零信任最早由Forrester 分析师John Kindervag于2010年提出,它既不是一项技术,也不是一款产品,而是一种新理念,基本原则是“从不信任,总是验证”。自零信任这个词被提出以来,就被各行各业所追捧,随着时间的不断推移,国内外也有不少零信任方案已经落地。本文针对国内外现有零信任解决方案进行了盘点。
国外
Google的BeyondCorp项目是最早的零信任方案之一,早在2011年,谷歌就开始在内部部署远程访问方案BeyondCorp,向员工提供内网应用的安全访问服务。谷歌BeyondCorp计划的目标是提高员工和设备访问内部应用程序的安全性。与传统的内外网安全模型不同,BeyondCorp不基于用户的物理位置、网络位置来放开服务、工具的访问权限;而是基于设备信息、状态信息、关联用户的信息。BeyondCorp认为内、外网络都完全不可信,应通过动态判断策略和强制执行访问分级来进行应用程序的访问控制。
2020年4月,谷歌宣布发布“BeyondCorp远程访问”产品,作为远程办公VPN连接的替代方案,并宣称其部署速度大大快于传统VPN,且能够减轻现有VPN压力。
2021年1月27日,谷歌云官方发布博客宣布,零信任平台BeyondCorp Enterprise正式上市,替代并扩展了去年4月发布的BeyondCorp远程访问产品。BeyondCorp Enterprise是谷歌云对外商用的产品,为客户提供已验证、可扩展的零信任平台。
BeyondCorp Enterprise的三大特色:
- 一个可扩展、可靠的零信任平台,采用安全、无代理的体系结构:Chrome浏览器提供无中断、无代理的支持、可靠性支撑、可扩展的DDoS保护服务以及内建、可验证的平台安全性。
- 持续实时的端到端保护:新增内嵌数据和威胁保护、强大的防钓鱼验证、用户到受保护资源之间每次交互进行持续授权、用户到应用、应用到应用的端到端安全(包括微分段)和自动化的公共信任证书全生命周期管理。
- 开放且可扩展的安全生态:BeyondCorp联盟纳入了Check Point、Citrix、CrowdStrike、McAfee、Palo Alto、Tanium、VMware等多家全球网信龙头企业。
思科
思科是网络领域的佼佼者,近年来通过一系列收购展现了其在安全领域的雄心壮志。尤其是2018年对Duo Security 的收购大大增强了思科安全产品的功能。此外,结合思科的网络和设备工具,针对分析和云负载的新产品以及Duo对用户和端点的关注,支持多组件、部署和易用性成为了整个产品组合的特点。
收购后的思科推出了多项先进的零信任功能,例如跨网络、用户和设备的自动安全更新。它的功能倾向于管理员的高安全性和最终用户的高可用性。思科主张因地制宜而非一刀切式地进行安全性管控,通过思科零信任安全成熟度模型制定思科零信任框架,保护企业三大关键领域,且系统性地解决安全问题:
- 面向企业员工的零信任安全:基于Duo的零信任员工安全策略,在无需考虑具体位置的前提下,确保只有合法的用户和安全的设备才能访问应用程序。
- 面向工作负载的零信任安全:工作负载安全是指确保企业网络中所有用户和设备连接的安全。当恶意攻击者通过横向移动来攻击各种关键系统或窃取并外泄敏感数据时,思科零信任架构可基于Tetration,与ACI数据中心架构以及Firepower结合,通过最小化攻击面,强制实施进出工作负载的最小访问特权。
- 面向办公场所的零信任安全:该项重点在于确保连接企业网络的任何设备(包括 IoT)的访问安全。思科零信任可提供基于SD-Access网络架构,与 ISE 深度结合的解决方案,在网络可控范围内建立基于信任的访问控制,且适用于包含物联网在内的所有用户和设备。
Microsoft
微软在RSAC2021上宣布推出了一系列新的零信任功能,可帮助客户进行明确验证,授予最小特权访问权限并假设攻击已经发生。该公司为其Azure Active Directory条件访问云标识产品推出了新功能,该功能为管理员提供了更精细的访问控制,同时使控制越来越多的策略列表变得更加容易。
