世界看熱訊：零信任實(shí)踐：零信任安全網(wǎng)關(guān)，重塑企業(yè)安全新邊界

（CWW）進(jìn)入2022年，零信任理念加速落地，越來(lái)越多的企業(yè)希望基于零信任理念建設(shè)或改造網(wǎng)絡(luò)安全防護(hù)體系。零信任理念是一個(gè)整體的架構(gòu)，包含諸多技術(shù)和組件，安全廠商會(huì)根據(jù)用戶的實(shí)際需求、結(jié)合自身的技術(shù)優(yōu)勢(shì)，推出有特色的零信任產(chǎn)品，零信任安全網(wǎng)關(guān)就是其中最具代表性、應(yīng)用最為廣泛、技術(shù)最為全面的產(chǎn)品之一。

一、什么是零信任網(wǎng)關(guān)零信任安全網(wǎng)關(guān)是零信任架構(gòu)最核心的部分，通常部署在網(wǎng)絡(luò)入口或應(yīng)用服務(wù)前端，分隔用戶和資源，對(duì)所有流量強(qiáng)制執(zhí)行訪問(wèn)控制策略。零信任安全網(wǎng)關(guān)通常包含安全客戶端、動(dòng)態(tài)訪問(wèn)控制引擎、智能安全大腦、身份管理等組件，采用應(yīng)用代理、SPA單包授權(quán)、增強(qiáng)型身份管理和AI等技術(shù)，具備應(yīng)用訪問(wèn)代理、應(yīng)用資源隱藏、訪問(wèn)主體多維認(rèn)證、動(dòng)態(tài)訪問(wèn)控制、數(shù)據(jù)安全傳輸、訪問(wèn)日志審計(jì)、API安全防護(hù)等功能，在提高應(yīng)用訪問(wèn)安全性的同時(shí)簡(jiǎn)化接入過(guò)程，提升業(yè)務(wù)效率。

零信任安全網(wǎng)關(guān)按照架構(gòu)與應(yīng)用場(chǎng)景的不同，以安全應(yīng)用網(wǎng)關(guān)、安全API網(wǎng)關(guān)、訪問(wèn)控制網(wǎng)關(guān)、安全接入網(wǎng)關(guān)等多種形態(tài)，被廣泛應(yīng)用于金融、政府、運(yùn)營(yíng)商、互聯(lián)網(wǎng)、教育、能源、電力、醫(yī)療等行業(yè)中。

(相關(guān)資料圖)

二、零信任網(wǎng)關(guān)核心功能零信任安全網(wǎng)關(guān)以軟件定義的方式構(gòu)建基于身份的安全邊界，對(duì)每一次業(yè)務(wù)訪問(wèn)請(qǐng)求進(jìn)行持續(xù)信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制，真正做到“持續(xù)驗(yàn)證、永不信任”。零信任安全網(wǎng)關(guān)通常具備以下核心功能：

1.應(yīng)用訪問(wèn)代理

零信任安全網(wǎng)關(guān)通過(guò)對(duì)用戶訪問(wèn)和API調(diào)用的統(tǒng)一代理，對(duì)外僅暴露網(wǎng)關(guān)IP和端口，收斂應(yīng)用服務(wù)的網(wǎng)絡(luò)暴露面。

2.應(yīng)用資源隱藏

零信任安全網(wǎng)關(guān)采用SPA單包授權(quán)技術(shù)，默認(rèn)拒絕一切連接，不響應(yīng)未經(jīng)過(guò)驗(yàn)證設(shè)備和用戶的訪問(wèn)請(qǐng)求，使攻擊者無(wú)法找到服務(wù)地址和端口。SPA單包授權(quán)技術(shù)與應(yīng)用訪問(wèn)代理配合，實(shí)現(xiàn)網(wǎng)關(guān)自身和應(yīng)用資源的雙重隱藏，讓企業(yè)“網(wǎng)絡(luò)隱身”。

3.多維身份認(rèn)證

支持靜態(tài)密碼、動(dòng)態(tài)口令、生物識(shí)別、社交認(rèn)證、App掃碼認(rèn)證及數(shù)字證書等多種認(rèn)證方式，可自定義登錄策略，能夠?qū)崿F(xiàn)單點(diǎn)登錄、多因素認(rèn)證、免密認(rèn)證等功能，提升用戶認(rèn)證的安全性和體驗(yàn)性。

4.動(dòng)態(tài)訪問(wèn)控制

零信任安全網(wǎng)關(guān)部署在用戶和資源之間，綜合身份、設(shè)備、行為等維度的風(fēng)險(xiǎn)信息，通智能安全大腦和動(dòng)態(tài)訪問(wèn)控制引擎，進(jìn)行持續(xù)的風(fēng)險(xiǎn)和信任等級(jí)評(píng)估，執(zhí)行動(dòng)態(tài)的細(xì)粒度訪問(wèn)控制策略，在業(yè)務(wù)系統(tǒng)的任意場(chǎng)景實(shí)現(xiàn)包括放行、阻斷、自適應(yīng)認(rèn)證、權(quán)限收斂在內(nèi)的自適應(yīng)處置。

5.數(shù)據(jù)安全傳輸

在用戶終端和網(wǎng)關(guān)之間建立端到端的雙向加密隧道，并在資源訪問(wèn)全生命周期維護(hù)隧道鏈接。

6.訪問(wèn)行為審計(jì)

