零信任实践:零信任安全网关,重塑企业安全新边界
作者: 日期:2022年09月01日 阅:20,100

进入2022年,零信任理念加速落地,越来越多的企业希望基于零信任理念建设或改造网络安全防护体系。零信任理念是一个整体的架构,包含诸多技术和组件,安全厂商会根据用户的实际需求、结合自身的技术优势,推出有特色的零信任产品,零信任安全网关就是其中最具代表性、应用最为广泛、技术最为全面的产品之一。

一、什么是零信任网关

零信任安全网关是零信任架构最核心的部分,通常部署在网络入口或应用服务前端,分隔用户和资源,对所有流量强制执行访问控制策略。零信任安全网关通常包含安全客户端、动态访问控制引擎、智能安全大脑、身份管理等组件,采用应用代理、SPA单包授权、增强型身份管理和AI等技术,具备应用访问代理、应用资源隐藏、访问主体多维认证、动态访问控制、数据安全传输、访问日志审计、API安全防护等功能,在提高应用访问安全性的同时简化接入过程,提升业务效率。

零信任安全网关按照架构与应用场景的不同,以安全应用网关、安全API网关、访问控制网关、安全接入网关等多种形态,被广泛应用于金融、政府、运营商、互联网、教育、能源、电力、医疗等行业中。

二、零信任网关核心功能

零信任安全网关以软件定义的方式构建基于身份的安全边界,对每一次业务访问请求进行持续信任评估和动态访问控制,真正做到“持续验证、永不信任”。零信任安全网关通常具备以下核心功能:

  1. 应用访问代理

零信任安全网关通过对用户访问和API调用的统一代理,对外仅暴露网关IP和端口,收敛应用服务的网络暴露面。

  • 应用资源隐藏

零信任安全网关采用SPA单包授权技术,默认拒绝一切连接,不响应未经过验证设备和用户的访问请求,使攻击者无法找到服务地址和端口。SPA单包授权技术与应用访问代理配合,实现网关自身和应用资源的双重隐藏,让企业“网络隐身”。

  • 多维身份认证

支持静态密码、动态口令、生物识别、社交认证、App扫码认证及数字证书等多种认证方式,可自定义登录策略,能够实现单点登录、多因素认证、免密认证等功能,提升用户认证的安全性和体验性。

  • 动态访问控制

零信任安全网关部署在用户和资源之间,综合身份、设备、行为等维度的风险信息,通智能安全大脑和动态访问控制引擎,进行持续的风险和信任等级评估,执行动态的细粒度访问控制策略,在业务系统的任意场景实现包括放行、阻断、自适应认证、权限收敛在内的自适应处置。

  • 数据安全传输

在用户终端和网关之间建立端到端的双向加密隧道,并在资源访问全生命周期维护隧道链接。

  • 访问行为审计

提供详细的访问日志,基于日志进行合规审计。

  • API安全防护

提供API接口的统一代理、访问认证、数据加密、安全防护、应用审计等能力,提升后端服务安全的开发效率和维护效率。

  • 数据脱敏与溯源

对流经的数据提供数据脱敏、水印设置等功能,防止数据泄露,方便溯源追查。

三、零信任安全网关的应用场景

零信任安全网关的应用场景广泛,可与企业原有的纵深安全防护体系结合,全面提升企业的安全防护能力。在以下场景中,零信任安全网关都起到了良好的应用效果:

  1. 网络安全加固

通过多维身份认证、动态访问控制、访问行为审计、数据脱敏与溯源等功能,提升业务安全能力,避免身份冒用、越权访问、数据泄露等安全风险。

  • 远程访问

保证内部员工和第三方人员在远程办公、远程开发、远程运维等场景中,能够使用任意设备,在任意地点、任意时间,以最小化权限安全地访问企业资源,提升远程办公的安全性和体验性。

  • 替换VPN

将VPN“先连接后认证”的机制升级为“先认证后连接”,通过端口隐藏、多因素认证、数据安全传输等功能,让用户通过互联网安全便捷的接入企业内网。Gartner预测到2023年,60%的企业将采用零信任替代大部分VPN。

  • API调用

代理API,通过安全认证鉴权、流量管控、风险熔断等安全策略,保障API接口的安全。

  • 攻防演练

通过应用代理和SPA单包授权,帮助企业“网络隐身”,使攻击者无法扫描探测到任何信息,大幅缩小暴露面。

四、零信任安全网关的应用实践

芯盾时代零信任安全网关打破以网络边界为信任条件、认为内网皆可信的旧安全理念,从身份、设备、行为等维度展开全方位防护,通过客户端采集全局信息、智能安全大脑评估风险等级、动态访问控制引擎生成访问控制策略,对用户和设备进行全面验证,对所有访问企业资源的请求进行认证、授权和加密,对内、外部的每一次访问持续进行信任评估和动态访问控制,真正做到“永不信任,持续验证”。

某股份制商业银行的测试环境完全开放在互联网上,面临访问主体多且环境复杂、访问控制宽松、应用系统多且暴露面广等安全风险。利用芯盾时代零信任安全网关改造测试环境后,公网IP从100+收敛至9个,开放端口从10000+收敛至121个,资源暴露面大幅缩减;网关对接100+业务系统,日均防护调用次数超60万次,实现对全行员工及合作伙伴的动态访问控制;在不改造合作伙伴系统和银行开放系统的情况下快速部署和上线,在攻防演练中表现优异。


相关文章