零信任技术和竞品调研
2023-10-16 11:29:42 2 举报AI智能生成
描述零信任的技术特点,以及主流友商的情况,相关从业者直接克隆即用,继续完善,节省时间
作者其他创作
大纲/内容
友商信息
国内玩家阵营(2022 IDC报告)
领导者
1.深信服、奇安信、启明星辰;
2.阿里云、腾讯安全、华为、绿盟;
3.天融信
主要玩家
安恒、新华三、网宿、派拉软件、竹云、易安联、迪普、联软、指掌易、吉大正元、数字认证、志翔、山石网科、数蓬、缔安
竞争者
缔盟云
深信服
aTrust
深信服零信任安全解决方案基于“以身份为中心,可信访问、智能权限、极简运维”的理念,以aTrust为核心组件,整合终端安全检测、统一身份管理与认证、行为分析、数据防泄密等能力,实现全方位立体的业务安全访问体系。
零信任网关
身份认证组件
终端安全组件
行为分析组件
终端安全检测与防护
基于身份、终端、行为的多源信任评估与访问控制
启明星辰
eTrust
网络隐身
SDP
终端统一管理
高级威胁检测与响应
APT
持续评估
风险实时感知
行为风险监控
外部接入控制
突发风险响应
多维认证
用户
设备
安全属性
加密
国密算法
双向TSL
IPSec
等保三级
传输机密性、完整性
密码测评
可视化
奇安信
终端环境感知
感知策略个性化
系统感知
系统安全风险
基础安全风险
物理环境
虚拟环境
健康状态
应用合规
可信访问控制台
模块统一对接
作为零信任身份安全解决方案各个模块的统一配置点,完成用户、应用、API、认证、授权、系统设置等配置,将配置信息同步至可信应用、API代理系统中国,实现集中在动配置。还可实现对代理平台的统一升级维护及故障修复。
企业资源管理
用户管理
用户身份管理
用户设备管理
用户身份认证
用户授权策略
行为管理
会话管理
访问审计
可信应用代理
应用接入身份校验
可实现B/S、C/S应用一站式发布和代理。接管用户访问请求后,对用户进行身份校验,进一步对用户权限进行检查。通过验证后,进行流量转发并完成后续业务应用访问;若未通过验证,将根据策略阻断访问请求或进行二次认证。
管控功能
动态访问控制
访问控制策略根据访问主体、客体和环境上下文等方面进行综合衡量与评估,并根据结果实现相应的访问控制。
加密传输
支持单向TLS协议、双向TLS协议、国密TLS协议的安全传输协议
流量控制策略
支持基于请求并发数、请求大小、请求速度、请求连接数、单位时间内的请求数等进行流量控制
日志上传
业务隐藏
自身安全防护
文件防护、进程防护、WEB防护、RASP防护
可信API代理
API安全接入
可实现受控API的对外统一管理、发布以及服务请求代理。通过集中代理API调用者的访问请求,并根据配置进行身份验证和授权检查。当通过验证后,将对服务调用进行转发,否则将阻止相关服务请求
管控功能
安全防护
网络攻击防护
数据安全防护
提供SQL注入、CC攻击、CrossPath攻击、XSS攻击等安全防护
支持常见API接口,通过soap协议发布的 web service接口,以及通过restful方式发布的接口。并且能够对承载的xml和json格式数据进行分析、根据预定义敏感数据过滤规则进行安全检测、动态脱敏。
自身安全防护
web应用防火墙
自适应网络
细粒度防御
产品支持HTTP协议校验、Web特征库(基于OWASP标准)、爬虫规则、防盗链规则、跨站请求规则、文件上传/下载、敏感信息、弱密码检测等多种细粒度检测的特征库匹配规则。
网页防篡改
统计报表
统一身份认证与管理系统
统一管理
统一身份管理
统一认证
对组织机构、用户、设备、应用等多种身份的统一管理
支持OIDC、SAML、OAuth2.0、CAS协议为应用系统提供单点登录
统一授权
支持根据时间、IP位置、终端环境、用户行为等访问上下文环境动态过滤调整权限,实现最小化授权。
运维管理
自服务与工作流
提供用户注册,设备注册,权限申请等日常的业务需求可以通过自助申请开通这些业务功能。
零信任联动
与零信任可信访问控制台联动,作为零信任的身份基础设施,提供身份数据、认证、权限管理、策略管理。
华为
HiSec Insight安全态势感知系统
采用大数据分析和机器学习技术,可抵御APT攻击,提供安全免疫保障。
HiSecEngine USG6600E系列AI防火墙
万兆AI防火墙,在提供NGFW能力的基础上,联动其他安全设备,主动防御网络威胁,增强边界检测能力,有效防御高级威胁,同时解决性能下降问题。NP提供快速转发能力,防火墙性能显著提升。
SecoManager安全控制器
