IAM,零信任的核心组件
<  CHALLENGE  >

竹云零信任方案

帮您的企业轻松应对以下挑战

  • 传统安全防御体系逐渐失效

    传统安全防御体系逐渐失效
    传统的安全架构以“纵深防御+边界防御”为主,难以适应组织快速成长,难以应对业务的快速变化
  • 应用防护措施弱

    应用防护措施弱
    所有应用直接暴露在企业网络中,任何人只要接入企业网络就可以访问到应用所在主机,不能杜绝木马和各类攻击行为可能对应用主机造成的影响
  • 缺乏持续安全防护机制

    缺乏持续安全防护机制
    缺乏用户身份的持续认证、动态授权机制,无法实现对应用访问策略的实时调整
  • 缺乏有效的身份认证机制

    缺乏有效的身份认证机制
    基于网络隔离的访问方式使网络身份认证和应用身份认证完全分离,建立连接后,非受保护应用流量可自由进入数据中心网络,给企业数据和应用安全带来隐患
  • 基础架构难以改变

    基础架构难以改变
    如何在不改变现有架构的场景下提升安全防护级别,实现降本增效
  • 加速安全体系重构过程

    加速安全体系重构过程
    组织希望降低网络架构、安全运维的复杂性和压力,满足越来越严格的合规性要求的同时,提升客户及内部员工体验
<  WHAT  >

什么是零信任

在不可信的网络环境下重建信任。应假设网络始终存在外部威胁和内部威胁,仅仅通过网络位置来评估信任是不够的。默认情况下不应该信任网络内部或外部的任何人/设备/系统,而是基于认证和授权重构业务访问控制的信任基础。每个设备、用户的业务访问都应该被认证、授权和加密。访问控制策略和信任应是动态的,基于设备、用户和环境的多源环境数据计算出来。


核心思想:默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。

本质诉求:以身份为中心进行访问控制,引导安全体系架构从网络中心化走向身份中心化。

<  OVERVIEW  >

方案概述

方案概述

竹云零信任解决方案建设一套“高效、安全、稳定、便捷”的基础设施,以动态IAM为基础,以数字身份为中心,形成一个平台化安全办公能力体系,支持远程办公、混合办公、多分支办公、合作伙伴业务访问,该基础设施建设能够识别授信主体,形成信任的访问链条,缩小攻击面,动态调整控制策略,实现用户跨组织架构、跨区域、跨业务系统的安全通信。


零信任方案概述.jpg

方案架构

在身份、认证、授权基础上,集成现有安全产品,提供环境感知、可信代理、控制服务,以最小化权限原则进行访问控制,引导安全体系架构从网络中心化走向身份中心化,不再依赖网络位置判断是否允许访问,而是持续性评估设备、系统、用户、环境、行为、访问流的安全性和风险状态,以达到细粒度、动态的安全访问控制。

零信任方案架构.jpg

信任链

图.png

<  BAMBOOCLOUD  >

核心能力

  • 用户身份可信

    用户身份可信

    独有的流量染色技术贯穿整个安全链路之中,通过紧密关联设备标识、身份标识和应用标识信息,实现全网可信身份的统一
  • 应用系统隐身保护

    应用系统隐身保护

    创新引入跨终端/主机报文分析过滤和双向连接技术、智能识别和标记流量技术,解决业界零信任方案中应用未能真正隐身问题
  • 智能身份认证

    智能身份认证

    与IAM系统实现无缝对接,融合应用访问认证、终端登录认证、二次认证和身份安全策略的能力,无需额外开发集成工作,实现多种认证策略
  • 动态自适应访问控制能力

    动态自适应访问控制能力

    支持对终端设备身份、终端环境等进行可信验证,实时评估并灵活调整终端访问策略
  • 构建加密传输通道

    构建加密传输通道

    构建基于TLS加密传输隧道,不预先分配/占用网络带宽,采用多路复用技术,以更小的开销、最优的传输效率实现全流量应用的安全访问
  • 细粒度权限控制

    细粒度权限控制

    基于ABAC策略模型,实现主体、属性、客体、效力的策略模型定义和策略制订,适应不同条件的授权/控制策略
<  ADVANTAGE  >

方案优势

  • 隐藏应用的真实主机地址和访问域名地址、通过先认证后连接、通道加密等技术杜绝应用暴露带来的所有安全风险

  • 联动 IAM 平台实现 One lD One Password,鉴权完成设备、身份、网关、应用安全认证,流量染色确保全流程访问安全

  • 自主研发单包授权和设备认证技术,适配移动端、PC、信创桌面等全终端设备

  • 通过动态调整访问控制策略,实现针对业务访问的动态控制;针对高敏业务,定义二次补充认证策略,确保核心数据安全

  • 联动企业已有安全控制系统,包括EDR/EPP、态势感知系统、权限系统等,集成和协同工作,构建综合安全防控体系

  • 多种认证方式识别可信用户,扫码、OTP、UKey、人脸、声纹、指纹等认证方式持续认证

  • 提供直观的统计分析界面,实时监测零信任基础设施状态、终端用户状态、应用防护状态

  • 用户访问应用系统实现SSO登录,基于终端设备和用户身份的鉴权保证单点的安全性的同时,提升应用访问体验