为了实现最低特权访问权限,微软首次展示了发现非安全端点和网络设备并用Microsoft Defender for Endpoint保护端点的功能。微软的威胁和漏洞管理功能现在还支持Linux操作系统,使组织能够查看已发现的漏洞,评估最新的安全建议并发布修复任务。
微软还推出了新的异常检测功能,例如用于Azure Sentinel的用户和实体行为分析(UEBA),可用于在搜寻事件或与事件融合时提供额外的上下文。Microsoft Cloud App Security的新增强功能将通过检测可疑的应用程序活动和来自云服务的数据泄露尝试来帮助防止攻击。
IBM
IBM的零信任蓝图提供构建安全应用的框架。框架设计过程中应用了最小访问特权、从不信任、始终验证以及缺陷假设等基本零信任原则。
2021 年 5 月,IBM Security宣布推出 IBM Cloud Pak for Security 的全新软件即服务 (SaaS) 版本,以简化企业全方位部署零信任架构的方式。IBM 同时宣布与领先的云和网络安全提供商 Zscaler 建立联盟合作关系,并发布了针对常见零信任用例的新蓝图。
全新的 IBM Security 零信任蓝图提供了一个采用零信任核心原则设计的、可用于构建安全程序的框架,其设计原则包括:严控特权访问、永不轻易信任、始终进行验证、假设存在漏洞。
IBM Security 零信任蓝图可帮助客户采取以下业务举措:
- 保护客户隐私:该隐私蓝图中的功能和集成性可将安全功能和合规功能结合起来,帮助企业组织保护客户数据的完整性及遵守隐私法规。
- 确保混合和远程办公的安全性:组织可以借助混合办公蓝图确保各种办公方式的安全性,让员工能够随时随地使用任何设备安全地连接到位于任何网络上的任何应用。
- 减少内部威胁隐患:组织可以借助内部威胁蓝图主动管理各种内部威胁,增强业务弹性,尽量避免业务中断。
- 保护混合云:混合云蓝图可帮助组织实现安全程序现代化,让组织在迁移到云的过程中始终掌控最敏感的数据和活动。
Akamai
作为为数不多的内部实践零信任的安全厂商,Akamai针对企业终端用户推出的Enterprise Application Access 2019年被Forrester wave列入零信任厂商领导者象限。
Akamai Enterprise Application Access的特点是在边缘上交付自适应访问与威胁防护,给企业带来最直接的作用就是免去昂贵的设备投入,降低管理成本。通过 Akamai用户可以实现:
- 身份验证和应用程序访问
- 使用多因素身份验证实行单点登录
- 应用程序性能和安全
- 高级威胁防护
- 内联数据检查
在Akamai的零信任安全方案里,远程访问不再需要VPN设备。通过反向代理的方法,结合身份管控模式,可以将用户在内部或在云端的应用进行反向的代理控制,把应用的访问主动推送到一个平台上,这个平台实际上就成为了终端用户访问的接口。原来用户直接向企业应用的访问被拆分成用户向平台的访问和内部connector向平台的访问两种。经此拆分,Akamai可以通过其智能边缘平台的能力化解黑客网络攻击。
赛门铁克
赛门铁克收购Luminate Security后推出Symantec Secure Access Cloud,平台中针对“零信任”的最有趣的功能是对风险结构系统的更新。Symantec Secure Access Cloud解决方案旨在企业环境中全面保护企业对云及互联网的访问与使用。全新的云访问安全解决方案是其集成式网络防御平台的一部分,用以支持企业统一实施零信任安全策略,从而确保用户能够安全地访问 SaaS 应用、IaaS 环境中的企业应用、基于云的电子邮件和互联网。零信任访问安全解决方案只允许授权用户访问其完成任务所需的网络和云资源,并严格执行数据安全和威胁防御策略。
- SaaS应用安全性:CloudSOC Mirror Gateway正在专利申请中,可借助Symantec Web Isolation功能为非托管设备提供云访问安全代理(CASB)安全控制,涵盖所有现代SaaS应用。
