持安零信任 | 改变攻防不对称的局面

持安科技

于 2022-07-23 23:19:56 发布

阅读量218

点赞数

文章标签：系统架构

本文链接：https://blog.csdn.net/chiansec_/article/details/125954241

版权

在每一个实战攻防演练的安全事件中，往往藏着很多委屈。因为这不是一场平等的对抗。攻击方失败100次只要成功1次，就旗开得胜。而对防守方来讲，哪怕成功100次，只要失误1次，就是前功尽弃。

对企业安全负责人来讲，买入了很多安全产品，花了公司不少预算，带着一众安全团队，关键时刻没有守住自己的防线。

对企业管理者来讲，团队在安全上投入了人力物力，做了N多个方案，安全培训很多次。这还是其次，更可能以后的每一年，这一事件可能变成经典案例，定时公开处刑。

而业务人员也很难，本来自身的工作已经亚历山大，还要时刻惦记着别被钓鱼，别出安全事故。左一个右一个的安全系统，已经让工作很复杂了。要是再出了影响业务连续性的事件，饭碗不保。

明明每个人都很努力，为什么结果总是不尽如人意？因为个体的努力无法改变整个系统的迟钝和滞后，旧的网络安全产品捉襟见肘，企业安全建设呼唤新产品、期待新理念！

零信任架构的出现及演变之路

2010年：Zero trust Network Architecture（ZTNA）

总结：2010年的ZTNA可以是对传统网络安全模型的一次升级更新，只在网络层面上划分的更细，功能整合的更多，和现在我们所谈的零信任架构的核心思想还是有比较大的区别的。

2014年：Google Beyondcorp Project

BeyondCorp组件和访问流程

总结：2014年谷歌BeyondCorp的落地，被认为是业界第一次落地零信任理念。验证了零信任理念在大型系统内的可行性，并体现了其对企业业务与安全方面的价值。

2015年，完美世界零信任项目落地运营

2015年完美世界开启内部的零信任调研与实践，参考Google BeyondCorp ，核心思想同样是建立基于用户、设备、应用的三者信任链，以及动态的安全评估机制，在架构设计上按照分层思想设计，即在网络层、主机层、应用层上分别设有三套独立的系统，系统可以独立其他系统运行，也可以系统之间进行联动，通过联动来实现更强的安全防护能力。

总结：2020年新冠疫情，零信任在完美世界远程办公、混合办公期间发挥了重要作用，保障了企业复工复产的有序开展。

2021年至今，持安零信任多个项目落地

2021年，原完美世界安全负责人何艺创业成立持安科技，主要产品持安零信任平台，在架构上参考了Google的BeyondCorp，同时结合团队20年甲方安全经验，10余年攻防对抗及数据安全经验，充分调研国内企业安全建设场景，结合在完美世界成功落地零信任的经验，七年磨一剑，打造出行业顶尖的平台级产品——持安零信任平台。

持安零信任平台架构

持安科技将零信任作为企业办公网络的基础平台，团队自主研发微服务、模块化的原生零信任架构，具有高弹性、可扩展等优势，根据甲方安全状态的建设情况不同，为其匹配复杂办公环境下的零信任安全解决方案。

具体到产品部署层面，持安零信任核心思想是建立以身份为中心，贯穿企业网络-应用-资源-数据全链路安全网络，通过网关、终端、控制中心，与甲方原有的安全产品联动，形成一体化的零信任安全网络。

其重点在于，将安全能力隐藏在员工日常使用的办公平台之中，减少员工因为多系统、复杂密码、带宽卡顿等导致工作效率低下的问题，通过为业务及员工赋能的方式，保障企业办公安全。

持安零信任网关，解决企业在国内外、SaaS、公有云、私有云、IDC等不同访问途径的安全问题。通过独立式或上云部署等方式，部署在业务访问之前，实现业务隐身。同时网关还拥有网络层、应用层、数据层全链路的零信任能力。

持安轻量化、高性能零信任终端，是零信任可信验证的核心能力之一，除了包含基础的零信任接入能力外，还拥有全方位的安全感知能力，动态安全检测、终端安全处置和修复能力等，可使业务数据加密传输，始终检测、保护终端的安全。

