安企神电脑监控软件 在线试用
扫码咨询客服
安企神电脑监控软件、局域网监控软件
首页
功能介绍
产品简介
下载中心
帮助中心
客户列表
关于安企神

全球主流零信任厂商的产品化实践与观察

最近更新时间:2022-06-21 10:44:43


本文简介:“零信任”这一概念已经被安全行业广泛应用,因为很多安全厂商都希望能从零信任的市场发展中获得收益。Gartner分析师认为,零信任架构(ZTA)是一种方法论或途径,而不是某个单独的产品或解决方案,因此,不能将任何单一产品或服务标记为完整的零信任安全解决方案,企业需要根据业务发展需要及当前安全防护的优先级,来选择适合自己的零信任架构。当前,市场上有许多安全厂商都宣称可以提供零信任产品或方案,但这些产品

全球主流零信任厂商的产品化实践与观察

“零信任”这一概念已经被安全行业广泛应用,因为很多安全厂商都希望能从零信任的市场发展中获得收益。Gartner分析师认为,零信任架构(ZTA)是一种方法论或途径,而不是某个单独的产品或解决方案,因此,不能将任何单一产品或服务标记为完整的零信任安全解决方案,企业需要根据业务发展需要及当前安全防护的优先级,来选择适合自己的零信任架构。

当前,市场上有许多安全厂商都宣称可以提供零信任产品或方案,但这些产品或方案常常功能各异,在一定程度上影响了市场的有序发展。为了更好了解当前零信任技术的产品化状况,本文对全球网络安全市场中的八家主流零信任方案厂商进行了分析。

1、Akamai:基于云的安全远程访问

Akamai的零信任产品直接源于这家厂商为其7000多名员工实施的零信任远程访问解决方案。Akamai的两款核心ZTNA产品是Enterprise Application Access(EAA)和Enterprise Threat Protector(ETP)。Akamai EAA旨在支持随时随地安全地远程访问企业内部资源。它是一种可识别身份的代理,面向希望替换或增强VPN及其他传统远程访问技术的企业。EAA使企业能够为合适的用户提供这种服务——需要时可以从任何地方安全地访问合适的应用程序。Akamai ETP则是一种安全Web网关(SWG),用于保护云端应用程序免受网络钓鱼、恶意软件、零日漏洞攻击及其他威胁。

Gartner将Akamai列为ZTNA市场收入排名前五的厂商。Forrester则认为它适合需要零信任安全托管服务的企业。但Akamai被认为在整体方案集成方面的能力有待改进。

2、Zscaler:基于云的应用程序隔离和保护

Zscaler致力于将应用程序访问与网络访问隔离开来,降低因设备中招和感染而对网络造成的风险。Zscaler Private Access是该公司基于安全服务边缘框架的云原生服务,旨在为在本地或公共云端运行的企业应用程序提供直接连接。通过该服务,确保只有获得授权、通过身份验证的用户才能访问企业的特定应用程序或服务,防止未经授权的访问和横向移动。

Forrester认为Zscaler的服务具有较高的可扩展性,适合已经使用其安全技术确保网络访问安全的企业。未来,Zscaler可能会针对服务器上的应用系统(如VoIP和SIP)加大支持力度。

3、思科:可基于使用场景提供三种ZTNA方案 

思科有三种不同的零信任产品,分别是:面向员工队伍的Cisco Zero Trust、面向工作负载的Cisco Zero Trust以及面向工作场所的Cisco Zero Trust。

第一类产品为设法确保只有受信任用户和设备才能访问应用程序的企业而设计,支持任何位置的访问请求;第二类产品适用于希望为所有API、微服务和容器实施零信任模型的企业;第三类产品适用于为IT端点客户端/服务器、物联网和OT设备以及工业控制系统实施ZTNA策略的企业。

第一类产品很接近其他厂商的ZTNA 产品,它面向希望让员工和其他第三方能够安全地访问应用程序的企业。该产品使安全管理员能够针对每个访问请求验证用户身份、识别有风险的设备,并实施上下文策略。

Gartner将思科列为ZTNA市场收入排名前五的厂商。Forrester声称,思科零信任产品基于从Duo Security收购而来的技术,因此非常适合已经采用Duo技术的企业。

4、思杰:实现应用层的访问控制

思杰的Secure Private Access是通过云交付的ZTNA产品,适用于需要替代VPN方案,并让用户能够安全地访问应用程序的组织。思杰将其服务定位于让企业可以实施自适应身份验证和访问策略,这些策略根据位置、行为和设备状态等因素控制用户可以访问的内容。

