零信任最早由Forrester 分析师John Kindervag在2010年,它既不是一项技术,也不是一种产品,而是一本原则是“从不信任,总是验证”。自提出零信任一词以来,它一直受到各行各业的追捧。随着时间的推移,国内外已经实施了许多零信任解决方案。本文盘点了国内外现有的零信任解决方案。
国外
Google的BeyondCorp该项目是最早的零信任计划之一。早在2011年,谷歌就开始部署远程访问计划BeyondCorp,为员工提供内网应用的安全访问服务。BeyondCorp该计划的目标是提高员工和设备访问内部应用程序的安全性。与传统的内外网络安全模型不同,BeyondCorp服务和工具的访问权限不是基于用户的物理位置和网络位置;而是基于设备信息、状态信息和与用户相关的信息。BeyondCorp认为内外网络完全不可信,应通过动态判断策略和强制执行访问分级来控制应用程序的访问。
2020年4月,谷歌宣布发布“BeyondCorp远程访问”作为远程办公虚拟专用网连接的替代方案,产品声称其部署速度远快于传统虚拟专用网,可以减轻现有虚拟专用网的压力。
20211月27日,谷歌云正式发布博客,宣布零信任平台BeyondCorp Enterprise去年4月发布的正式上市、替代和扩展BeyondCorp远程访问产品。BeyondCorp Enterprise谷歌云为客户提供了验证和可扩展的零信任平台。
BeyondCorp Enterprise三大特点:
- 采用安全可靠的零信任平台采用安全、无代理的系统结构:Chrome浏览器提供无中断、无代理的支持、可靠性支持和可扩展性DDoS内部建设和可验证的保护服务和平台安全。
- 持续实时的端到端保护:新的嵌入式数据和威胁保护、强大的防钓验证、端到端安全(包括微分段)和自动化公共信任证书的全生命周期管理,用户在受保护资源之间进行持续授权、用户到应用、应用到应用。
- 开放可扩展的安全生态:BeyondCorp联盟纳入了Check Point、Citrix、CrowdStrike、McAfee、Palo Alto、Tanium、VMware全球网信龙头企业等多家。
思科
思科是网络领域的佼佼者。近年来,它通过一系列收购展示了自己在安全领域的雄心壮志。特别是2018年Duo Security 的收购大大增强了思科安全产品的功能。此外,结合思科的网络和设备工具,分析和云负载的新产品和新产品Duo支持多组件、部署和易用性已成为整个产品组合的特点。
收购后,思科推出了跨网络、用户和设备的自动安全更新等多种先进的零信任功能。其功能倾向于管理员的高安全性和最终用户的高可用性。思科主张根据当地情况采取措施,而不是一刀切地进行安全控制通过思科零信任安全成熟模型制定思科零信任框架,保护企业三个关键领域,系统解决安全问题:
- 企业员工零信任安全:基于Duo在不考虑具体位置的情况下,确保只有合法用户和安全设备才能访问应用程序。
- 零信任安全信任安全:工作负荷安全是指确保企业网络中所有用户和设备连接的安全。当恶意攻击者攻击各种关键系统或窃取并泄露敏感数据时,思科零信任架构可以基于Tetration,与ACI以及数据中心架构Firepower通过最小化攻击面,强制实施进出工作负荷的最小访问特权。
- 零信任安全面向办公空间:重点是确保连接企业网络的任何设备(包括 IoT)访问安全。思科零信任可以基于SD-Access网络架构,和 ISE 深度结合的解决方案,在网络可控范围内建立基于信任的访问控制,且适用于包含物联网在内的所有用户和设备。
Microsoft
微软在RSAC2021该公司宣布推出了一系列新的零信任功能,可以帮助客户明确验证,授予最小的特权访问权,并假设攻击已经发生。该公司是它的Azure Active Directory条件访问云识别产品推出了一项新功能,为管理员提供了更精细的访问控制,使得越来越多的策略列表更容易控制。
为实现最低特权访问权限,微软首次展示了非安全端点和网络设备的发现Microsoft Defender for Endpoint保护端点的功能。微软的威胁和漏洞管理功能现在还支持Linux操作系统使组织能够检查发现的漏洞,评估最新的安全建议,并发布修复任务。
微软还推出了新的异常检测功能,如Azure Sentinel用户和实体行为分析(UEBA),可用于在搜索事件或与事件融合时提供额外的上下文。Microsoft Cloud App Security通过检测可疑的应用程序活动和云服务的数据泄露尝试,将有助于防止攻击。