提供詳細(xì)的訪問(wèn)日志，基于日志進(jìn)行合規(guī)審計(jì)。

7.API安全防護(hù)

提供API接口的統(tǒng)一代理、訪問(wèn)認(rèn)證、數(shù)據(jù)加密、安全防護(hù)、應(yīng)用審計(jì)等能力，提升后端服務(wù)安全的開(kāi)發(fā)效率和維護(hù)效率。

8.數(shù)據(jù)脫敏與溯源

對(duì)流經(jīng)的數(shù)據(jù)提供數(shù)據(jù)脫敏、水印設(shè)置等功能，防止數(shù)據(jù)泄露，方便溯源追查。

三、零信任安全網(wǎng)關(guān)的應(yīng)用場(chǎng)景零信任安全網(wǎng)關(guān)的應(yīng)用場(chǎng)景廣泛，可與企業(yè)原有的縱深安全防護(hù)體系結(jié)合，全面提升企業(yè)的安全防護(hù)能力。在以下場(chǎng)景中，零信任安全網(wǎng)關(guān)都起到了良好的應(yīng)用效果：

1.網(wǎng)絡(luò)安全加固

通過(guò)多維身份認(rèn)證、動(dòng)態(tài)訪問(wèn)控制、訪問(wèn)行為審計(jì)、數(shù)據(jù)脫敏與溯源等功能，提升業(yè)務(wù)安全能力，避免身份冒用、越權(quán)訪問(wèn)、數(shù)據(jù)泄露等安全風(fēng)險(xiǎn)。

2.遠(yuǎn)程訪問(wèn)

保證內(nèi)部員工和第三方人員在遠(yuǎn)程辦公、遠(yuǎn)程開(kāi)發(fā)、遠(yuǎn)程運(yùn)維等場(chǎng)景中，能夠使用任意設(shè)備，在任意地點(diǎn)、任意時(shí)間，以最小化權(quán)限安全地訪問(wèn)企業(yè)資源，提升遠(yuǎn)程辦公的安全性和體驗(yàn)性。

3.替換VPN

將VPN“先連接后認(rèn)證”的機(jī)制升級(jí)為“先認(rèn)證后連接”，通過(guò)端口隱藏、多因素認(rèn)證、數(shù)據(jù)安全傳輸?shù)裙δ埽層脩敉ㄟ^(guò)互聯(lián)網(wǎng)安全便捷的接入企業(yè)內(nèi)網(wǎng)。Gartner預(yù)測(cè)到2023年，60%的企業(yè)將采用零信任替代大部分VPN。

4.API調(diào)用

代理API，通過(guò)安全認(rèn)證鑒權(quán)、流量管控、風(fēng)險(xiǎn)熔斷等安全策略，保障API接口的安全。

5.攻防演練

通過(guò)應(yīng)用代理和SPA單包授權(quán)，幫助企業(yè)“網(wǎng)絡(luò)隱身”，使攻擊者無(wú)法掃描探測(cè)到任何信息，大幅縮小暴露面。

四、零信任安全網(wǎng)關(guān)的應(yīng)用實(shí)踐芯盾時(shí)代零信任安全網(wǎng)關(guān)打破以網(wǎng)絡(luò)邊界為信任條件、認(rèn)為內(nèi)網(wǎng)皆可信的舊安全理念，從身份、設(shè)備、行為等維度展開(kāi)全方位防護(hù)，通過(guò)客戶端采集全局信息、智能安全大腦評(píng)估風(fēng)險(xiǎn)等級(jí)、動(dòng)態(tài)訪問(wèn)控制引擎生成訪問(wèn)控制策略，對(duì)用戶和設(shè)備進(jìn)行全面驗(yàn)證，對(duì)所有訪問(wèn)企業(yè)資源的請(qǐng)求進(jìn)行認(rèn)證、授權(quán)和加密，對(duì)內(nèi)、外部的每一次訪問(wèn)持續(xù)進(jìn)行信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制，真正做到“永不信任，持續(xù)驗(yàn)證”。

某股份制商業(yè)銀行的測(cè)試環(huán)境完全開(kāi)放在互聯(lián)網(wǎng)上，面臨訪問(wèn)主體多且環(huán)境復(fù)雜、訪問(wèn)控制寬松、應(yīng)用系統(tǒng)多且暴露面廣等安全風(fēng)險(xiǎn)。利用芯盾時(shí)代零信任安全網(wǎng)關(guān)改造測(cè)試環(huán)境后，公網(wǎng)IP從100+收斂至9個(gè)，開(kāi)放端口從10000+收斂至121個(gè)，資源暴露面大幅縮減；網(wǎng)關(guān)對(duì)接100+業(yè)務(wù)系統(tǒng)，日均防護(hù)調(diào)用次數(shù)超60萬(wàn)次，實(shí)現(xiàn)對(duì)全行員工及合作伙伴的動(dòng)態(tài)訪問(wèn)控制；在不改造合作伙伴系統(tǒng)和銀行開(kāi)放系統(tǒng)的情況下快速部署和上線，在攻防演練中表現(xiàn)優(yōu)異。

關(guān)鍵詞： 安全網(wǎng)關(guān) 企業(yè)安全