¶ 1、产品简介
零信任安全理念默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。零信任对访问控制进行了范式上的颠覆,引导安全体系架构从网络中心化走向身份中心化,其本质诉求是以身份为中心进行访问控制。
SDP-软件定义边界系统作为零信任安全接入的最佳实践之一,其边界隐身机制、安全消减网络攻击的架构、易于网络扩展的特性、极易落地实施的优点得到了大多数致力于零信任体系构建的用户偏好。软件定义边界系统,最初由CSA提出,作为零信任的最佳实践推广使用。典型部件包含SDP客户端、SDP网关、SDP控制器。
SDP客户端预置SPA单包授权种子进行敲门认证。SDP控制器和网关将对无授权的终端完全网络隐身,扫描不到任何TCP或者UDP端口。SDP客户端负责采集客户端的安全状态,上报给SDP控制器,控制器根据安全评分结果对用户的访问权限进行动态调整,触发二次认证等。SDP控制器是整个系统的决策中心,提供账号和权限管理、信任评估中心,安全策略引擎等能力。提供了安全可视化大屏,进行集中的安全连接状态展示。
¶ 2、应用场景
在远程办公/运维场景中,用户通过PC、笔记本、手机或PAD在外网接入,终端侧部署安装SDP客户端(根据用户需求内置EDR终端模块)。在边界接入区部署SDP控制器、SDP网关。
将所有的访问控制流量通过路由导向SDP网关,将所有应用隐藏在SDP网关后,理论上应用服务器不接收除SDP网关外的其它链接。SDP控制器在外网地址可见。SDP网关地址、端口由SDP客户端与控制器联动认证通过后按需动态开放。用户权限将根据用户身份和行为实时打分,并动态调整。
¶ 3、功能特点
- **网络隐身:**SDP可将被保护的资源隐藏,外网不可见,极大降低了网络暴露面,有效缓解多种网络攻击。
- **国际国密双算法引擎:**SDP系统内置国际国密双算法引擎,符合国家密码局相关技术规范,可以通过密码应用评估检测。
- **融合一体化客户端引擎:**SDP客户端内置融合EDR、终端DLP、认证、加密的系统模块,适应各种移动和国产化操作系统。
- **持续信任评估:**SDP客户端实现深层次的信任评估机制,并支持对接入主体信任度打分,为生成动态访问控制策略提供决策依据。
- **动态访问控制引擎:**SDP控制器可根据信任评估结果生成动态的访问控制策略,对信任度发生变化的主体执行强制下线、升权、降权等访问控制操作。
- **安全可视化展示:**SDP控制器支持安全接入可视化展示,统一展示客户端在访问资源全过程的安全态势,产品防护效果等,可以作为日常运维的抓手。
¶ 4、用户价值
1、以SDP零信任安全接入为开端,践行零信任安全理念;
2、使用标准的国家商用密码算法,满足等级保护合规性要求,满足等级保护和密码应用安全性测评网络安全接入的要求;
3、实现用户业务系统的网络隐身,先认证后访问,在HW等场景中极大地减小暴露面,防止系统被攻破;
4、持续、全面的安全检测,动态地调整用户权限。将用户终端状态、访问行为、外部威胁情报等安全态势及时响应;
5、SDP客户端将EDR/DLP/桌管/杀毒等端侧安全能力多合一,控制器可以对接业界主流厂商的IAM、PKI系统,极大的降低用户部署成本,提高部署效率。