深信服aTrust零信任訪(fǎng)問(wèn)控制系統(tǒng)
產(chǎn)品概述
深信服aTrust零信任訪(fǎng)問(wèn)控制系統(tǒng)是基于零信任理念與深信服多維度安全技術(shù)積累構(gòu)建的安全架構(gòu),通過(guò)“以身份為中心,構(gòu)建可信訪(fǎng)問(wèn)、極簡(jiǎn)運(yùn)維、智能權(quán)限”的核心價(jià)值主張,能夠?yàn)橛脩?hù)打造更安全、體驗(yàn)更好、適應(yīng)性更強(qiáng)的遠(yuǎn)程辦全方案。同時(shí)得益于動(dòng)態(tài)訪(fǎng)問(wèn)控制、智能權(quán)限等新特性,能為用戶(hù)打造更安全、更靈活、更有效的安全控制體系。
核心功能價(jià)值
以身份為中心
- 安全與體驗(yàn)的平衡,如用戶(hù)在授信的終端上登錄可以免輔助認(rèn)證、采用客戶(hù)端一鍵登錄,不需要再輸入訪(fǎng)問(wèn)業(yè)務(wù)地址和賬號(hào)密碼。
- 動(dòng)態(tài)認(rèn)證能力,如當(dāng)用戶(hù)訪(fǎng)問(wèn)使用弱密碼時(shí)需進(jìn)行增強(qiáng)認(rèn)證;當(dāng)用戶(hù)在異常時(shí)間段登錄時(shí)需進(jìn)行增強(qiáng)認(rèn)證;當(dāng)用戶(hù)在異地登錄時(shí),必須進(jìn)行增強(qiáng)認(rèn)證。
可信訪(fǎng)問(wèn)
- 網(wǎng)絡(luò)隱身:第二代SPA機(jī)制,通過(guò)SPA單包機(jī)制縮小暴露面,只有特定攜帶安全票據(jù)的客戶(hù)端才能進(jìn)行訪(fǎng)問(wèn)請(qǐng)求連接,可以避免對(duì)外暴露端口,任何人都可以發(fā)起訪(fǎng)問(wèn)鏈接,進(jìn)而避免的掃描探測(cè)、漏洞利用攻擊等(規(guī)劃中)
- 終端環(huán)境動(dòng)態(tài)檢測(cè):全周期地實(shí)時(shí)終端環(huán)境檢測(cè),包括用戶(hù)登陸時(shí)、登錄后訪(fǎng)問(wèn)業(yè)務(wù)期間進(jìn)行實(shí)時(shí)檢測(cè)。
- 終端進(jìn)程可信:可以只允許終端上特定的進(jìn)程(白名單進(jìn)程)接入訪(fǎng)問(wèn)業(yè)務(wù),達(dá)到高安全接入訪(fǎng)問(wèn)。
- 動(dòng)態(tài)業(yè)務(wù)準(zhǔn)入:可根據(jù)業(yè)務(wù)的重要程度制定高要求的終端準(zhǔn)入要求,如訪(fǎng)問(wèn)等非敏感業(yè)務(wù)不需要安裝殺毒軟件,而訪(fǎng)問(wèn)財(cái)務(wù)系統(tǒng)必須安裝EDR軟件并且規(guī)則庫(kù)更新到版本。
極簡(jiǎn)運(yùn)維
- 終端使用體驗(yàn)升級(jí):訪(fǎng)問(wèn)B/S業(yè)務(wù)可以免除客戶(hù)端登錄,通過(guò)瀏覽器即可訪(fǎng)問(wèn)業(yè)務(wù),提升使用體驗(yàn);業(yè)務(wù)從互聯(lián)網(wǎng)收縮如內(nèi)網(wǎng)后不改變用戶(hù)原有使用習(xí)慣。同時(shí)也大幅降低IT人員在用戶(hù)終端側(cè)的運(yùn)維壓力;
- 內(nèi)外網(wǎng)訪(fǎng)問(wèn)一致體驗(yàn),無(wú)論在何地辦公,都能獲得一致的訪(fǎng)問(wèn)體驗(yàn)。