IBM
IBM零信任蓝图提供构建安全应用的框架。框架设计应用了最小访问特权、不信任、始终验证和缺陷假设等基本零信任原则。
2021 年 5 月,IBM Security宣布推出 IBM Cloud Pak for Security 新软件是服务 (SaaS) 版本简化了企业零信任架构的全面部署。IBM 同时宣布与领先的云和网络安全提供商 Zscaler 建立联盟合作关系,发布新蓝图,用于常见的零信任用例。
全新的 IBM Security 零信任蓝图提供了一个框架,采用零信任核心原则设计,可用于构建安全程序。其设计原则包括:严格控制特权访问,永不轻易信任,始终验证,假设存在漏洞。
IBM Security 零信任蓝图可以帮助客户采取以下业务措施:
- 保护客户隐私:隐私蓝图中的功能和集成可以结合安全功能和合规功能,帮助企业组织保护客户数据的完整性,遵守隐私法规。
- 确保混合和远程办公的安全:组织可以使用混合办公蓝图来确保各种办公方式的安全,使员工可以安全地连接到任何网络上的任何应用程序。
- 减少内部威胁隐患:组织可以利用内部威胁蓝图积极管理各种内部威胁,提高业务弹性,尽量避免业务中断。
- 保护混合云:混合云蓝图可以帮助组织实现安全程序的现代化,使组织在迁移到云的过程中始终控制最敏感的数据和活动。
Akamai
作为少数内部实践零信任的安全制造商之一,Akamai为企业终端用户推出Enterprise Application Access 2019年被Forrester wave列入零信任制造商领导象限。
Akamai Enterprise Application Access其特点是在边缘交付自适应访问和威胁保护,对企业最直接的作用是避免昂贵的设备投资,降低管理成本。Akamai用户可以实现:
- 身份验证和应用程序访问
- 使用多因素身份验证实行单点登录
- 应用程序性能和安全性
- 高级威胁防护
- 检查内联数据
在Akamai在零信任安全方案中,远程访问不再需要虚拟专用网络设备。通过反向代理和身份控制模式,用户可以在内部或云中控制应用程序,并主动将应用程序访问推送到平台。该平台实际上已成为终端用户访问的接口。原始用户直接访问企业应用程序分为用户访问平台和内部访问connector访问平台有两种类型。拆分后,Akamai黑客网络攻击可以通过其智能边缘平台的能力来解决。
赛门铁克
收购赛门铁克Luminate Security后推出Symantec Secure Access Cloud,平台中针对“零信任”最有趣的功能是更新风险结构系统。Symantec Secure Access Cloud解决方案旨在全面保护企业在企业环境中对云和互联网的访问和使用。新的云访问安全解决方案是其集成网络防御平台的一部分,支持企业实施零信任安全战略,确保用户能够安全访问 SaaS 应用、IaaS 环境中的企业应用、基于云的电子邮件和互联网。零信任访问安全解决方案只允许用户访问完成任务所需的网络和云资源,并严格执行数据安全和威胁防御策略。
- SaaS应用安全:CloudSOC Mirror Gateway在专利申请的帮助下Symantec Web Isolation为非托管设备提供云访问安全代理(CASB)安全控制涵盖所有现代SaaS应用。
- IaaS应用安全:Symantec DLP检查、上传或下载到 IaaS 企业在其他环境中的应用内容,结合杀毒和沙盒技术加强威胁防御。
- Web 和互联网安全:新的集成和设备支持,面向互联网访问云安全服务,已经发布。Secure Access Cloud支持共享Web会话和经过身份验证的用户信息。
- 电子邮件安全:可疑附件的隔离特性已添加到 Email Security.cloud 现有的嵌入式链接隔离功能当中。现在,用户可以在附件发布到其环境中之前验证其真实性与安全性。
Appgate
Appgate2020年 1月从 Cyxtera 与零信任领域相比,数据中心基础设施公司被拆分为新人。Appgate SDP 正在从传统的防火墙模型中转移企业安全,赶超众多竞争对手。
Appgate在客户服务和创新方面有自己独特的优势。当客户发现问题或漏洞时,Appgate在不依赖传统模型的情况下,可以重新设计零信任产品服务。
AppGate SDP 的特点包括:
