近日，亞信安全信磐零信任訪問控制系統(tǒng)(SDP)更新版本正式發(fā)布。新版SDP彌補(bǔ)了傳統(tǒng)準(zhǔn)入技術(shù)的短板，結(jié)合網(wǎng)絡(luò)接入處理動作、訪問控制和防范社會工程攻擊等需求提供了多項(xiàng)功能性保障，全面豐富了認(rèn)證場景、最小授權(quán)原則，并在安全基線管理、降低運(yùn)維難度等方面為遠(yuǎn)程辦公和分支機(jī)構(gòu)安全訪問提供了便捷的防護(hù)設(shè)定。

傳統(tǒng)準(zhǔn)入難以支撐新業(yè)態(tài)

當(dāng)前，傳統(tǒng)準(zhǔn)入技術(shù)在應(yīng)對新業(yè)態(tài)、新業(yè)務(wù)場景時面臨著安全困局。尤其是在云計算、5G、邊緣計算等新技術(shù)的普及，以及混合辦公下和商業(yè)生態(tài)協(xié)作場景中，網(wǎng)絡(luò)“邊界”逐步模糊化帶來的新風(fēng)險，都進(jìn)一步暴露了傳統(tǒng)安全訪問控制架構(gòu)的短板。

舉例來說：在傳統(tǒng)準(zhǔn)入技術(shù)中，通常需要用戶花費(fèi)大量人力劃分、維護(hù)VLAN區(qū)域，但是很多企業(yè)無法將VLAN配置的精細(xì)、精準(zhǔn)，而對于認(rèn)證失敗、合規(guī)項(xiàng)檢查不通過的終端，所能采取的處置動作也只能包括切換VLAN、指定ACL規(guī)則、斷網(wǎng)。另外，隨著網(wǎng)絡(luò)逐步向更高級的形態(tài)演變，這些行為摻雜了躲避手段、情報手段、社會工程攻擊的變化，但是傳統(tǒng)準(zhǔn)入技術(shù)在應(yīng)對這些威脅時，幾乎是蒼白無力的。

零信任準(zhǔn)入打開新局面

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)發(fā)展迭代至今，一直不斷創(chuàng)新突破以求適應(yīng)新的時代需求。其中，以“持續(xù)驗(yàn)證、永不信任”為核心的零信任成為了企業(yè)關(guān)注的重點(diǎn)。例如：

·企業(yè)無需維護(hù)多個VLAN，可以實(shí)現(xiàn)應(yīng)用級的隔離控制，可對指定應(yīng)用訪問的異常行為，進(jìn)行細(xì)粒度的管控；

·零信任采用A(access)-B(bussiness)串行控制方式，同于區(qū)域限定、訪問行為限定、身份特權(quán)限定等方式，實(shí)現(xiàn)了未授權(quán)資源對入網(wǎng)用戶不可見，有效防范掃描和滲透攻擊；

·在對抗網(wǎng)絡(luò)釣魚攻擊的過程中，“零信任”的安全體系能夠通過身份進(jìn)行信任評估，并基于環(huán)境進(jìn)行風(fēng)險判定與防毒等其他產(chǎn)品形成聯(lián)動，這有助于企業(yè)持續(xù)驗(yàn)證訪問者身份的真實(shí)性、訪問行為的安全性。

亞信安全SDP帶來新特性

作為一款基于零信任架構(gòu)的安全準(zhǔn)入管理產(chǎn)品，亞信安全SDP利用最小化授權(quán)、多維度安全評估，以及豐富的場景化支撐為企業(yè)用戶實(shí)現(xiàn)了網(wǎng)絡(luò)安全能力進(jìn)階，廣受用戶認(rèn)可。在此基礎(chǔ)上，最新升級的亞信安全SDP提供了更豐富的應(yīng)用功能和運(yùn)維管理手段：

·最小授權(quán)原則：在現(xiàn)有SDP架構(gòu)中增加SDP連接器與SDP邊緣網(wǎng)關(guān)，為用戶物聯(lián)網(wǎng)提供零信任應(yīng)用，SDP邊緣網(wǎng)關(guān)用于啞終端設(shè)備的數(shù)據(jù)匯聚點(diǎn)，對不方便安裝或無條件安裝SDP客戶端的辦事點(diǎn)、信息采集點(diǎn)等企業(yè)業(yè)務(wù)分支實(shí)現(xiàn)最小化授權(quán)和加密訪問。

圖：為用戶物聯(lián)網(wǎng)提供零信任準(zhǔn)入應(yīng)用

·富認(rèn)證場景：增加802.1X、MAB認(rèn)證以及桌面端人臉識別場景支持，采用接入態(tài)(Access Status)&業(yè)務(wù)態(tài)(Bussiness Status)方式，通過靜態(tài)訪問區(qū)域和SDP網(wǎng)關(guān)物理隔離技術(shù)保護(hù)內(nèi)網(wǎng)資源安全，業(yè)務(wù)準(zhǔn)入后的訪問權(quán)限不依賴于交換機(jī)配置，控制中心無需向交換機(jī)端口指配VLAN或ACL，在最大程度地減少橫向或東西向通信的同時，對發(fā)現(xiàn)潛在的威脅實(shí)現(xiàn)狀態(tài)回滾(B->A)。

圖：采用接入態(tài)(Access Status)&業(yè)務(wù)態(tài)(Bussiness Status)方式

·增強(qiáng)安全基線：新版亞信安全SDP方案在安全管理方面功能上繼續(xù)細(xì)化，增加了反向溯源與流控策略特性。其中，反向溯源可以結(jié)合流量威脅發(fā)現(xiàn)產(chǎn)品通過風(fēng)險IP溯源到賬號信息，進(jìn)而自動核查賬號失陷的現(xiàn)實(shí)風(fēng)險；流控策略可檢測并控制網(wǎng)絡(luò)掃描、蠕蟲和DDoS攻擊，加強(qiáng)對員工的上網(wǎng)行為管理，同時實(shí)現(xiàn)應(yīng)用流量的帶寬管理，保障關(guān)鍵業(yè)務(wù)的應(yīng)用訪問帶寬。

·降低運(yùn)維難度：SDP連接器一般部署在云業(yè)務(wù)平臺或私有化數(shù)據(jù)中心，無需開放公網(wǎng)IP和端口，進(jìn)一步縮小企業(yè)網(wǎng)絡(luò)暴露面，開箱即用，無需改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)。

亞信安全信磐零信任訪問控制系統(tǒng)(SDP)以數(shù)字身份作為安全邊界管理的基礎(chǔ)，采用最小化授權(quán)、多維度安全評估手段保護(hù)業(yè)務(wù)和服務(wù)的暴露面，其有效應(yīng)對網(wǎng)絡(luò)安全威脅的能力受到了廣大用戶的認(rèn)可。目前，政府及運(yùn)營商等重要行業(yè)用戶都在采用亞信安全SDP產(chǎn)品，通過身份可信，終端可信、通道可信、訪問可信的網(wǎng)絡(luò)安全新架構(gòu)，重塑企業(yè)安全邊界。