思福迪SAFETY零信任安全访问系统_零信任安全网_软件定义边界SDP

思福迪SAFETY零信任安全访问系统

思福迪SAFETY零信任安全访问系统，零信任网关与资产隐身不可见，防止嗅探及DOS攻击，从任何访问来源或资产之间访问，均需进行SPA认证。基于访问关系，动态检测与分析访问客体（账号、设备、IP等）与访问主体的特征，进行动态权限回收，确保最小权限原则。

立即咨询

零信任的需求与历史

网络边界模糊化

随着云计算、大数据、物联网、移动办公等新技术与业务的深度融合，网络安全边界也逐渐变得更加模糊，传统边界安全防护理念面临巨大挑战。

传统安全架构缺陷

传统的网络安全架构理念是基于边界的安全架构，把网络划分为外网、内网、DMZ 区等不同的区域，然后在边界上部署防火墙、入侵检测、WAF 等产品。这种网络安全架构假设或默认了内网比外网更安全，不法分子一旦突破企业的边界安全防护进入内网，会像进入无人之境，将带来严重的后果。

零信任的理念

三个核心观点

1.不再以一个清晰的边界来划分信任或不信任的设备 2.不再有信任或不信任的网络 3.不再有信任或不信任的用户

五个基本原则

1.应该始终假设网络充满威胁； 2.外部和内部威胁每时每刻都充斥着网络； 3.不能仅仅依靠网络位置来确认信任关系； 4.所有设备、用户、网络流量都应该被认证和授权； 5.访问控制策略应该动态地基于尽量多的数据源进行计算和评估。

零信任的思路

零信任的技术

S: SDP(软件定义边界)

Software Defined Perimeter
基础设施隐藏

减少Dos攻击

检测错误包

防止越权访问网络

应用程序和服务访问控制

I:IAM(增强的身份管理)

Enhanced ldentity Governance
MFA（多因子身份认证）

SSO（单点登录）

动态访问控制

风险识别

用户行为审计

M: MSG(微隔离)

Micro-segmentation
访问权限隔离

访问权限可视化

统一访问策略管理

合规需求

身份鉴别

应对登录网络设备、操作系统和数据库系统的用户进行身份鉴别；身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

访问控制

应启用访问控制功能，依据安全策略控制主体对客体的访问规则；应授予管理用户所需的最小权限，实现管理用户的权限分离；访问控制的细粒度应达到主体为用户级或进程级，客体为文件、数据库表级别；应对重要主体和客体设置安全标记，并控制主体对有安全标记资源的访问。

安全审计

应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；应对审计进程进行保护，防止未经授权的中断。

产品理念

身份鉴别

用户在访问业务之前，必须经过基于SPA认证、PKI机制、MFA认证、设备认证，终端与环境检测等方式，才能访问授权业务。

资产隐匿

零信任网关与资产隐身不可见，防止嗅探及DOS攻击，从任何访问来源或资产之间访问，均需进行SPA认证。

持续性验证

所有访问请求使用TLS加密，验证每一个访问请求和数据包，确保身份和访问权限的有效性。

最小权限授权

用户只能访问授权IP、端口、账号，资产之间相互隔离，只允许信任关系访问。

实时访问分析

基于访问客体（账号、设备、IP等），实时检测设备、环境、IP、访问主体等变化及敏感内容的检测与越权行为分析，进行预警或者阻断。

动态信任评估

基于访问关系，动态检测与分析访问客体（账号、设备、IP等）与访问主体的特征，进行动态权限回收，确保最小权限原则。

产品架构

访问流程

统一认证管理

访问授权控制

用户
基于用户与用户组.

设备
基于设备系统、HOSTNAME、补丁状态、进程状态及端口监听状态

目标
基于目标IP、端口、URL、账号等

环境
基于用户登录区域，IP

时间
基于访问时间

权限回收
基于时间，将长时间未访问的权限回收，确保最小权限原则

终端环境检测

设备认证

检测设备系统类型、HOSTNAME、UUID，并与登录用户匹配，如若不是该用户信任设备无法登录

补丁检测

可设置补丁检测，检测到系统有未修复补丁，可进行修复，如若超出更新期限未修复，则回去不允许登录

进程监控

可设置必备进程监控，检测系统是否启用规定进程，如防火墙、杀毒软件、DLP、EDR等，如未启用则不允许登录

端口监控

可设置高危端口监控，检测系统是否有开启高危端口，如3389、445、135、139等，如若开启则不允许登录

WEB应用代理

功能限制

WEB水印，水印防删，禁止右键，禁止选中，禁止F12

单点登录

表单代填，Oauth2.0认证

敏感信息

关键字过滤，文件类型过滤，文件内容过滤，预警与阻断

加密通信

TLS加密代理，HTTP均转为HTTPS

负载均衡

DNS轮询，IP-HASH算法

资产安全管控

远程办公

客户诉求

服务资源在内网+云端，希望一体化解决方案，适用开发、测试、运维，方便所有人方案，支持WEB/非WEB，安全性要高，满足合规，不希望用VPN把员工机器带入内网，不把服务资源暴露在公网。