- 以身份为中心,围用户而不是 IP 地址设计
- AppGate 的 Segment of One提供基于策略的细粒度网络微分段,显著减少企业的网络攻击面
- 单包授权技术安全隐藏 AppGate 基础设施,只有验证用户才能与系统通信
- 可大规模扩展的分布式架构为所有工作负荷和应用程序提供一致的安全性 - 在专用基础架构和公共云上
Cloudflare
和大多数其他零信任软件一样,Cloudflare零信任软件支持基于角色的访问控制,但它们评估每个应用程序的访问请求:身份、设备、位置和安全,允许应用程序同时通过多个身份提供商访问,管理员可以随时添加或删除不同的身份。
2021年2月,Cloudflare发布了Cloudflare One解决方案是为现代企业设计的网络,即服务(Network-as-a-Service),以零信任为基础(Zero Trust)边缘是安全访问服务(Secure Access Service Edge,SASE)在这两个概念上,声称企业可以通过单一网络取代使用设备和广域网(WAN)基于云的安全性、效率和集中控制能力,技术组装的网络解决方案。
Centrify
Centrify 认为特权访问管理(PAM)不再适用于当前的网络。企业必须放弃“信任但验证”这种模式依赖于明确定义的边界。Centrify 通过提供cloud-ready零信任特权重新定义传统 PAM,保护基础设施,DevOps、访问云、容器、大数据等现代企业。
特性:
- 密码存储和身份代理
- 多因素身份验证 (MFA)
- 支持Linux操作系统
- 本地多租户 SaaS 部署
- 分层区域模型
- 与 AWS、Apple、IBM、Microsoft、Palo Alto Networks许多企业建立合作伙伴关系
Zscaler
Zscaler Private Access (ZPA) 是 Zscaler 的云服务可以为在公共云或数据中心运行的私人应用程序提供无缝、零信任的访问。ZPA,应用永远不会暴露在 Internet 在上面,未经授权的用户根本看不到它们用程序从内到外与用户连接,而不是将网络扩展到用户。这种零信任的网络访问 (ZTNA)方法支持托管、非托管设备和任何私人应用(不仅限于 Web 应用)。
特性:
- 根据网络变化动态调整的策略,无缝用户体验可以驱动连接。
- 安全性增强,特定于应用程序连接,用户无需上网。
- 易于部署,无需硬件或硬件升级。
- 即时部署和发现可以自动发现应用程序,使用户可以轻松地围绕它们构建策略。
- 单点登录 (SSO) ,ZPA 直接绑定到用户现有的身份验证基础设施,使用 SSO 进一步降低复杂性。
- 实时可见性,为用户和应用程序以及组织应用程序和服务器运行提供可见性。
Okta
Gartner报告显示,到2022年,80%的新数字业务应用程序将通过零信任网络向生态系统合作伙伴开放(ZTNA)访问。到2023年,60%的企业将淘汰大多数远程访问虚拟专用网络,而不是使用零信任SaaS。典型的零信任公司OKTA采用SaaS市值250亿美元的订阅模式(超过防火墙等传统安全公司)。2019年,Okta订阅收入38亿元,占收入的38亿元94.3%。
2018年7月18日,Okta宣布安全开始收购ScaleFT 促进零信任访问,ScaleFT访问管理平台可以在没有虚拟专用网络的情况下实现安全的远程访问。ScaleFT能够帮助Okta提高零信任能力,ScaleFT首席技术官Paul Querna加入Okta,领导公司的零信任计划。
Palo Alto Networks
从 2018年到 2020年,Palo Alto Networks收购了至少9家零信任和安全公司,并将不同公司提供的不同安全解决方案与添加自己的内容相结合,创建了完整的零信任组合。
2021年6月,Palo Alto Networks宣布,作为The Forrester Wave 2020年第三季度零信任扩展生态系统平台供应商的领导者,Palo Alto Networks推出SaaS安全、高级URL过滤、DNS安全、云身份引擎和新型机器学习防火墙五项创新功能,让企业能够轻松、有效地实施零信任网络安全,并获得四项重要优势:
- 正确应用安全访问:行业首家集成云访问安全代理(CASB),让客户主动扩展对所有SaaS安全访问包括前所未有的应用程序。