Citrix Secure Private Access仅在应用层对用户进行身份验证,防止可能已闯入环境的攻击者在网络上横向移动。与其他ZTNA产品一样,Citrix Secure Private Access持续监控所有应用程序访问,以发现可疑活动或设备状态/行为的意外变化。Forrester认为,作为一家传统的虚拟桌面和远程访问提供商,思杰拥有成熟的网关技术以保护用户对本地应用程序的访问。已经通过思杰搭建本地基础设施的企业可以很好地利用其ZTNA产品。

5、Forcepoint:ZTNA整合到更全面的SASE平台

Forcepoint的ZTNA产品是其Forcepoint ONE平台的一部分,该平台还包括Forcepoint的云访问安全代理(CASB)技术及安全Web网关(SWG)服务。

Forcepoint的ZTNA产品可以让企业无需代理即可访问本地数据中心和云端的私有应用程序;拥有托管和非托管设备的用户可以通过浏览器快捷方式或通过Ping Networks和Okta等单点登录门户网站,连接到企业应用程序。Forcepoint还为使用传统架构和胖客户端的企业提供基于代理的方案。

企业可以选择添加Forcepoint的CASB和SWG以支持其实施的ZTNA。CASB组件有助于保护和简化SaaS和IaaS租户的访问,同时防止恶意软件攻击和敏感数据泄露等。企业可以使用Forcepoint的SWG,根据风险和可疑活动等因素来监控与网站之间的交互。

6、Cloudflare:身份验证和访问控制的托管服务

Cloudflare的ZTNA产品是一项托管服务,旨在让企业可以使用通用策略替换VPN连接方法,通用策略可基于身份和上下文授予用户访问内部应用程序的权限。该服务让企业能够以两种方式连接到公司资源:一种是通过客户软件访问非HTTP应用程序,路由到私有IP地址和远程桌面协议(RDP);另一种模型是无客户软件,这意味着Web浏览器被用于连接Web、安全外壳协议(SSH) 和虚拟网络计算(VNC)应用程序。

针对用户身份验证,Cloudflare Access支持多种身份和访问管理平台,包括Azure Active Directory、Okta、Citrix、Centrify和Google Workspace。当企业根据零信任规则评估设备状态时,Cloudflare Access可以使用来自CrowdStrike、Carbon Black、SentinelOne及其他厂商端点保护技术的监测数据。

Gartner在2020年将Cloudflare列为ZTNA即服务这个类别的代表性厂商。Forrester也关注到Cloudflare Access可与多家身份和访问提供商集成这个优点,但与终端安全控制集成是Cloudflare有待改进的一个方面。

7、Appgate:为访问控制提供托管选项

Appgate的ZTNA产品为AppGate SDP。与其他零信任访问技术一样,AppGate SDP使用设备、身份和基于上下文的信息,授予用户对企业资源的最低特权访问。Appgate SDP架构为混合、多云和本地企业设计,由两个可以作为服务或托管设备使用的核心组件组成。

一个组件是Appgate SDP Controller,充当策略引擎和策略决策点,为访问企业资源的用户执行身份验证、访问策略和权限等任务;另一个组件Appgate SDP Gateway,充当策略执行点,该组件根据SDP Controller的决定来控制用户对企业资源的访问。

Appgate提供额外的可选组件,如满足物联网和分支机构需求的Connector,以及让用户使用浏览器即可访问企业资产的门户网站。Forrester指出,Appgate是该领域为数不多的专注于ZTNA而不直接采用整个零信任边缘(ZTE/SASE)安全模型的厂商之一,其技术适合希望托管ZTNA功能的企业。

8、Netskope:快速部署和易用性是最大亮点

Netskope的Private Access(NPA)ZTNA是该公司更广泛的Security Service Edge技术组合的一个组件。企业可以用它将已验证身份的用户连接到应用程序,将应用程序访问与网络访问分开,并确保用户只能访问已被授权的特定资源。它让安全管理员可以根据设备状态、用户身份和用户所属组来实施细粒度的访问策略。Netskope Private Access适用于希望能够安全地远程访问私有Web 应用程序的企业,为其提供无客户软件的浏览器访问服务。

Netskope Private Access有两个部署组件:安装在设备上的轻量级客户软件和Private Access Publisher,后者建立从企业到Netskope云的出站连接,以减小入站访问请求带来的风险。Forrester表示,Netskope在设备状态安全方面表现出色,客户认为其部署仅需数周,而其他厂商则需要数月。这家厂商有待改进的一个方面是需要支持更多身份提供商。



以一体化零信任方案构建新信任体系

随着数字新时代的到来,云计算、大数据、移动互联网等新兴技术大量被应用,传统的网络安全架构已经不适应数字新时代的发展要求,基于传统物理边界的安全防护模式也在新技术的应用潮流下面临更多挑战。在此背景下,零信任架构安全理念顺势而生,用以解决传统边界安全防护方式无法解决的新风险。