持安零信任控制中心可为用户的每一个请求施行零信任动态决策，还可以与企业现有的第三方安全产品融合，通过联防联控。

此外，作为国内第一个真正以甲方身份创业的零信任厂商，持安科技积累了较为完备的零信任运营能力，可以协助甲方持续精细化运营，通过零信任平台承载业务，并在零信任运营过程中不断优化、提升零信任平台与企业不同场景下的贴合度，简化工作流程，提升安全效能，让普通员工、安全部门、企业高管均能在接入零信任系统后受益。

持安零信任理念的防守优势

持安攻防演练解决方案经过真实攻防实战考验，从甲方视角出发，以零信任最佳实践的方式实施，无论是攻防演练期间还是普通办公期间，员工都可使用同样的方式办公，不再区分内、外网，以身份为中心，遵循最小权限原则持续动态的访问控制，可以在有效保障企业业务与核心数据安全的同时，简化工作流程，提高效率。

零信任的防护特点

用户每一次对企业办公系统的访问，都需要回答三个来自零信任的灵魂拷问，即“你是谁？你在哪？你要做什么？”，这也是零信任在防守时的优势所在。

第一，零信任的鉴权过程不仅仅基于账号及其地理位置，而是基于用户、设备、应用三者的权限关系额综合判定，而只有被验证用户、设备环境、应用皆可信的数据包，才能够正常通过认证体系，访问到受零信任保护的资源；

第二，用户每次资源访问申请，零信任都会重新对以上三个方面鉴权，通过后方可访问；

第三，终端实时监测用户安全状态，一旦感应到威胁，即时阻断并发送到对访问行为做留存以备日后查验；

第四，用户的每一次行为、动作都会被零信任记录下来，一旦发生安全事件，零信任可完成全链路溯源与审计。

持安零信任产品的优势

· 技术优势

原生平台化的弹性架构，可实时根据企业现状调整策略，且支持随时横向或纵向扩容；
产品具备网络-应用-资源-数据，全阶段零信任能力；
基于身份的全链路数据溯源能力；
集群分布式部署，具备高可用及可扩展性。

· 安全优势

安全一体化：一套控制台集中管控所有应用系统，可以制定丰富灵活的客户端安全策略，梳理内网应用；
漏洞防护：用户访问业务系统之前，先经过零信任平台的可信验证，同时平台可对系统内存在的漏洞进行URI级别的精准防护；
行为安全监测及异常行为监控：收集的信息通过分析关联恶意样本的行为进行全面的分析检测，此外，对用户终端的异常行为进行全面的溯源排查与监控分析；
安全融合：与企业原有的安全产品融合，不改变原有的使用习惯，业务权限管控，每一次访问的过程均可以记录基于身份溯源的访问日志，能够提供基于身份的日志溯源能力；
安全审计：对用户行为或是安全分析溯源可以基于精准的身份而非传统的IP，还原用户所有行为轨迹；
数据安全：基于身份的终端敏感文件发现、终端敏感文件外发审计、应用敏感数据的识别、数据访问获取链路的可视化溯源的能力。

落地优势

全场景、全行业的覆盖能力：所有业务、所有员工上零信任，员工办公不区分内外网，实现零信任权限最小化、动态鉴权以及去静态密码化；
用户无感，业务无侵入式的接入能力：接入时不需要业务系统二次开发，使用时不会给业务带来网络卡顿、过多占用电脑内存、多系统多密码等问题；
零信任持续运营能力：持安零信任连续7年的落地使用，通过零信任平台打通安全其他系统，实现安全一体化，持续提供安全运营能力。

此外，为在客户服务时，持安为了保障零信任产品自身的安全性，做了诸多工作。团队组成方面，持安成立零信任攻防实验室及持安SRC，通过对内、对外公开招募征集、定向邀请等方式，提前检验、发现产品问题；在产品研发层面，持安产品基于DevSecOps理念，从代码开始最大程度保障持安零信任产品的安全性；在人员配备层面，持安科技安全攻防团队有着数十年的一线攻防经验，从攻防的角度，定期检测、发现产品自身的安全问题。

整个行业的盛会马上就要开始。

联系持安，一起过关。