- 安全访问正确的用户:行业中第一个云身份引擎允许客户在企业网络、云和应用程序中轻松验证和授权用户,而不受身份存储位置的影响。
- 提高安全性:高级URL通过本地机器学习功能,过滤服务提供了业界第一个零日网络攻击防御。DNS新兴的安全功能可以防止其他解决方案无法防御DNS攻击。
- 安全访问的全面普及:这些新功能可以用于所有形式的防火墙(硬件、软件和云),无论用户在哪里,都可以进行安全访问。除了现有的防火墙外,新机器还可以利用这些创新功能来学习下一代的防火墙,以实现企业级的零信任网络安全——从小型分支机构到大型公园和超大型数据中心。
Cato Networks
Cato Networks 由云原生托管SD-WAN服务为企业提供随时随地的安全网络访问,无缝集成移动用户和云数据中心WAN中。目前Cato为零售、医药、制造等行业提供服务。去年11月,Cato Networks全球合作伙伴计划,包括总代理、子代理、VAR和MSP。
Cato SASE 平台实现零信任并提供:
- 基于客户端或无客户端的远程访问
- 通过安全 MFA 身份验证
- 授权基于用户身份的应用访问策略
- DPI(深度包检测)和智能反恶意软件引擎继续抵御威胁
- NGFW(下一代防火墙),IPS(入侵防御系统)和 SWG(安全 Web 网关等高级安全功能
- 优化了本地和云资源的端到端性能
- 全球分布式云平台可以访问所有网络边缘
- 50多个 PoP骨干网络和 99.999 % 正常运行时间 SLA
CrowdStrike
CrowdStrike零信任(Zero Trust)使组织能够跨越多目录,在多云环境中查看劳动力身份。它通过提供条件访问来减少动态摩擦和误报,从而消除了分析复杂和容易出错的日志的需要,从而缩短了检测和解决事件的时间。
这样可以减少报警疲劳,防止攻击扩散,确保安全团队获得更好的信息。CrowdStrike通过高保真高保真相关性降低了安全运营中心(SOC)通过自适应条件访问,分析人员的负担,增强用户体验。
CrowdStrike零信任方案对端点安全状况进行评估,并通过与生态系统合作伙伴共享评估分数来强制从合规端点有条件地访问资源。它还可以确保为真正的用户提供一致的登录体验,同时仅在风险增加时才强制对资源和应用程序进行有条件的智能访问。
BlackBerry
黑莓公司发布了BlackBerry Gateway,标志着该公司已被杀入SaaS零信任网络访问和本地应用程序(ZTNA)市场。黑莓网关可以帮助组织降低网络访问风险,假设每个用户、端点和网络在身份验证前都可能是恶意的。该产品将于本月上市。
网关保证只有可靠健康的设备访问业务网络,并提供ZTNA这些数据将据BlackBerry云数据湖。BlackBerry Gateway它还可以与公司的终端安全产品集成,为设备、网络和用户身份的威胁提供全面的防御。
Illumio
Illumio2020年第三季度Forrester Wave零信任厂商在评价中排名第一,是微分段厂商。Forrester Wave报告中评价Illumio智能实现零信任。Illumio它提供了一个强大的平台,专注于可见性和分析,为整个基础设施提供清晰可用的信息。供应商继续保持这种强大的功能,但现在通过转移到端点来提高效率。通过与领先的端点安全提供商CrowdStrike的合作,Illumio帮助企业缩小边界安全差距,为今后的工作做好准备。
Illumio零信任解决方案主要分为两部分:
- Illumio Core(核心):提供与网络无关的基于主机的解决方案,可以轻松高效地大规模部署微分段。
- Illumio Edge(边缘):将分段扩展到端点,实现真正的端到端分段部署。
Netskope
NewEdge SASE该架构拥有世界上最大、性能最高的安全私有云,并支持它Netskope Security Cloud必要时可随时随地部署实时内联安全服务。NewEdge支持下一代安全Web网关、云访问安全代理、数据丢失保护、零信任网络访问产品。
完全控制路由和数据中心,NewEdge可以将Web、云和SaaS访问延迟和往返时间最小化。NewEdge在每个服务点部署一个完整的实时计算,以确保每个数据中心的传输速不牺牲性能。
Perimeter 81
Perimeter 81 是一家零信任安全网络,即服务提供商。2019年,它发布了自己的零信任应用程序访问,旨在满足当今不断扩大的现代网络的需求,确保组织的关键 Web 应用、SSH、远程桌面 (RDP)、虚拟网络计算 (VNC) 和 Telnet 无论员工在哪里连接,都以模拟、简化和无缝的方式进行。