为了满足企业用户在新形势下的安全防护需求,派拉软件研发推出一体化的零信任产品体系,从以身份为中心的动态访问控制,逐步延伸到联动终端管理、SDP、API网关、用户行为分析等端到端安全能力全面覆盖的零信任安全解决方案,为企业数字化转型稳定发展构建新信任体系。

►►►标签

零信任、软件定义边界、网络准入、身份访问与管理

►►►用户痛点

(1)远程办公访问风险

现有VPN等接入技术仅提供网络级验证,无法对用户的访问行为进行分析和监控,一旦登录就可以自由地在内网和本地之间进行重要数据和内部文件传输,在用户账号泄露或被仿冒情况下极易被黑客非法利用获取重要数据。

(2)身份和访问管理难以统一

随着业务发展,企事业单位的系统与用户数逐渐增多,每个系统都有一套相对独立的账号体系,集团的访问控制无法通过身份进行统一用户、统一认证、统一授权和集中审计。

(3)业务暴露面不断扩大

越来越多的企事业单位选择在互联网侧为客户和员工提供服务,同时也把更多的信息技术资产(IP、端口等)暴露在了黑客的可视范围之内,黑客可以通过资产暴露面发现脆弱点对企业进行恶意攻击。

(4)内部威胁难以防御

很多企事业单位默认内部网络安全可信而忽略了内网的用户威胁,相对企业的边界防护内网的安全建设相对较少,但往往一旦发生内网安全事件就会造成非常大的影响。

(5)传统边界防御模式失效

数据中心或信息系统迁移上云后企业的网络边界逐渐模糊,以数据中心内部和外部简单划分的安全边界已不能满足对企业资产的防护需求,企业面临更多信任危机。

(6)特权账号管理问题突出

云环境和远程运维场景的增加,企事业单位内部经常会出现一个特权账号多人使用的情况,账号一旦泄露或被员工误操作,就为数据的泄漏、勒索病毒的侵入埋下了安全隐患,且访问过程外部无法干预,事件风险难以追溯。

►►►解决方案

派拉一体化零信任体系由身份认证管理中心IAM、零信任客户端、零信任SDP控制器、零信任可信网关、MSG微隔离和其他细粒度访问控制网关等组成,可以实现端到端的访问资源全生命周期的安全交互保障。

以一体化零信任方案构建新信任体系(图1)
图1:派拉一体化零信任体系产品总体架构图

■  方案通过身份认证管理系统IAM构建了“持续评估 动态授权”为目标的风险控制中心,对访问主体和访问行为进行风险分析;

■  SDP控制器负责决策判断,同时解决终端设备先认证后连接与边缘服务的隐藏,免受网络的探测和攻击;

■  可信网关是建立加密隧道服务与动态授权的策略执行点,负责执行和持续监测;

■  MSG微隔离以“最小授权”为原则,对业务或应用进行细粒度精细化权限控制,同时解决服务熔断、负载均衡与访问权限检查,保障每次请求访问网络线路独立,故障与威胁影响面最小化;

■  业务网关主要是结合业务对外提供的访问控制服务与审计能力。

为使组件间能更系统化协同工作,方案中的身份认证中心IAM和微隔离两个关键组件分别映射到对访问主体的信任管理和访问客体授权管理,并通过加强两个组件间的信息交换使访问主体在不同的环境下自动获得与风险匹配的访问权限。

►►►方案特点

通过建设派拉一体化零信任体系,可为企事业单位提供全面、专业、便捷的零信任安全保护,具体成效如下:

(1)实现端到端的安全访问

派拉一体化零信任平台实现从终端、用户、到加密访问通道、身份认证、云资源的授权访问的端到端的安全访问。零信任客户端提供终端安全容器,访问设备进行安全保护,提供安全加密链路对访问进行加密,在访问过程中,不仅对用户进行身份认证,同时也对访问设备进行认证。对应用服务进行访问时,直接参与到应用授权环节,从而保证了从设备到业务全程的安全管理。

(2)实现统一的身份安全管理

派拉一体化零信任平台的身份认证管理中心IAM在统一门户和信息服务平台的基础上,提供统一的用户管理、授权管理、审计管理和用户认证体系,将组织信息、用户信息统一存储,进行集中授权、集中登录和集中身份认证,规范应用系统的用户认证方式,及时响应因用户组织、岗位或状态等因素变化所带来的应用系统管理风险,从而提高应用系统的安全性和用户使用的方便性,实现企事业单位全部应用的单点登录、访问审计、用户权限统计,实现真正意义上的集中化管理,能够满足企事业单位内部和外部审计,以及行业和政府监管的要求,符合客户当前和未来的业务要求和政策法规的要求。

