亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

隨著企業(yè)數(shù)字化的升級加速，傳統(tǒng)網(wǎng)絡(luò)邊界成為新的安全困境，網(wǎng)絡(luò)邊境急需一種全新的網(wǎng)絡(luò)安全架構(gòu)來應(yīng)對現(xiàn)代復雜的企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，白山云基于零信任的安全架構(gòu)應(yīng)運而生。作為創(chuàng)新的邊緣云服務(wù)提供商，白山云整合企業(yè)現(xiàn)有邊緣云平臺的安全能力，以安全可靠的零信任安全架構(gòu)產(chǎn)品方案為日益嚴峻的網(wǎng)絡(luò)威脅形勢帶來了安全最優(yōu)解。

傳統(tǒng)安全防護“守成者”危機四伏

傳統(tǒng)防護體系基于“邊界”構(gòu)建，默認邊界以內(nèi)，人、設(shè)備、系統(tǒng)與網(wǎng)絡(luò)環(huán)境均可信；邊界以外，均不可信。然而由于新場景層出不窮，傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)在日益嚴峻的新挑戰(zhàn)下險象環(huán)生。

內(nèi)部風險：傳統(tǒng)安全訪問控制采用粗粒度授權(quán)，攻擊者一旦進入內(nèi)網(wǎng)，企業(yè)則無法應(yīng)對其在內(nèi)部的橫向攻擊；同時內(nèi)部“合法用戶”的威脅，也否定了基于邊界區(qū)分是否“可信”的有效性。

外部風險：云計算、物聯(lián)網(wǎng)、遠程辦公等技術(shù)落地，各類應(yīng)用分散部署在不同公有云、私有云及本地IDC。越來越多的應(yīng)用在網(wǎng)絡(luò)邊界暴露業(yè)務(wù)端口，增加了數(shù)據(jù)暴露面，被攻擊風險大幅上升。

安全管理難度大、IT建設(shè)效率低：通過堆疊部署不同維度的安全產(chǎn)品建立的統(tǒng)一安全邊界，其“創(chuàng)可貼式安全”提升了IT復雜性，導致網(wǎng)絡(luò)管理難度加大。

為應(yīng)對傳統(tǒng)邊界防護面臨的風險及挑戰(zhàn)，網(wǎng)絡(luò)安全建設(shè)亟需新架構(gòu)加持，于是強調(diào)“永不可信，始終驗證”的零信任理念備受關(guān)注。

零信任理念正在成為“破局者

所謂零信任架構(gòu)(Zero-Trust Architecture (ZTA))，其實是一種網(wǎng)絡(luò)安全范例，原理是假設(shè)網(wǎng)絡(luò)上始終存在著威脅，其立場是保護網(wǎng)絡(luò)上的資產(chǎn)，而非網(wǎng)絡(luò)本身。由于它與用戶有關(guān)，代理機構(gòu)根據(jù)從應(yīng)用、位置、用戶、設(shè)備、時間、數(shù)據(jù)敏感性等綜合因素計算出的風險狀況，決定是否批準每個訪問請求。正如其名稱所示，ZTA是一個架構(gòu)，而非產(chǎn)品，但可以從架構(gòu)內(nèi)的技術(shù)手段中尋求進一步的開發(fā)。

作為新一代網(wǎng)絡(luò)安全防護理念，零信任并非單一的安全技術(shù)或產(chǎn)品。其目標是降低資源訪問過程的安全風險，防止未經(jīng)授權(quán)的資源訪問；核心是打破信任和網(wǎng)絡(luò)位置的默認綁定關(guān)系。零信任將防護從依靠網(wǎng)絡(luò)邊界的“馬奇諾防線”向個體保護目標收縮，把防護重心從網(wǎng)絡(luò)轉(zhuǎn)移到資源本身。

行業(yè)普遍認為零信任架構(gòu)需遵循以下原則：

始終假定網(wǎng)絡(luò)是危險的；

始終警惕存在外部和內(nèi)部威脅；

僅憑網(wǎng)絡(luò)位置，不足以決定網(wǎng)絡(luò)信任度；

所有設(shè)備、用戶和網(wǎng)絡(luò)流量均需經(jīng)過檢查、身份認證和授權(quán)；

策略必須是動態(tài)的，并基于盡可能多的當前狀態(tài)信息得出。

白山云零信任理念實踐

參考零信任架構(gòu)體系，白山云零信任產(chǎn)品方案也從控制平面和數(shù)據(jù)平面兩方面實現(xiàn)：

控制平面：收集各個節(jié)點的檢查結(jié)果，通過策略引擎進行持續(xù)信任評估和分析決策，最終根據(jù)決策結(jié)果判斷下一步訪問請求的動作；

數(shù)據(jù)平面：通過在用戶設(shè)備上安裝的客戶端對設(shè)備進行安全檢查，確保設(shè)備接入的安全性；同時將流量引至白山云邊緣節(jié)點，發(fā)揮邊緣節(jié)點所具備的安全能力，對過往流量進行檢查過濾，阻斷惡意請求；另一部分訪問流量則通過身份認證和權(quán)限識別后，最終訪問授權(quán)應(yīng)用。

基于兩大平面進行五項判斷，完成可信性確認與動態(tài)信任評估：

確認設(shè)備可信：基于客戶端、第三方安全檢查產(chǎn)品進行設(shè)備安全檢查，確認接入設(shè)備是否可信；

確認行為可信：在邊緣節(jié)點先行檢查所有流量，并結(jié)合威脅情報與惡意軟件分析技術(shù)，實現(xiàn)針對惡意請求和內(nèi)容的阻斷，同時將相關(guān)訪問行為記錄上傳策略引擎持續(xù)分析，確保行為可信；

確認身份可信：結(jié)合身份管理組件，對每一個訪問請求進行持續(xù)身份認證，保證授權(quán)訪問應(yīng)用的身份可信；

確認應(yīng)用可信：授權(quán)訪問應(yīng)用隱藏至白山邊緣后端，實現(xiàn)應(yīng)用完全隱身；

動態(tài)信任評估：UEBA引擎基于環(huán)境/行為/身份等信息進行持續(xù)信任評估，動態(tài)調(diào)整訪問權(quán)限；

借助零信任理念，白山云幫助企業(yè)實現(xiàn)動態(tài)控制與授權(quán)、資產(chǎn)集中管控、降低IT復雜度，全面強化安全能力建設(shè)。

通過零信任安全架構(gòu)產(chǎn)品方案，白山云不僅能幫助企業(yè)提升了效率，還實現(xiàn)了應(yīng)用在任意網(wǎng)絡(luò)環(huán)境中的可信訪問。目前白山云的邊緣服務(wù)已經(jīng)涉及各行各業(yè)，接下來也將繼續(xù)推進零信任實踐，持續(xù)完善跨行業(yè)、跨場景的網(wǎng)絡(luò)安全解決方案。