产品功能

客户端，零信任网关， 2FA， SSO，用户管理，访问控制，设备管理，动态策略，加密通讯。

应用效果

体验大大提升：帮助客户从LDAP用户密码转化成钉钉扫码，打通SSO，所有应用再也不用密码，企业应用门户，方便用户访问后端资源，不改变用户使用习惯和应用端口。安全性大大提高：服务资源隐身，满足合规要求。各种应用的暴力破解、弱密码等账号安全问题彻底解决。缓解0DAY攻击，非组织架构成员不能接触服务资源。成本大大降低：不需要改造网络，不需要改造应用。

护网行动

客户诉求

服务资源在内网或云端，适用开发、测试、运维，安全性要高，要防得住攻击，要防得住0DAY。

产品功能

客户端，零信任网关， 2FA，用户管理，访问控制，设备管理，动态策略，加密通讯，资产微隔离。

应用效果

安全性大大提高：资产隐匿防嗅探，拒绝一切不受信的访问，缓解0DAY攻击，杜绝弱密码和暴力破解，保护应用安全，对组织架构成员访问行为跟踪审计及分析。成本大大降低：不需要改造网络，不需要改造应用。

业务外包

客户诉求

基本安全要得到保障，防攻击、防暴力，满足等保2.0合规，体验要好，订单数据审计，敏感数据预警、追踪、审计。

产品功能

客户端，零信任网关， 2FA，用户管理，访问控制，设备管理，动态策略，加密通讯，敏感数据检测。

应用效果

体验大大提升：帮助客户打通钉钉扫码SSO，所有应用再也不用密码。企业应用门户，方便用户访问后端资源。安全性大大提高：30个应用服务隐身，满足合规要求。各种应用的暴力破解、弱密码等账号安全问题彻底解决。缓解0DAY攻击，非组织架构成员不能接触服务资源。成本大大降低：不需要改造网络，不需要改造应用。

应用效果

管控风险
通过身份认证、资产隐身、权限控制等方式大大提高数字资产安全性，增加了攻击者的难度，可以帮助企业降低运营风险

改善管理
统一管理认证，使得企业资产得到更有效的控制，对网络环境更加清晰可见，大大提高企业安全管理

降低成本
将不需要访问资源的用户、设备与应用的权限进行回收，缩小被攻击面，大大降低了安全事件的数量，节省时间和人力成本

安全合规
满足各类重要安全法律、法规、标准，如等保2.0、网络安全法、数据安全法、个人信息保护法等，减少违规事件，满足安全合规

产品推荐

安天捕风蜜罐系统

安天捕风蜜罐系统是一款用于诱骗黑客攻击从而捕获威胁并展示威胁信息的网络安全设备，支持创建仿真服务、仿真资产等多种与真实资产环境相似的虚拟蜜罐，捕获黑客攻击行为，生成威胁事件、攻击链等信息。

免费试用

查看详情

泛微齐业成数电发票管理系统

泛微齐业成数电发票管理系统，可选择PDF、OFD等格式交付，降低发票使用成本，提升纳税人用票的便利度和获得感。自动为纳税人赋予发票开具金额总额度并动态调整，实现“以系统授信为主，人工调整为辅”的授信制管理。对局端前置校验规则进行封装，一站式完成校验工作，减低企业对接复杂度，快速实现数电票的开具。

免费试用

查看详情

阿里云信息安全等级保护解决方案

阿里云信息安全等级保护解决方案依据国家网络安全等级保护制度，提供一站式服务，帮助企业快速、省心地通过等保合规。该方案包括云安全中心的合规检查功能，提供等保合规检查和ISO 27001合规检测，全面覆盖通信网络、区域边界、计算环境和管理中心的网络安全检查，帮助用户检查系统是否符合等保合规要求，及时发现和处理安全风险。同时，阿里云还提供等保咨询服务和整改服务，包括差距性评估、整改方案咨询、安全管理制度完善、安全产品选型及部署指导、系统安全整改支持和等级保护测评服务。此外，阿里云公共云高分通过等保三级，金融云通过等保四级，显著提高客户测评分数。

免费试用

查看详情