通過將“信任評估”�����、“訪問授權(quán)”和“持續(xù)監(jiān)測”三個環(huán)節(jié)形成閉環(huán),在對“人”和“設(shè)備”身份的初步認(rèn)證之后,持續(xù)性對“風(fēng)險”和“信任”予以管控����。
在終端安全評估方面,“深信服精益信任”體系首先通過客戶端或?yàn)g覽器對訪問設(shè)備的安全狀況進(jìn)行檢測,而后在“零信任”訪問控制系統(tǒng)中根據(jù)設(shè)備所提交的認(rèn)證和環(huán)境信息,判斷可能產(chǎn)生的安全風(fēng)險;最后,控制系統(tǒng)根據(jù)反饋的評估結(jié)果,按照策略動態(tài)地對訪問終端進(jìn)行授權(quán)�。
對于“人”的身份認(rèn)證和管理,“深信服精益信任”采用多因素認(rèn)證的方式,加強(qiáng)認(rèn)證策略;并在身份生命周期內(nèi)做好維護(hù)和更新,避免用戶因重復(fù)認(rèn)證而使得身份認(rèn)證這一程序變得麻煩與繁瑣。
在獲取“人”和“設(shè)備”兩端的信息以后,根據(jù)訪問者的身份和所使用設(shè)備的屬性來判斷其所處的安全等級,映射到應(yīng)用服務(wù)資源的分級當(dāng)中,最終確定可以授予的訪問和控制權(quán)限��。
在授予完權(quán)限以后,“深信服精益信任”還會對訪問者的行為和流量走向進(jìn)行全局實(shí)時的采集與檢測,根據(jù)行為和流量判斷訪問者是否有違規(guī)操作產(chǎn)生,并劃分威脅等級,及時對接訪問控制系統(tǒng),實(shí)施調(diào)整信任等級�����、控制接入和訪問權(quán)限,防止惡性事件的發(fā)生��。
總的來說,“深信服精益信任”是一種對于“零信任”的延伸。在“零信任”對“人”和“設(shè)備”建立了初步信任以后,將信任在后續(xù)予以控制,形成基于風(fēng)險和信任的可持續(xù)的�����、動態(tài)的反饋閉環(huán)控制,在業(yè)務(wù)不斷產(chǎn)生風(fēng)險的同時,既不打擾業(yè)務(wù),也可以持續(xù)通過“信任”來規(guī)避風(fēng)險��。
除此以外,像政務(wù)云�����、公安數(shù)據(jù)中心這類對內(nèi)對外都要提供訪問支持且頻繁�、復(fù)雜的場景,“深信服精益信任”還能夠在每一個訪問流量中加入身份標(biāo)識,防止針對應(yīng)用系統(tǒng)和數(shù)據(jù)的內(nèi)外部攻擊;同時對身份進(jìn)行更加精細(xì)化、動態(tài)化的集中管控和認(rèn)證,讓偽造身份更加困難;
最后,實(shí)現(xiàn)端點(diǎn)����、邊界、內(nèi)網(wǎng)的自動化聯(lián)動,讓運(yùn)維更加便捷�。
為什么深信服“精益信任”可以落地?