面向数据中心、园区、海量分支等不同场景,提供安全业务编排、策略统一管理和高性能日志管理,支持安全功能服务化、可视化,协同网络、安全设备和大数据智能分析系统形成全面威胁感知、分析和响应的整网主动安全防护体系。
一机两用SDP防护
缔盟云
零信任应用虚拟化
本地沙箱
资源重定向
沙箱内(3D高清)应用调用本地CPU/内存/磁盘性能
外设本地兼容
类似IDV
支持离线
基础概念
核心思想
默认情况下,企业内外部的任何人、事、物均不可信,应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。
核心原则
身份是访问控制的基础
信任来自于端到端所有对象的身份,基于身份而非网络位置构建访问控制。
最小权限原则
资源可见和访问按需分配,仅授予执行任务所需的最小特权。
实时计算访问控制策略
根据主客体信任评估和访问需求进行策略计算,并持续评估以保证策略实时变更。
资源受控安全访问
所有业务场景、全部资源基于每一个访问请求连接,进行强制身份识别和授权、鉴权和通道加密。
基于多源数据进行信任等级持续评估
包括身份、访问上下文等的实时多源数据的多样性和可靠性,提升信任评估策略计算能力。
架构
控制平面
信任评估引擎
访问控制引擎
数据平面
安全访问代理
身份安全基础设施
4A
统一安全管理平台解决方案:
认证Authentication、
授权Authorization、
账号Account、
审计Audit
IAM
身份与访问管理 Identity and Access Management
IDaaS:Identity as a Service
目录服务
AD
LDAP
PKI
Public Key Infrastructure,公钥基础设施
多因子认证MFA
知识类验证
点选
拖动
生物识别
指纹
面部
电子凭证
数字证书
安全令牌
智能卡
身份管理系统
数据访问策略
访问来源
访问主体
人员
设备
应用
系统
访问客体
应用
端口
功能
数据
第三方平台
其他安全分析平台
终端防护与响应系统
安全态势感知分析系统
行业合规系统
威胁情报源
安全信息
事件管理系统
技术特点
数据安全
数据防泄漏:DLP
数据库审计
虚拟沙箱
用户和实体行为分析:UEBA
云访问安全代理:CASB
传输层安全性协议:TLS
网络安全
URL过滤
云安全网关:CSG
数据丢失防护:DLP
人员/身份安全
身份验证
持续监视和管理访问权限/特权
web网关
远程浏览器隔离
多因素认证
工作负载安全
安全控件
工作负载保护
设备安全
设备的持续监控
TPM
安全性检查
动态策略配置
可视化分析
安全信息管理:SIM
安全用户行为分析:SUBA
网络分析和可见性:NAV
自动化编排
安全自动化与编排:SAO
改进对事件的响应速度
提高策略的准确性
任务的自动分配
对策略中组件的主动控制
应用场景
数据安全
应用沙箱
IAM:身份识别与访问管理
第三方/单点登录
允许不同 web 应用/安全域/门户等无缝访问,支持企业微信/钉钉/LDAP 等第三方认证登录。
认证管理
支持统一的单因子和多因子认证策略,可以根据应用安全级别/用户角色等设置不同的认证策略。高安全级别的应用可以开启多因子认证保护,低级别的应用可以开启单一或普通认证保护。支持账号密码/设备特征/访问环境/可信证书/短信/动态令牌等多种认证方式。
动态认证授权
动态感知:为每个用户定义安全评分,对通过认证后的用户访问进行实时评估监测,如认证和访问过程中有异常行为,则会根据事件级别进行动态分值调整,一旦触发安全红线,则强制中断会话,降低安全分,对账号进行时间段封禁。
用户管理
支持手动添加/批量创建用户,按公司/部门/角色/用户组等创建访问认证规则。支持企业微信/钉钉/LDAP/AD 等第三方身份源同步及认证访问。支持用户状态管理,如封禁/锁定/启用/会话回收等。
资源门户
安全网关
移动设备管理
态势感知
WAF
适用范围
企业信息化环境
SaaS
企业内网
私有云
公有云
远程办公
接入人员、设备多样化
企业资源暴露程度大幅度增加
数据泄露和滥用风险大幅增加
云计算平台
云管理服务安全性要求
共享技术漏洞威胁
开源代码自身风险
大数据中心
多部门、多平台、多业务的数据融合
打破部门、业务之间的边界,实现互通互访
客户决策依据
是否能够在一定时间范围内解决已存在的问题和发现未知威胁
是否可以在未来一段时间范围为信息化系统持续发展提供保障
是否可以顺畅对接现有资产,在此基础上还需要持续投入多久
是否满足上级机构和国家对于信息化系统的检查要求
0 条评论
下一页
