思福迪SAFETY零信任安全访问系统_零信任安全网_软件定义边界SDP

思福迪SAFETY零信任安全访问系统

思福迪SAFETY零信任安全访问系统，零信任网关与资产隐身不可见，防止嗅探及DOS攻击，从任何访问来源或资产之间访问，均需进行SPA认证。基于访问关系，动态检测与分析访问客体（账号、设备、IP等）与访问主体的特征，进行动态权限回收，确保最小权限原则。

立即咨询

零信任的需求与历史

网络边界模糊化

随着云计算、大数据、物联网、移动办公等新技术与业务的深度融合，网络安全边界也逐渐变得更加模糊，传统边界安全防护理念面临巨大挑战。

传统安全架构缺陷

传统的网络安全架构理念是基于边界的安全架构，把网络划分为外网、内网、DMZ 区等不同的区域，然后在边界上部署防火墙、入侵检测、WAF 等产品。这种网络安全架构假设或默认了内网比外网更安全，不法分子一旦突破企业的边界安全防护进入内网，会像进入无人之境，将带来严重的后果。

零信任的理念

三个核心观点

1.不再以一个清晰的边界来划分信任或不信任的设备 2.不再有信任或不信任的网络 3.不再有信任或不信任的用户

五个基本原则

1.应该始终假设网络充满威胁； 2.外部和内部威胁每时每刻都充斥着网络； 3.不能仅仅依靠网络位置来确认信任关系； 4.所有设备、用户、网络流量都应该被认证和授权； 5.访问控制策略应该动态地基于尽量多的数据源进行计算和评估。

零信任的思路

零信任的技术

S: SDP(软件定义边界)

Software Defined Perimeter
基础设施隐藏

减少Dos攻击

检测错误包

防止越权访问网络

应用程序和服务访问控制

I:IAM(增强的身份管理)

Enhanced ldentity Governance
MFA（多因子身份认证）

SSO（单点登录）

动态访问控制

风险识别

用户行为审计

M: MSG(微隔离)

Micro-segmentation
访问权限隔离

访问权限可视化

统一访问策略管理

合规需求

身份鉴别

应对登录网络设备、操作系统和数据库系统的用户进行身份鉴别；身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

访问控制

应启用访问控制功能，依据安全策略控制主体对客体的访问规则；应授予管理用户所需的最小权限，实现管理用户的权限分离；访问控制的细粒度应达到主体为用户级或进程级，客体为文件、数据库表级别；应对重要主体和客体设置安全标记，并控制主体对有安全标记资源的访问。

安全审计

应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；应对审计进程进行保护，防止未经授权的中断。

产品理念

身份鉴别

用户在访问业务之前，必须经过基于SPA认证、PKI机制、MFA认证、设备认证，终端与环境检测等方式，才能访问授权业务。

资产隐匿

零信任网关与资产隐身不可见，防止嗅探及DOS攻击，从任何访问来源或资产之间访问，均需进行SPA认证。

持续性验证

所有访问请求使用TLS加密，验证每一个访问请求和数据包，确保身份和访问权限的有效性。

最小权限授权

用户只能访问授权IP、端口、账号，资产之间相互隔离，只允许信任关系访问。

实时访问分析

基于访问客体（账号、设备、IP等），实时检测设备、环境、IP、访问主体等变化及敏感内容的检测与越权行为分析，进行预警或者阻断。

动态信任评估

基于访问关系，动态检测与分析访问客体（账号、设备、IP等）与访问主体的特征，进行动态权限回收，确保最小权限原则。

产品架构

访问流程

统一认证管理

访问授权控制

用户
基于用户与用户组.

设备
基于设备系统、HOSTNAME、补丁状态、进程状态及端口监听状态

目标
基于目标IP、端口、URL、账号等

环境
基于用户登录区域，IP

时间
基于访问时间

权限回收
基于时间，将长时间未访问的权限回收，确保最小权限原则

终端环境检测

设备认证

检测设备系统类型、HOSTNAME、UUID，并与登录用户匹配，如若不是该用户信任设备无法登录

补丁检测

可设置补丁检测，检测到系统有未修复补丁，可进行修复，如若超出更新期限未修复，则回去不允许登录

进程监控

可设置必备进程监控，检测系统是否启用规定进程，如防火墙、杀毒软件、DLP、EDR等，如未启用则不允许登录

端口监控

可设置高危端口监控，检测系统是否有开启高危端口，如3389、445、135、139等，如若开启则不允许登录

WEB应用代理

功能限制

WEB水印，水印防删，禁止右键，禁止选中，禁止F12

单点登录

表单代填，Oauth2.0认证

敏感信息

关键字过滤，文件类型过滤，文件内容过滤，预警与阻断

加密通信

TLS加密代理，HTTP均转为HTTPS

负载均衡

DNS轮询，IP-HASH算法

资产安全管控

远程办公

客户诉求

服务资源在内网+云端，希望一体化解决方案，适用开发、测试、运维，方便所有人方案，支持WEB/非WEB，安全性要高，满足合规，不希望用VPN把员工机器带入内网，不把服务资源暴露在公网。

产品功能

客户端，零信任网关， 2FA， SSO，用户管理，访问控制，设备管理，动态策略，加密通讯。

应用效果

体验大大提升：帮助客户从LDAP用户密码转化成钉钉扫码，打通SSO，所有应用再也不用密码，企业应用门户，方便用户访问后端资源，不改变用户使用习惯和应用端口。安全性大大提高：服务资源隐身，满足合规要求。各种应用的暴力破解、弱密码等账号安全问题彻底解决。缓解0DAY攻击，非组织架构成员不能接触服务资源。成本大大降低：不需要改造网络，不需要改造应用。

护网行动

客户诉求

服务资源在内网或云端，适用开发、测试、运维，安全性要高，要防得住攻击，要防得住0DAY。

产品功能

客户端，零信任网关， 2FA，用户管理，访问控制，设备管理，动态策略，加密通讯，资产微隔离。

应用效果

安全性大大提高：资产隐匿防嗅探，拒绝一切不受信的访问，缓解0DAY攻击，杜绝弱密码和暴力破解，保护应用安全，对组织架构成员访问行为跟踪审计及分析。成本大大降低：不需要改造网络，不需要改造应用。

业务外包

客户诉求

基本安全要得到保障，防攻击、防暴力，满足等保2.0合规，体验要好，订单数据审计，敏感数据预警、追踪、审计。

产品功能

客户端，零信任网关， 2FA，用户管理，访问控制，设备管理，动态策略，加密通讯，敏感数据检测。