(3)缩小信息资产暴露面

零信任一个重要理念就是先认证后连接,采用网络隐身技术隐藏要访问的资产,必须通过认证才能发起访问连接通信。用户身份验证通过,发起正常的资源应用访问请求,平台通过SPA发送一个加密单数据包至网关,网关接收到单数据包并进行验证,验证通过,打开端口,建立与客户端的连接。验证失败,则直接丢弃数据包,客户端不会收到任何回应。

派拉一体化零信任平台的SDP组件以此方式实现服务端IP和端口的隐藏,使客户端无法直接查看应用,更不让其对资源进行更高权限的操作,从而达到保护信息技术资产的效果。

(4)通过用户行为分析监测内网威胁

派拉一体化零信任平台的UEBA用户行为分析模块通过广泛的数据收集,使用机器学习(ML)、人工智能(AI) 技术,检测用户行为的细微变化,配合专家知识库,发现内部人员潜在的威胁行为,能够有效防止横向攻击、员工违规操作、账号盗用等内部安全问题,同时能为安全事件调查提供。依据UEBA更具洞察力,通过对大数据和机器学习引擎的应用,能够以极高的准确率命中异常事件,在威胁发现速度和准确率方面远快于传统的安全信息和事件管理(SIEM)系统。

(5)重新定义可信的访问边界

派拉一体化零信任平台不再以传统的内外网区分边界,默认内网也不安全,所有的访问都需要经过严格的多因素认证和动态授权,并且在建立信任之前不进行任何数据传输操作。此外还应通过分析、筛选和日志记录等措施来验证所有行为的正确性,并持续观察是否存在代表威胁的信号。

(6)动态授权认证防止数据泄露

派拉一体化零信任平台通过权限模型可管控到应用系统账号的精细化权限,如:菜单、API等。为了持续监控用户操作,平台在授权管理上增加了更细粒度的动态安全管控。平台给用户和被访问资源之间搭建一条动态细粒度“访问通道”。通道建立的访问规则为:只面向被认证、被授权的用户和服务开放,密钥和策略也是动态生成单次使用。这种“临时并单一”的访问控制方式,将私有资源对非法用户完全屏蔽,可显著减少非法数据获取和泄露事件的发生。

(7)特权访问管理排除内部隐患

派拉一体化零信任平台的特权访问管理模块通过对特权账号访问进行生命周期管理,定期自动更新改密,对权限进行分级管理并对高危操作进行二次认证,从访问开始到访问结束的整个过程可进行可视化记录和追溯,并提供特权账号访问全行为审计管理,从严防范“内鬼”破坏事件发生。

►►►方案价值

■  通过派拉一体化零信任平台构建客户零信任身份治理体系,可以有效减少因身份管理不规范带来的信息安全风险、隐私风险以及经营风险;

■  保障客户的网络安全建设符合国家相关法律法规的要求,实现用户及应用系统的统一身份管控,提升了企业组织的IT治理水平;

■  有效解决企事业单位远程办公、系统迁移上云等场景的信任危机;

■  提供一套完整的持续的用户管理规范及运营规范体系,提升信息化平台建设质量及增效降本。

►►►用户反馈

“派拉一体化零信任解决方案,保证了在疫情防控常态化形势下,我机构远程办公各业务的安全需求,通过应用安全容器、零信任SDP接入、统一身份认证与管理等新安全技术,为公司各类办公应用的快速投产和推广,实现有效安全赋能和效率提升,提供了有力支撑,有效降低远程办公过程中的安全风险,为疫情期间的网络安全运营提供了较可靠的保障。”

——来自某大型金融机构用户

“制造业在数据驱动的新模式下,通过构建一体化零信任安全体系,打通全链路的服务触点,通过融合AI智能认证、风险分析、细颗粒度权限管控等技术手段,充分挖掘我司内外部数字价值,提升用户体验和品牌粘度,赋能从研发、设计、生产、制造、销售、售后全链路的数字化转型,满足上百万C端、B端用户身份管理和业务访问环节的安全需求。”

——来自某大型汽车集团用户

“派拉一体化零信任从安全管理、认证管理、技术实施等多方面入手为我们建立起了完整可靠的零信任身份管理体系,实现了以安全保业务、用安全促业务的目标”

——来自某能源央企用户

安全牛评

对于企业组织,零信任的建设需要融入到企业的数字化业务环境中,企业的零信任规划不仅要符合当前的业务需求,也要能更好地支撑未来业务的扩展需求。因此,零信任应用落地时,组织可以从系统化建设的角度,尝试用一体化的零信任解决方案,从场景出发,结合业务在网络空间分布的现状,使每一个业务都形成闭环的安全访问。可以认为,一体化的零信任解决方案模式,是一种有效的零信任安全建设尝试。


本文为 零信任 收集整理,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。https://www.wgj7.com/cjwt/9401.html