- IaaS应用安全性:Symantec DLP通过实施信息安全策略,检查上传或下载到 IaaS 和其他环境中的企业应用内容,并结合杀毒和沙盒技术增强威胁防御。
- Web 和互联网安全性:面向互联网访问云安全服务的全新集成和设备支持现已发布,该服务现在与Secure Access Cloud相集成,支持共享Web会话和经过身份验证的用户信息。
- 电子邮件安全性:可疑附件隔离特性现已添加到 Email Security.cloud 现有的嵌入式链接隔离功能当中。现在,用户可以在附件发布到其环境中之前验证其真实性与安全性。
Appgate
Appgate于2020 年 1 月从 Cyxtera 的数据中心基础设施公司分拆出来,相对于零信任领域来说还是新人。目前,Appgate SDP 正在将企业安全从传统防火墙模型中转移出来,并赶超许多竞争对手。
Appgate在客户服务和创新方面具有自己独特的优势。当客户发现问题或漏洞时,Appgate能够提供重新设计零信任产品服务,并且不依赖传统模型。
AppGate SDP 的特性包括:
- 以身份为中心,围绕用户而非 IP 地址设计
- AppGate 的 Segment of One提供基于策略的细粒度网络微分段,显著减少企业的网络攻击面
- 单包授权技术安全地隐藏了 AppGate 基础设施,以便只有经过验证的用户才能与系统通信
- 可大规模扩展的分布式架构为所有工作负载和应用程序提供一致的安全性 - 在专用基础架构和公共云上
Cloudflare
与大多数其他零信任软件一样,Cloudflare的零信任软件支持基于角色的访问控制,但它们会根据四种不同类别评估每个应用程序访问请求:身份、设备、位置和安全上下文,允许应用程序同时通过多个身份提供者访问,管理员可以随时添加或删除不同的身份。
2021年2月,Cloudflare发布了Cloudflare One解决方案,它是个替现代企业所设计的网路即服务(Network-as-a-Service),奠基在零信任(Zero Trust)与安全存取服务边缘(Secure Access Service Edge,SASE)两大概念上,宣称透过单一网路就能取代企业利用装置及广域网路(WAN)技术所组装的网路解决方案,并能提供基于云端的安全、效能及集中控制能力。
Centrify
Centrify 认为特权访问管理(PAM)已经不适用于当前网络。企业必须摒弃“信任但验证”的旧模式,这种模式依赖于明确定义的边界。Centrify 通过提供cloud-ready零信任特权来重新定义传统 PAM,以保护对基础设施、DevOps、云、容器、大数据和其他现代企业攻击面的访问。
特性:
- 密码存储和身份代理
- 多因素身份验证 (MFA)
- 支持Linux操作系统
- 本地多租户 SaaS 部署
- 分层区域模型
- 与 AWS、Apple、IBM、Microsoft、Palo Alto Networks等多家企业建立合作伙伴关系
Zscaler
Zscaler Private Access (ZPA) 是 Zscaler 的一项云服务,可为在公有云或数据中心内运行的私有应用程序提供无缝、零信任的访问。使用 ZPA,应用程序永远不会暴露在 Internet 上,未经授权的用户完全无法看到它们,应用由内而外与用户连接,而不是将网络扩展到用户。这种零信任网络访问 (ZTNA)方法支持托管和非托管设备以及任何私有应用(不仅仅是 Web 应用)。
特性:
- 无缝用户体验,可根据网络变化动态调整的策略驱动连接。
- 安全性增强,特定于应用程序的连接,无需让用户上网。
- 易于部署,不需要硬件或硬件升级。
- 即时部署和发现,可以自动发现应用,以便用户可以轻松地围绕它们构建策略。
- 单点登录 (SSO) ,ZPA 直接绑定到用户现有的身份验证基础架构,利用 SSO 进一步降低复杂性。
- 实时可见性,提供对用户和应用以及组织应用和服务器运行状况的可见性。
Okta
