云涌零信任安全管理平台v3.0版本全面上线
近日,云涌零信任安全管理平台v3.0版本全面上线,该版本不仅在上一版本的基础上进行了优化迭代,而且还新增了一系列产品功能,让我们先睹为快。
产品基于先进的零信任理念即永不信任、始终验证原则,采用SDP软件定义边界网络安全架构,通过服务隐藏及单包敲门技术、细颗粒度最小授权管理及风险动态识别能力,通过微隔离、防数据泄漏等手段,提供安全可靠的网络接入与访问控制,打造平台级的身份与数据安全管控系统,重点解决企业远程网络接入安全,以及企业工业设备的南北向数据接入安全以及东西向数据访问安全。
云涌零信任基于SDP架构的安全矩阵
♦受保护的服务对未授权用户及设备完全不可见,无法通过端口扫描发现服务,这些服务默认在互联网实现“隐藏“;
♦严格的终端单包敲门机制,确保只有认证过的用户及设备才能访问受保护服务;
♦服务隐藏技术可以有效防止端口扫描和tcp协议本身的漏洞攻击等,使黑客“无从下手”。
零信任安全大脑及零信任网关均采用动态防火墙技术保护网络访问的安全性。系统默认拒绝一切访问,仅对合法身份“有限“的开放访问端口,且系统用于接收单包认证的端口本身实现动态漂移,更加减少了系统暴露的风险。
♦区别于传统的VPN单隧道模式,云涌零信任提供了服务级别颗粒度的安全传输加密隧道。加密隧道支持国密双证书体系,兼顾高标准安全传输和政府监管需求,密码算法和密钥交换支持
ECDHE_SM2_WITH_SM4_SM3,支持国产PKI;
♦国密隧道根据终端运行环境和用户身份安全评级实现动态建立和销毁,始终保持最小访问授权;
♦系统支持一个终端同时建立多个数据中心的访问隧道,用户无需切换账号即可安全访问多云业务资源。
云涌零信任持续侦测终端运行环境,包括操作系统环境及网络环境等。系统针对终端运行环境变化,依据安全基线策略及登录认证策略等,实时响应并触发不同级别的措施如MFA、告警或立即阻断等。
云涌零信任系统始终保证仅“合法”的本地应用才能访问业务服务。只有经过管理员授权的应用进程才可以通过TLS隧道传输数据。系统将应用与服务绑定,提高服务访问的安全性。
♦基于身份的细颗粒度的访问权限控制,不同的身份赋予不同的访问权限;
♦同时系统会根据身份的登陆习惯变化(如时间、地理位置、网络、设备更换等),并结合终端运行环境检测评级技术,动态调整用户登录策略,始终控制用户的最小访问权限。
云涌零信任安全管理平台既支持主流企业通讯录系统的数据导入与同步,也支持自建用户体系。实现了在一个平台对企业人员、部门以及角色组的统一高效管理。同时系统提供多种用户认证方式,全方位满足各种需求场景。
云涌零信任支持业务服务访问控制到API级别。系统提供API全生命周期管理,包括API创建、发布、运行、下线等。同时实现基于服务消费者访问API的身份鉴权、服务路由及流量监控等功能。
云涌零信任支持两种内网访问模式:基于接入网关的访问代理,以及基于云联网关+连接器的内网穿透。客户可以根据自身IT架构及实际需求选择适合的服务访问模式。两种模式可以同时存在。
♦云涌提供了基于零信任系统的网络攻击态势感知,管理端大屏展示从攻击源到攻击目标的实时态势;
♦系统还提供了基于用户使用行为的态势分析以及服务访问态势分析,均采用大屏方式方便领导审阅。
♦不同于远程桌面、像素流技术保证了本地终端不会接收任何远端协议类型的数据,实现了真正的数据隔离和协议隔离;
♦定制的静态系统镜像和网络策略防止木马和病毒下载、加载、钓鱼网站,跨站攻击、os注入等; 用后即焚的系统保证业务服务器每次都是接受来自一个最干净的客户端的访问;
♦网站访问受黑白名单策略限制;用户上网行为可审计、可追溯;附件上传下载受安全策略管控;
♦远程浏览器服务本身受零信任保护。端口隐藏,单包认证,持续审计,国密隧道连接;
♦数据不落地,浏览网页期间产生的数据被限制在虚拟容器内,无法拷贝、下载或分享到本地。为业务系统自动加载水印,保证了企业敏感数据的泄露风险。
♦云涌零信任可以保护边缘计算设备的身份安全与数据安全,使每个边缘网关成为独立的安全区段,网关内业务服务受零信任平台保护;
♦平台可以动态建立网关间通过多因子认证的加密通讯隧道,保证东西向数据传输的安全性和稳定性。隧道拓扑关系受平台管理员控制,遵循最小访问授权原则。