安全边界—零信任系统
浏览次数:122 分类:互联网安全
软件定义边界 (SDP) 产品,在终端上安装客户端后,能够实现管控终端、跨网联 通、应用隐身、物理单向、逻辑双向等诸多功能。通过实现人和应用一一对应认证授 权,把流量收束在指定的隧道中,更好的减少南北向对外暴露面和东西向内网横向移 动的问题,实现应用和应用之间的微隔离,确保用户在访问应用和数据的时候更加安全。
软件定义边界架构以用户为中心基于零信任构建身份认证体系,将架构分成控制 平面和数据平面两个逻辑域,架构由客户端、控制器和网关组成,构成了四个可信元 素:
可信身份:确保所有资源安全访问,基于身份实行严格的访问权限控制;
可信终端:确保入网的所有设备安全可控,满足且的安全基线(不论终端类型);
可信网络:应用级隧道、基于应用“按需授权”,最小授权原则;
可信应用:用用白名单,杜绝违规的应用访问企业资源,保证所有接入安全。
软件定义边界架构优势:
端口隐藏:通过SPA单包授权技术,关闭互联网上的所有TCP端口,不为潜在的攻击者 提供任何扫描和攻击机会,让企业服务从互联网上“隐身”; 持续的信任评估:在使用过程中,SDP仍会对终端安全及用户使用行为进行持续的风险 与信任评估,根据不同安全等级的要求,灵活动态的调整访问权限。 软件定义边界架构的核心理念是零信任,即永不信任,始终校验。随着企业上云/移动 办公导致的网络边界的模糊,SDP摆脱了传统的防火墙/VPN边界的局限,保证了用户 安全,从而保证数据的安全。
下一篇: 安全边界—下一代防火墙