Gartner报告显示,到2022年,面向生态系统合作伙伴开放的80%的新数字业务应用程序将通过零信任网络(ZTNA)进行访问。到2023年,60%的企业将淘汰大部分远程访问虚拟专用网络,转而使用零信任SaaS。典型零信任公司OKTA采用SaaS订阅模式,市值达250亿美元(超过防火墙等传统安全公司)。2019年,Okta订阅收入规模38亿元,占营收94.3%。
2018年7月18日,Okta宣布收购安全启动ScaleFT 以推进零信任访问,ScaleFT的访问管理平台能够在没有VPN的情况下实现安全的远程访问。收购ScaleFT能够帮助Okta提高零信任的能力,ScaleFT首席技术官Paul Querna加入Okta,领导公司的零信任计划。
Palo Alto Networks
从 2018 年到 2020 年,Palo Alto Networks收购了至少9家零信任和安全公司,并将不同公司提供的不同的安全解决方案与添加自己的内容相结合,打造了完整的零信任组合。
2021年6月,Palo Alto Networks宣布,作为The Forrester Wave 2020年第三季度零信任扩展生态系统平台供应商的领导者,Palo Alto Networks推出SaaS安全、高级URL过滤、DNS安全、云身份引擎和新型机器学习防火墙五项创新功能,让企业能够轻松、有效地实施零信任网络安全,并获得四项重要优势:
- 安全访问正确的应用:业界首款集成的云访问安全代理(CASB),让客户主动扩展对所有SaaS应用的安全访问,包括那些前所未见的应用。
- 安全访问正确的用户:业界首款云身份引擎让客户在企业网络、云和应用中轻松验证和授权其用户,不受身份存储位置影响。
- 增强安全性:高级URL过滤服务通过本地机器学习功能提供业界首创的零日网络攻击防御。扩展的DNS安全功能可以防御其他解决方案无法防御的新兴DNS攻击。
- 全面普及安全访问:所有形式的防火墙(硬件、软件和云端)均可使用这些新功能,无论用户位于何处,均可进行安全访问。除了现有防火墙外,新型号机器学习下一代防火墙也能使用这些创新功能,以实现企业级零信任网络安全——从小型分支机构到大型园区和超大规模数据中心。
Cato Networks
Cato Networks 通过云原生托管的SD-WAN服务为企业提供随时随地的安全网络访问,将移动用户和云数据中心无缝集成到WAN中。目前Cato已向零售、医药、制造等多个行业提供服务。去年11月,Cato Networks推出了面向合作伙伴的全球计划,包括总代理、子代理、VAR和MSP。
Cato SASE 平台实现零信任并提供:
- 集成的基于客户端或无客户端的基于浏览器的远程访问
- 通过安全 MFA 进行身份验证
- 基于用户身份的应用级访问策略授权
- DPI(深度包检测)和智能反恶意软件引擎,持续抵御威胁
- NGFW(下一代防火墙)、IPS(入侵防御系统)和 SWG(安全 Web 网关)等高级安全功能
- 优化了本地和云资源的端到端性能
- 可从所有网络边缘访问的全球分布式云平台
- 由 50 多个 PoP点支持的骨干网络和 99.999% 的正常运行时间 SLA
CrowdStrike
CrowdStrike零信任(Zero Trust)使组织可以跨多目录,多云环境查看劳动力身份。它通过提供条件访问来减少动态摩擦和误报,从而消除了对复杂的、易于出错的日志分析的需要,进而缩短了检测和解决事件的时间。
这样可以减少警报疲劳,阻止攻击扩散,并确保安全团队获得更好的信息。CrowdStrike零信任通过高保真的相关性减轻了安全运营中心(SOC)分析人员的负担,并通过自适应条件访问增强了用户体验。
CrowdStrike零信任方案对端点安全状况进行评估,并通过与生态系统合作伙伴共享评估分数来强制从合规端点有条件地访问资源。它还可以确保为真正的用户提供一致的登录体验,同时仅在风险增加时才强制对资源和应用程序进行有条件的智能访问。
BlackBerry
