云涌零信任安全管理平台
产品概述
云涌零信任安全管理平台基于先进的零信任理念即永不信任、始终验证原则,采用SDP软件定义边界网络安全架构,通过服务隐藏及单包敲门技术、细颗粒度最小授权管理及风险动态识别能力,通过微隔离、防数据泄漏等手段,提供安全可靠的网络接入与访问控制,打造平台级的身份与数据安全管控系统,重点解决企业远程网络接入安全,以及企业工业设备的南北向数据接入安全以及东西向数据访问安全。
产品可广泛应用于远程网络访问与授权管理、物联网数据上云、边缘计算设备安全管控等场景。
产品特点
服务隐藏与单包敲门
受保护的服务对未授权用户及设备完全不可见,无法通过端口扫描发现服务。 这些服务默认在互联网实现“隐藏“。严格的终端单包敲门机制, 确保只有认证过的用户及设备才能访问受保护服务。
服务隐藏技术可以有效防止端口扫描和tcp协议本身的漏洞攻击等,使黑客“无从下手”。
细颗粒度基于身份的访问控制,权限动态调整
基于身份的细颗粒度的访问权限控制,不同的身份赋予不同的访问权限。
同时系统会根据身份的登陆习惯变化(如时间、地理位置、网络等),并结合终端运行环境检测评级技术, 动态调整用户登录策略,始终控制用户的最小访问权限。
受保护页面的水印展示
云涌零信任可以为受保护的服务添加水印展示,展示信息包括当前用户姓名,手机号等。 水印信息及样式支持由管理员设置,并且由管理员决定哪些重要的服务需要展示水印。
页面水印作为数据防泄露的重要能力之一,可以有效的防止数据被拍照等手段窃取后的再次传播,方便溯源追查。
横向微隔离
云涌零信任可以保护边缘计算设备的身份安全与数据安全,使每个边缘网关成为独立的安全区段, 网关内业务服务受零信任平台保护。
同时平台可以动态建立网关间通过多因子认证的加密通讯隧道,保证东西向数据传输的安全性和稳定性。 隧道拓扑关系受平台管理员控制,遵循最小访问授权原则。
国密安全传输隧道
区别于传统网络接入产品的隧道,云涌零信任提供了更细颗粒度的服务级别的安全传输加密隧道。 隧道根据终端运行环境和用户身份安全评级实现动态建立和销毁,始终保持最小访问授权。
加密隧道支持国密双证书体系,兼顾高标准安全传输和政府监管需求。
国密支持GMTLS_SM2_WITH_SM4_SM3/GMTLS_ECDHE_SM2_WITH_SM4_SM3加密套件
物联网设备全生命周期管理
云涌零信任支持物联网边缘计算设备的安全接入与管理。从设备出厂的身份证书制作, 到设备激活、入网审批、状态监控、策略更新、设备停用、设备移除等,实现了基于设备的全生命周期管理。
考虑到边缘计算设备的运维特殊性,平台支持设备内服务及应用的远程部署及OTA自动升级,减轻了运维人员出现场的负担。
此外,平台还支持完整的设备证书OCSP流程,或快速对接客户已有CA证书管理体系, 从而实现证书颁发、更新、注销的全生命周期管理。