开放企业网络全网零信任管控解决方案
安全挑战
数字化转型驱动企业IT架构发生巨变,BYOD灵活入网,远程办公灵活接入,业务系统分布于云端运行,企业网络呈现出前所未有的开放状态。
开放的企业网络为企业日常办公运营带来便利的同时,也引入了更大的风险。企业网络灵活接入、动态分布、全域互联的特点,使得办公网、数据中心的物理边界均被打破,传统安全方案有效性得以成立的必要条件已被动摇。
在当前的企业网络中,因业务开放性需要向访问者过度暴露,因IP地址不固定而不得不“大段放行”的安全配置比比皆是,而其带来的越权访问失控、攻击敞口过大是导致企业发生敏感数据泄露、恶意软件攻击、勒索病毒泛滥等攻击事件的一大主因。
解决方案
为解决当前企业网络内外边界破防、无法精细管控的难题,蔷薇灵动基于统一微隔离安全平台,超越性地在一个平台上实现了企业数据中心南北向业务访问和东西向服务调用的零信任管理,可为用户提供一站式全网零信任解决方案。基于对用户身份、应用标识、工作负载业务属性进行全局定义,在一张拓扑视图上穿透式展现用户、应用、工作负载间的连接关系,并通过业务访问策略和服务调用策略集,在一套策略框架内实现用户、应用、工作负载等业务资源的精细化分段隔离和白名单访问控制。同时,利用边学习、边梳理、边防护的策略模式设计,助力用户稳步、平滑实现传统网络架构向零信任架构的演进升级。
业务资源身份化管理:通过Windows AD、企业微信、钉钉等外部认证源的方式建立用户的身份管理机制,利用工作负载标签定义来确认其业务属性,并通过统一的身份管理机制建立全局身份及标签。
安全访问与应用隐身:通过加密隧道和身份验证等技术,为资源实体间建立安全的业务访问和服务调用通道,同时结合FakeDNS技术应用,在用户访问业务场景中实现对业务资源的对外隐身。
基于身份的策略管理:结合全局资源的身份,建立用户到业务以及工作负载之间的服务调用全路径安全策略,实现以数据中心为核心的全流向访问控制。
流量学习与策略推荐:通过对用户访问和服务调用流量的连接关系学习,以实现可视化视图的形式展示全局业务流量,加之策略设计并基于多种策略生效模式可辅助策略更平滑上线。
方案优势
灵活构建虚拟边界
通过分布于用户终端、工作负载的策略执行点,基于全局统一的身份管理空间,利用分发至各用户终端、工作负载的策略规则,以业务应用为单位,实现原子级细粒度的“近站”控制。
“去IP化”零信任管理
通过用户身份化、应用域名化、工作负载标签化的管理分层,为业务资源构建一套包括真人实体、非人实体和逻辑实体的全局互认身份空间,为零信任访问控制的实施提供基础条件。
全向流量可视可控
基于对用户访问应用和服务间调用的统一管理能力,能够在一个平台,基于一套策略实现穿透全程的业务应用访问可见性和覆盖南北向、东西向流量的完整零信任访问控制能力。
无需适配、平滑上线
基基于四层(L4)代理模式天然兼容全栈协议,支持多种应用发现模式和策略生效模式组合设置,通过边发现应用、边学习基线、边设计验证的渐进式建设方式实现零信任策略平滑上线。
用户价值
安全能力统一
通过对企业网络全网零信任流量管控能力,既覆盖了用户访问和服务调用全流量的访问控制,又兼顾了远程办公和BYOD终端办公安全接入的场景,实现了办公环境和数据中心的统管,解决多场景访问控制问题。
简化管理运维
通过一张拓扑实现基于业务视角的企业全网流量可视化视图,通过一套策略管理了南北向和东西向访问,通过一个平台实现了办公环境、数据中心流量的统一管理,有效简化了管理和运维的难度。
节省安全投资
完整访问控制能力可以在多场景中替代企业网内的域间防火墙、VPN 网关等多类(个)产品,并且纯软件、虚拟化的部署能够按需扩容、扩展,可免去硬件设备的投资和折旧。