黑莓公司发布了BlackBerry Gateway,标志着该公司已杀入SaaS和本地应用程序的零信任网络访问(ZTNA)市场。通过假设每个用户、端点和网络在身份验证之前都可能是恶意的,黑莓网关可以帮助组织降低网络访问风险。该产品将于本月上市。
网关确保仅可信任且健康的设备访问业务网络,并提供ZTNA遥测数据,这些数据将添加到BlackBerry的云数据湖中。BlackBerry Gateway也可以与公司的端点安全产品集成在一起,以针对设备、网络和用户身份的威胁提供全面的防御。
Illumio
Illumio是在2020年第3季度Forrester Wave评测中排名第一的零信任厂商,而且是一个微分段厂商。Forrester Wave报告中评价Illumio是智能实现零信任。过去,Illumio提供了一个强大的平台,专注于可见性和分析,为整个基础设施提供清晰可用的信息。供应商继续保持了这种强大的功能,但现在通过转移到端点来增强这种效率。通过与领先的端点安全提供商CrowdStrike的合作,Illumio已经帮助企业缩小了边界安全方面的差距,并为未来的工作做好了准备。
Illumio零信任解决方案主要分为两个部分:
- Illumio Core(核心):提供了一个与网络无关的基于主机的解决方案,可以轻松高效地大规模部署微分段。
- Illumio Edge(边缘):将分段扩展到端点,以实现真正的端到端分段部署。
Netskope
NewEdge SASE架构拥有全球最大、性能最高的安全私有云,并支持Netskope Security Cloud的实时内联安全服务,可在需要时随时随地部署安全服务。NewEdge支持下一代安全Web网关、云访问安全代理、数据丢失防护、零信任网络访问产品。
通过完全控制路由和数据中心,NewEdge可以将Web、云和SaaS访问的延迟和往返时间降至最低。NewEdge在每个服务点都部署了完整的实时计算,从而保障每个数据中心的传输速率,确保不牺牲性能。
Perimeter 81
Perimeter 81 是一家零信任安全网络即服务提供商,2019年发布了自己的零信任应用程序访问,旨在满足当今不断扩展的现代网络的需求,并确保对组织的关键 Web 应用、SSH、远程桌面 (RDP)、虚拟网络计算 (VNC) 的完全安全、隔离和无代理访问和 Telnet 以模拟、简化和无缝的方式进行,无论员工在哪里连接。
Perimeter 81 的零信任安全应用程序访问与其零信任网络访问解决方案相辅相成,确保通过安全网络层和单击、跨平台,对任何云环境或 LAN(包括所有端口和所有协议)进行简化、分段和安全的访问应用程序。
Proofpoint
Proofpoint于2019年5月以1.1亿美元现金收购零信任创业公司Meta Networks。Meta Networks利用云原生的全球骨干网,以用户为中心取代以站点为中心的网络安全,帮助企业实现人员、应用程序、云、数据中心和办公室的快速连接。通过收购,Meta Networks的ZTNA技术将与Proofpoint的CASB和Web隔离产品线集成,帮助其云安全产品和自适应控制得到进一步发展。
Proofpoint Meta是软件定义的企业零信任网络即服务,可以安全地将用户连接到数据中心、公有云和私有云、SaaS 应用等,同时提供相应的敏捷性和高性能。Proofpoint Meta 正在构建为企业提供以用户为中心的计算结构。网络即服务 (NaaS) 是一个全球覆盖网络,它是全球性的多租户网络,但其功能类似于每个客户组织的私有企业广域网。这个网络的所有基础设施都由 Proofpoint Meta 在云端提供,因此没有硬件供客户组织部署。
Ericom Software
Ericom Software的ZTEdge是一个全面的零信任安全平台,可满足中型企业和小型企业的独特需求。Ericom Software宣称,与其他解决方案相比,ZTEdge降低了复杂性,降低了网络风险并提高了性能,而价格却低得多。
ZTEdge能将正确的人员和设备连接到正确的应用程序和资源,并在用户及其设备与Web和电子邮件交互时提供保护。ZTEdge还通过控制对Office 365或Salesforce等公共云应用程序的访问,消除了凭据盗用的风险并限制了数据共享特权。