前文說到,國內(nèi)之所以無法復(fù)制Google BeyondCorp的成功,是因?yàn)镚oogle BeyondCorp需要對企業(yè)的IT部署進(jìn)行大規(guī)模的改造,甚至需要替換大量已經(jīng)購買的安全產(chǎn)品和設(shè)備。
站在用戶的角度來看,深信服認(rèn)為一款產(chǎn)品能夠成功實(shí)現(xiàn)落地的前提,應(yīng)該是盡可能利用企業(yè)現(xiàn)有的工具��、資源和設(shè)備,延續(xù)此前積累的使用習(xí)慣,在不對用戶習(xí)慣做嚴(yán)重調(diào)整的情況下,使其接受一種新的概念,享受新技術(shù)帶來的效果�����。
因此,“深信服精益信任”的出發(fā)點(diǎn),就是在滿足用戶使用習(xí)慣和國內(nèi)安全產(chǎn)品發(fā)展形勢的前提下,與企業(yè)現(xiàn)有安全體系進(jìn)行結(jié)合,從而構(gòu)建全新的“信任判決”機(jī)制�。在安全邊界漸漸消失的前提下,構(gòu)筑基于“信任”和“風(fēng)險”為核心的全新邏輯邊界。
就以訪問控制為例,如果某一個賬號要對業(yè)務(wù)和系統(tǒng)進(jìn)行訪問,那么就需要驗(yàn)證“人”和“設(shè)備”的身份。
在“深信服精益信任”體系里,企業(yè)可以通過原有移動設(shè)備上的EMM���、移動控制終端的插件��、PC和服務(wù)器上的EDR插件等傳統(tǒng)設(shè)備,把人和設(shè)備的身份信息接入到信任控制中心里,在進(jìn)行綜合性的評估以后,將訪問策略下發(fā)到網(wǎng)管控制系統(tǒng)里放通����。
而在訪問過程中,企業(yè)還可以結(jié)合已有的內(nèi)網(wǎng)流量檢測等設(shè)備,對訪問過程中所產(chǎn)生的行為����、流量以及發(fā)生的事件和風(fēng)險進(jìn)行持續(xù)不斷的檢測,通過閉環(huán)不斷生成全新的訪問控制策略�。
這樣一來,整個“深信服精益信任”的體系就包括了內(nèi)網(wǎng)設(shè)備、服務(wù)器資源��、內(nèi)網(wǎng)流量檢測設(shè)備����、傳統(tǒng)防火墻、身份管控���、CA設(shè)備以及終端管控等設(shè)備的參與,“深信服精益信任”與企業(yè)已有的安全體系完美結(jié)合,共同實(shí)現(xiàn)對信任和風(fēng)險的評估與管控����。
在深信服看來,對于一家企業(yè)來說,如果一項(xiàng)新技術(shù)的落地需要企業(yè)將所有模塊重新開發(fā),這是完全不現(xiàn)實(shí)也不合理的。因此,深信服通過解耦“精益信任”和業(yè)務(wù)系統(tǒng)本身的關(guān)系,將企業(yè)已有的成熟產(chǎn)品,經(jīng)過開發(fā)�����、升級或是迭代,共同進(jìn)行接口的統(tǒng)一,讓安全人員在不改變習(xí)慣的前提下進(jìn)行一些簡單的創(chuàng)新,就可以形成合力,完成整個精益信任的平臺和架構(gòu)��。
就好比不同于一位女士需要更換整套服飾和妝容才能夠增加美貌與氣質(zhì),“深信服精益信任”只需要在女士原有穿著的基礎(chǔ)上,添置一件絲巾,就可以做到改頭換面的修飾����。
而對于企業(yè)來說,相對于更換一整套行頭,一件絲巾的價格,顯然便宜與容易了很多。
寫在最后
站在深信服“讓IT更簡單�、更安全、更有價值”的理念來看,一項(xiàng)新技術(shù)的產(chǎn)生,一定是會為企業(yè)帶去價值而不是新的問題�。基于“信任”,我們要把對它的驗(yàn)證變得更簡單;基于“風(fēng)險”,我們要把它控制得更加安全��。
因此,深信服提出“精益信任”,用一個簡單的��、高度工程化的產(chǎn)品,替政府��、企業(yè),尤其是中小用戶解決當(dāng)前所面臨的安全邊界消失帶來的風(fēng)險與挑戰(zhàn),替用戶控制風(fēng)險�、解決問題。
在對安全趨勢和技術(shù)的理解上,深信服在全球范圍內(nèi)率先推出IPSec/SSL二合一VPN網(wǎng)關(guān)���、定義了上網(wǎng)行為管理品類;在國內(nèi)率先推出下一代防火墻����、云安全資源落地。
根據(jù)IDC和Frost&Sullivan的統(tǒng)計(jì)結(jié)果顯示,深信服的硬件VPN����、SSL VPN、上網(wǎng)行為管理�����、下一代防火墻等多款產(chǎn)品,多年來位列市場前茅����。同時,深信服檢測技術(shù)創(chuàng)新還得到了Google認(rèn)可,并被邀請加入了全球情報(bào)聯(lián)盟VirusTotal;深信服下一代防火墻更是獲得國際權(quán)威安全檢測機(jī)構(gòu)ICSA的認(rèn)證����。
每一次超前的眼光,最終都得到了市場的驗(yàn)證。
所以,我們更有理由相信,即便城墻已經(jīng)倒塌,“深信服精益信任”卻能用一種簡單的�����、快捷的��、可落地的方式,重新構(gòu)建面向未來有效保護(hù)的安全邊界,讓每個用戶都可以重新找回“安全感”���。
