以后,將訪問策略下發(fā)到網(wǎng)管控制系統(tǒng)里放通�。
而在訪問過程中,企業(yè)還可以結合已有的內(nèi)網(wǎng)流量檢測等設備,對訪問過程中所產(chǎn)生的行為����、流量以及發(fā)生的事件和風險進行持續(xù)不斷的檢測,通過閉環(huán)不斷生成全新的訪問控制策略。
這樣一來,整個“深信服精益信任”的體系就包括了內(nèi)網(wǎng)設備�����、服務器資源、內(nèi)網(wǎng)流量檢測設備��、傳統(tǒng)防火墻�����、身份管控����、CA設備以及終端管控等設備的參與,“深信服精益信任”與企業(yè)已有的安全體系完美結合,共同實現(xiàn)對信任和風險的評估與管控�����。
在深信服看來,對于一家企業(yè)來說,如果一項新技術的落地需要企業(yè)將所有模塊重新開發(fā),這是完全不現(xiàn)實也不合理的�����。因此,深信服通過解耦“精益信任”和業(yè)務系統(tǒng)本身的關系,將企業(yè)已有的成熟產(chǎn)品,經(jīng)過開發(fā)、升級或是迭代,共同進行接口的統(tǒng)一,讓安全人員在不改變習慣的前提下進行一些簡單的創(chuàng)新,就可以形成合力,完成整個精益信任的平臺和架構。
就好比不同于一位女士需要更換整套服飾和妝容才能夠增加美貌與氣質(zhì),“深信服精益信任”只需要在女士原有穿著的基礎上,添置一件絲巾,就可以做到改頭換面的修飾���。
而對于企業(yè)來說,相對于更換一整套行頭,一件絲巾的價格,顯然便宜與容易了很多�。
寫在最后
站在深信服“讓IT更簡單�����、更安全�����、更有價值”的理念來看,一項新技術的產(chǎn)生,一定是會為企業(yè)帶去價值而不是新的問題��?�;凇靶湃巍?我們要把對它的驗證變得更簡單;基于“風險”,我們要把它控制得更加安全�����。
因此,深信服提出“精益信任”,用一個簡單的��、高度工程化的產(chǎn)品,替政府�、企業(yè),尤其是中小用戶解決當前所面臨的安全邊界消失帶來的風險與挑戰(zhàn),替用戶控制風險�����、解決問題。
在對安全趨勢和技術的理解上,深信服在全球范圍內(nèi)率先推出IPSec/SSL二合一VPN網(wǎng)關�、定義了上網(wǎng)行為管理品類;在國內(nèi)率先推出下一代防火墻、云安全資源落地���。
根據(jù)IDC和Frost&Sullivan的統(tǒng)計結果顯示,深信服的硬件VPN���、SSL VPN、上網(wǎng)行為管理����、下一代防火墻等多款產(chǎn)品,多年來位列市場前茅。同時,深信服檢測技術創(chuàng)新還得到了Google認可,并被邀請加入了全球情報聯(lián)盟VirusTotal;深信服下一代防火墻更是獲得國際權威安全檢測機構ICSA的認證�。
每一次超前的眼光,最終都得到了市場的驗證。
所以,我們更有理由相信,即便城墻已經(jīng)倒塌,“深信服精益信任”卻能用一種簡單的�、快捷的、可落地的方式,重新構建面向未來有效保護的安全邊界,讓每個用戶都可以重新找回“安全感”����。