根据Ericom Software的说法,ZTEdge可以通过网络分段和监视来检测、阻止和补救勒索软件的攻击。ZTEdge还可用于将远程工作人员连接到私有云或本地应用程序,还允许对本地互联网的直接访问以避免流量回传,提高性能。
One Identity
One Identity 发布了Starling CertAccess,一种访问请求和访问认证产品,可帮助组织利用企业中的Active Directory和Azure Active Directory。它解决了在Active Directory和Azure Active Directory中管理、保护和控制用户账户的难题。
通过使员工能够轻松,一致地请求访问权限,并让业务部门对访问权限进行认证,Starling CertAccess可以确保用户拥有正确的访问权限,使凭据不容易受到攻击。Starling CertAccess还增强了“活动角色”和“按需活动角色”的用户和组管理能力,可简化关键的混合Azure Directory身份管理任务。
Unisys
Unisys是一家非常特殊的零信任厂商,主要为美国联邦政府内某些受高度保护的机密组织提供零信任网络访问服务。Unisys的代表产品是Stealth,Stealth深入研究包括:发现,识别,映射和隐藏那些不应该被看到或访问的资产。此外,Unisys在协议级别设计并构建了自己的创新专有产品,实现了微隔离和零信任。
特征:
- 安全远程访问的快速部署和可扩展性
- 云生态系统
- 用于保护连接设备的Smart Wire
- 动态隔离以确定威胁响应的优先级
国内
腾讯
2020年6月,在中国产业互联网发展联盟标准专委会指导下,腾讯联合多家零信任机构企业联合成立“零信任产业标准工作组”,同时腾讯正式发布自研零信任安全管理系统iOA5.0版本,采用基于可信身份、可信设备、可信应用、可信链路授予访问权限,并强制所有访问都必须经过认证、授权和加密,助力企业工位于何处(Anywhere)、何时(Anytime)使用何设备(Any device)都可安全地访问授权资源以处理任何业务(Any work)的新型“4A办公”方式。
2021年5月,腾讯发布零信任安全解决方案(腾讯iOA),分为KA版、SaaS版和轻量版三种类型。其中,KA版采用集群部署形式,满足大型企业的零信任安全体系建设需求;SaaS版特别适配企业微信安全访问内网应用场景;轻量版则聚焦于提供轻量、高效的零信任安全接入能力,主要适用于远程安全运维、移动办公等业务场景。
阿里云
阿里云远程办公零信任解决方案以可信、动态为核心,经过可信认证体系的IP、设备、应用,在进入办公网络进行权限获取和数据调用时,凭借可信认证获取权限,实现动态安全检测防护。
整个方案包含了三大核心模块:远程终端安全管理、云端动态决策管控、统一可信网络。
- 远程终端安全管理:对远程终端进行可信认证以及身份管理,通过认证的设备才能访问内部系统,系统同时采集分析终端安全数据,实时而非静态的判断入网设备的安全性。
- 云端动态决策管控:对访问者信息采用交叉安全认证方式进行统一的高强度安全认证。同时,系统会以智能模型分析可信验证结果,综合判断访问身份的可信等级,实现用户权限的动态分配。
- 统一可信网络:通过IDaaS产品打通了不同应用系统间的账户认证和授权体系,通过智能管理中心和多种安全管控节点,实现集中权限管理以及全面审计能力。
深信服
深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
同时,aTrust是零信任安全架构整体解决方案的核心组成部分,支持对接态势感知等多种安全设备,安全能力持续成长,助力客户网络安全体系向零信任架构迁移,帮助客户实现流量身份化、权限智能化、访问控制动态化、运维管理极简化的新一代网络安全架构。
核心能力:
- 可信访问:网络隐身、终端可信检测、动态业务准入;
- 智能权限:权限基线梳理、动态访问控制、第三方安全能力集成