- 智能權(quán)限工具:用戶(hù)自助申請(qǐng)權(quán)限。用戶(hù)訪(fǎng)問(wèn)設(shè)置申請(qǐng)?zhí)崾镜膽?yīng)用時(shí),彈出申請(qǐng)?zhí)崾?,可填?xiě)申請(qǐng)理由,可由管理員審批。大幅降低IT管理人員賬號(hào)開(kāi)通、權(quán)限審批等繁瑣工作投入。
- 終端運(yùn)維工具:提供終端自助工具,對(duì)當(dāng)前終端的基本環(huán)境進(jìn)行掃描和一鍵修復(fù),降低運(yùn)維人員在終端的運(yùn)維工作,提升運(yùn)維體驗(yàn)
智能權(quán)限
- 安全基線(xiàn)(動(dòng)態(tài)訪(fǎng)問(wèn)控制):利用“信任引擎”來(lái)實(shí)現(xiàn)動(dòng)態(tài)權(quán)限控制,當(dāng)發(fā)現(xiàn)終端環(huán)境、身份、行為存在風(fēng)險(xiǎn)時(shí),通過(guò)收縮用戶(hù)的訪(fǎng)問(wèn)權(quán)限,降低被攻擊入侵的風(fēng)險(xiǎn)。
- 智能權(quán)限基線(xiàn):利用權(quán)限基線(xiàn)工具,確保最小化權(quán)限的同時(shí),有效減少用戶(hù)原本權(quán)限梳理的管理成本,解決零信任架構(gòu)落地的關(guān)鍵障礙
- 灰度處置:能對(duì)不滿(mǎn)足安全條件的訪(fǎng)問(wèn),增加二次認(rèn)證,通過(guò)進(jìn)行身份確認(rèn)提升信任,實(shí)現(xiàn)灰度處置,告別非黑即白
- 行為可信:通過(guò)UEBA、第三方安力集成,實(shí)現(xiàn)多源信任評(píng)估,更準(zhǔn)確地識(shí)別異常行為和未知威脅,保護(hù)核心業(yè)務(wù)系統(tǒng)。
典型應(yīng)用場(chǎng)景
遠(yuǎn)程辦公場(chǎng)景
員工安全訪(fǎng)問(wèn)OA、ERP、CRM、財(cái)務(wù)、BI、郵箱等系統(tǒng);IT人員遠(yuǎn)程開(kāi)發(fā)、遠(yuǎn)程運(yùn)維
第三方人員遠(yuǎn)程接入場(chǎng)景
第三方供應(yīng)商、合作伙伴、供應(yīng)鏈、外包/外協(xié)人員接入
縮小業(yè)務(wù)暴露面場(chǎng)景
安全演練、業(yè)務(wù)安全需求將業(yè)務(wù)從互聯(lián)網(wǎng)收縮到內(nèi)網(wǎng),減少暴露面
內(nèi)網(wǎng)權(quán)限管控場(chǎng)景
權(quán)限規(guī)范化、基于身份的訪(fǎng)問(wèn)控制、取代傳統(tǒng)的區(qū)域隔離的訪(fǎng)問(wèn)控制模式、基于身份環(huán)境行為的動(dòng)態(tài)訪(fǎng)問(wèn)控制
內(nèi)外網(wǎng)統(tǒng)一訪(fǎng)問(wèn)控制場(chǎng)景
利用身份重構(gòu)邊界,簡(jiǎn)化網(wǎng)絡(luò)架構(gòu),建立同一套訪(fǎng)問(wèn)控制體系、統(tǒng)一的權(quán)限體系
多云多數(shù)據(jù)中心安全訪(fǎng)問(wèn)場(chǎng)景
業(yè)務(wù)云化邊界模糊缺少有效訪(fǎng)問(wèn)控制機(jī)制,多云多數(shù)據(jù)中心需要同時(shí)接入訪(fǎng)問(wèn)業(yè)務(wù),需要一致的訪(fǎng)問(wèn)體驗(yàn)和安全控制手段