作为国内领先的网络安全厂商,迪普科技始终对前沿技术和创新应用保持着敏感与好奇心,早在2019年就积极投入了零信任安全架构的探索之中并研发推出了基于零信任安全架构的迪普科技ZTS系列产品。
迪普科技零信任之路
所谓先修内功,再练外功,今年,迪普科技搬进了自己的新大楼,藉由公司搬迁的契机,ZTS系列产品在公司进行了全面上线和使用,这次上线使用不仅将加强公司网络的安全性,也肩负着从内部更好地检验公司产品的重要使命。
迪普科技效仿谷歌BeyondCorp架构,对公司网络进行全面安全升级,并结合业务实际,从软件、硬件支持,到验证、识别方式,积极探索更加符合中国用户需求、更普适的零信任网络安全架构。
迪普科技零信任方案的上线经历了由远程接入到内网准入、由业务部门到研发中心、由总部到各分支机构的全面改造,达成了全公司1700多人、超10类3000多台终端的安全上线任务目标,将原有内网的准入及VPN产品全部替换成ZTS产品,实现了内外网用户的统一身份和权限管理以及对终端接入的集中安全管控。
零信任改造关键策略
安全识别设备
要实现设备的安全可控,最直接的方式是企业集中采购并管理,但对大部分驻外及出差人员来说,个人设备接入是普遍需求,这就需要安全产品能够准确识别各种终端并有效进行管控。
迪普科技ZTS客户端目前可以适配Win、Linux、Android、iOS、鸿蒙、UOS、麒麟等十几种不同操作系统的终端,基于用户软硬件环境计算生成唯一性设备ID,可全面实现精细化的安全管控。
安全识别用户
要准确识别用户身份,需要考虑两方面,一是用户身份的真实性,二是验证来源的可靠性。
迪普科技ZTS管理平台可通过防重放、用户行为分析、用户画像分析等手段保障用户身份真实性,阻止仿冒终端,通过MFA多因素身份验证,有效保障用户身份的合法性和验证来源的可靠性。
消除基于网络位置的信任
传统基于边界的网络安全架构往往假设或默认了内网是安全的,通过防火墙、WAF、IPS等产品与方案对企业网络出口进行重重防护,然而随着“云大物智移”的快速发展,网络安全边界越来越模糊化,新的安全问题和隐患也随之而来。
迪普科技ZTS系列产品采取不区分内外网,以身份和接入环境建立动态边界的网络架构,任何设备必须通过动态认证和授权评估获取可信身份来访问授权内企业应用,实践了ZTS Anywhere的零信任网络安全架构。
应用和工作流公网化
企业应用需要对外提供服务时,庞大的用户访问可能导致设备超负荷运行,用户访问权限也需进行区分以应对不同业务需求,不仅接入终端自身的安全性需要确保,安全设备本身也应具备防护攻击的能力。
迪普科技零信任系统通过多网关模式进行负载分担,保障设备稳定运行;通过细颗粒度的权限管理机制保障访问的精细化管控;通过健康检查机制保障终端的安全性;最后严格按照SDP 2.0标准,通过SPA单包敲门有效避免遭遇DDoS攻击等威胁的可能。
实现基于设备清单的访问控制
由于安全环境不是一成不变的,应用的访问权限也应及时适应改变,访问权限的调控必须贯穿于整个访问周期中。
迪普科技ZTS系列产品引入了信用分数和安全等级机制,通过实时的终端信息采集、分析动态调整用户的信用分数,信用的评估维度包括终端自身的安全情况、终端所处的网络安全环境、用户的信用评价以及行为等多个方面。
除此之外,为了能够让终端安全实现一体化,迪普科技ZTS客户端还可扩展集成病毒查杀、桌面管理、EDR等安全能力,客户可以根据需求自主选择是否静默安装终端安全组件,为用户提供更加灵活的零信任安全解决方案。
未来,迪普科技会逐步将自身的实践需求赋予产品本身,持续完善ZTS系列产品,助力更多用户进行零信任安全架构改造,践行“让网络更简单、智能、安全”的使命。