- 极简运维:架构轻量化易落地、WEB资源免客户端访问、自服务终端运维管理
目前,深信服零信任已在金融、运营商、互联网企业、大型制造业、教育、政府科研、企事业单位等各行各业落地实施,成功兼容鸿蒙OS系统。
奇安信
奇安信零信任身份安全解决方案通过以身份为基石、业务安全访问、持续信任评估和动态访问控制这四大关键能力,对所有访问请求进行加密、认证和强制授权,汇聚关联各种数据源进行持续信任评估,并根据信任的程度动态对权限进行调整,从而在访问主体和访问客体之间建立一种动态的信任关系。
- 以身份为基石:基于全面身份化,为用户、设备、应用程序、业务系统等物理实体,建立统一的数字身份标识和治理流程。
- 业务安全访问:在零信任架构下,所有的业务访问请求(包括用户对业务应用的访问、应用API之间的接口调用访问等等)都应该被认证、授权和加密。
- 持续信任评估:零信任架构认为一次性的身份认证无法确保身份的持续合法性,即便是采用了强度较高的多因子认证,也需要通过度量访问主体的风险,持续进行信任评估。
- 动态访问控制:在零信任架构下,主体的访问权限不是静态的,而是根据主体属性、客体属性、环境属性和持续的信任评估结果进行动态计算和判定。
2020年,由奇安信集团牵头的《信息安全技术 零信任参考体系架构》,在全国信息安全标准化技术委员会成功立项,成为零信任标准层面的首个国家标准。2021年,4月10日,奇安信“支撑零信任安全架构的人工智能信任决策系统”项目,荣获第十届吴文俊人工智能科技进步奖(企业技术创新工程项目)。
网宿
网宿SecureLink产品是根据云安全联盟(CSA)的软件定义边界(SDP)标准规范,同时遵循Zero Trust 安全框架设计而成,SecureLink提供以身份认证与动态信任为基础的企业远程访问安全接入服务,并整合全链路传输加速能力,能够针对远程、移动办公等日趋多样化的办公场景,为用户打造更安全、高效的办公体验。
特征:
- 零信任架构,强大安全能力:基于Zero-Trust架构实现网络隐身,以细粒度、动态化的方式按需授权访问,深度防范安全风险;
- 访问更快,性能升级:分布式安全网关,提供就近访问和最优传输链路,优化访问速度;
- 多端支持,简单易用:支持Web浏览器、Win、MacOS、Android、iOS、Linux等多终端访问,简单易用;
- 统一管理,高效运维:分钟级配置生效,集中管控平台。
缔盟云
缔盟云ESZ®Cloudaemon平台零信任网络访问太极界,通过身份/应用/终端/报文的持续验证,允许用户在办公环境与互联网环境的自由切换、任何地点任何设备的无缝连接,重新定义了企业安全边界,保障企业数字业务环境及私有应用访问安全,兼顾效率。
太极界在终端提供“虚拟安全域”隔离网络威胁。企业员工通过“虚拟安全域”在互联网或办公网访问企业资源和应用,防止企业核心数据资产泄露。让数据安全流通,提升数字化效率;“虚拟安全域”提供精细化的权限管理,有效管控开发/运维人员的操作行为,保证企业在享受互联网红利的同时,防止源代码泄露;用太极界替换VPN,让远程办公人员快速加密访问企业资源。经过身份验证的用户,可以通过零信任网络无缝连接到企业应用与数据(无论是公有云还是数据中心)。
亚信安全
亚信安全零信任身份安全产品以身份为中心、以SDP为关键组件、以智能可信身份分析引擎为大脑,形成亚信安全的零信任架构体系。拉通态势、端点产品、威胁引擎,形成基于身份安全为基础设施,对“云网边端”全域全流程进行安全业务访问,动态访问控制,持续信任度量的零信任身份安全。
2020年5月,上海电信为满足5G核心网18项安全能力建设内容和进度要求,采用亚信安全提供的4A-iFORT堡垒机方案,与现网4A系统的认证和日志对接,实现了统一访问控制、帐号管理、密码管理、授权管理、身份认证、审计等要求,全面提升了专网安全运维的能力。
启明星辰
启明星辰在国内外零信任架构的基础上,结合IAM、SOC、访问代理和大数据分析等领域十多年的积累,形成了其自身特点的零信任架构。架构的左边是访问主体,终端包括主机、PC、移动和物联网。在访问企业资源时,需要通过零信任架构核心组件中的身份与访问控制、风险管理中心、策略中心和访问代理中的各种能力,授予应用资源、系统资源和数据资源客体的访问权限。
启明星辰零信任架构特征:
- 可动态拆卸裁剪的弹性、敏捷框架,极大提高投入产出比
- 支持虚拟化、分布式部署,上云快、场景适应性强
- 多维身份鉴别,验证的不只是用户还有设备和属性
- 基于SPA及默认丢包策略实现网络及应用隐身
- 多合一融合客户端
- 实时风险评估,精确审计追溯
- 精细化动态访问控制
- 控制与执行平面分离,安全且简易
- 符合等保、密评规范
芯盾时代
芯盾时代基于零信任安全理念,以信息安全、人工智能、身份认证等多维技术驱动,依托于坚实的企业服务能力,为政府、金融、运营商、互联网和能源等行业客户提供场景化全生命周期业务安全防护方案。
芯盾时代零信任业务安全解决方案融合软件定义边界SDP、增强型IAM和微隔离三大技术,从网络、身份、设备、行为四个层面来建设零信任安全架构,可全面感知端点设备、身份、应用、服务、网络和人员行为等风险态势,基于持续的风险和信任等级评估,对业务和数据等资源的访问授予细粒度的最小权限,并进行动态访问控制和风险处置,提升企业整体业务安全水平,满足远程办公、企业间协作、护网、特权访问、云资源访问保护等场景对安全性和体验的要求。
云深互联
云深互联在国内外的权威行业报告中都入选了零信任安全代表产商,连续两年入选Gartner发布的《零信任网络访问市场指南》推荐产品供应商。云深互联零信任安全产品深云SDP致力于解决企业应用上云、移动办公、远程访问带来的安全问题,为企业办公提供“云-管-端”一体化的数据资产安全防护体系。DeepCloud SDP由深云隐盾网关、深云SDP客户端和深云SDP安全大脑三大组件组成。
特征:
- 有效对抗渗透攻击:企业不暴露任何端口,不允许向内连接,物理层隔离威胁
- 分公司、第三方人员的安全远程接入:POP点覆盖全国,弹性扩容支持大并发,各地用户无缝接入企业网络
- 云端服务弹性扩容,自动容灾:POP点覆盖全国,弹性扩容支持大并发,各地用户无缝接入企业网络
蒲公英
蒲公英零信任安全网络访问基于SD-WAN延伸出全新的访问边界及安全模型,对于企业数字化转型提供了可扩展性和易用性。通过对访问身份权限的动态管控,持续进行信任评估和动态访问控制,实现最终业务安全访问。
特征:
- 快速部署,简单运维;
- 高性价比,降本增效;
- 加快企业数字化转型;
- 统一策略管控中心;
- 基于身份安全,内外防御;
- 国产化应用产品。
蔷薇灵动
从零信任诞生之初,微隔离就是其重要的技术实现方式之一,而近年来包括NIST(美国国家标准与技术委员会)、Gartner、Forrester、CSA等机构均将微隔离纳入零信任架构的基本组成部分。
蔷薇灵动蜂巢自适应微隔离安全平台将微隔离技术与自适应技术相结合,通过软件定义的方式对工作负载之间进行细粒度的访问控制,并能根据业务的动态变化自适应调整安全策略,适用于物理环境、混合云环境、容器环境等,帮助用户构建数据中心内部的零信任体系。
蔷薇灵动5步实现数据中心零信任:
- 第一步,确定管理对象;
- 第二步,构建业务流图谱;
- 第三步,构建零信任网络架构;
- 第四步,部署零信任安全策略;
- 第五步,持续的监控网络。
绿盟
绿盟科技零信任安全解决方案,遵循零信任安全理念,组合终端安全,身份识别与管理,网络安全,应用和数据安全,安全分析协作与响应等模块,构建以用户信任和设备信任为基础,持续评估访问过程的行为可信,自适应访问控制的零信任安全架构。
特性:
- 用户可信:任何用户,在访问前先取得认证和授权才能访问资源;
- 设备可信:设备当前安全性,终端安全防护措施,以及安全基线情况;
- 行为可信:访问会话建立后,持续评估用户和终端的行为,确保没有恶意行为发生。一旦发现访问实体的异常行为就意味着信任等级的降低,零信任网络可以切断这种访问,从而降低安全风险;
- 自适应访问控制:根据用户、设备、访问行为等持续的信息收集和风险评价,自动化的决策并按照规则作出相应操作。