Perimeter 81 零信任安全应用程序访问补充了其零信任网络访问解决方案,以确保任何云环境或 通过安全网络层、单击和跨平台LAN简化、分段、安全地访问应用程序(包括所有端口和协议)。
Proofpoint
Proofpoint于2019年5月以1.11亿美元现金收购零信任初创公司Meta Networks。Meta Networks利用云本地全球骨干网络,以用户为中心,取代网站为中心的网络安全,帮助企业实现人员、应用、云、数据中心和办公室的快速连接。通过收购,Meta Networks的ZTNA技术将与Proofpoint的CASB和Web隔离产品线的集成有助于其云安全产品和自适应控制的进一步发展。
Proofpoint Meta企业零信任网络是软件定义的服务,可以安全地将用户连接到数据中心、公共云和私有云,SaaS 应用程序提供相应的敏捷性和高性能。Proofpoint Meta 正在为企业构建以用户为中心的计算结构。网络即服务 (NaaS) 是全球覆盖网络,是全球多租户网络,但其功能类似于每个客户组织的私营企业广域网。该网络的所有基础设施都由 Proofpoint Meta 在云端提供,因此没有硬件供客户组织部署。
Ericom Software
Ericom Software的ZTEdge是满足中小企业独特需求的综合零信任安全平台。Ericom Software声称与其他解决方案相比,ZTEdge降低复杂性,降低网络风险,提高性能,但价格要低得多。
ZTEdge将正确的人员和设备连接到正确的应用程序和资源中,并在用户及其设备和资源中Web与电子邮件互动时提供保护。ZTEdge通过控制对Office 365或Salesforce公共云应用程序访问消除了盗用凭证的风险,限制了数据共享特权。
根据Ericom Software的说法,ZTEdge勒索软件的攻击可以通过网络分段和监控进行检测、防止和补救。ZTEdge也可用于将远程员工连接到私有云或本地应用程序,并允许直接访问本地互联网,避免流量传输,提高性能。
One Identity
One Identity 发布了Starling CertAccess,访问请求和访问认证产品有助于组织利用企业Active Directory和Azure Active Directory。它解决了在Active Directory和Azure Active Directory管理、保护和控制用户账户的问题。
让员工轻松一致地要求访问权限,并让业务部门认证访问权限,Starling CertAccess能保证用户有正确的访问权限,使凭证不易受到攻击。Starling CertAccess还增强了“活动角色”和“按需移动角色”用户和组管理能力可以简化关键的混合Azure Directory身份管理任务。
Unisys
Unisys它是一家非常特殊的零信任制造商,主要为美国联邦政府的一些高度保护的机密组织提供零信任网络访问服务。Unisys代表产品是Stealth,Stealth深入研究包括:发现、识别、映射和隐藏不应被看到或访问的资产。Unisys设计并构建了自己的创新专有产品,实现了微隔离和零信任。
特征:
- 快速部署和可扩展的安全远程访问
- 云生态系统
- 用于保护连接设备Smart Wire
- 动态隔离是确定威胁响应的优先级
国内
腾讯
2020今年6月,在中国工业互联网发展联盟标准委员会的指导下,腾讯联合成立了多家零信任机构“零信任产业标准工作组”,同时,腾讯也正式发布了自研零信任安全管理系统iOA5.0版本,基于可信身份、可信设备、可信应用、可信链接授予访问权限,并强制所有访问必须经过认证、授权和加密,以帮助企业在哪里工作(Anywhere)、何时(Anytime)使用何设备(Any device)可以安全访问授权资源处理任何业务(Any work)的新型“4A办公”方式。
2021今年5月,腾讯发布了零信任安全解决方案(腾讯iOA),分为KA版、SaaS三种类型的版本和轻量版。KA采用集群部署形式,满足大型企业零信任安全体系建设的需要;SaaS版本特别适用于企业微信安全访问内网应用场景;轻型版本注重提供轻、高效的零信任安全访问能力,主要适用于远程安全运维、移动办公等业务场景。
阿里云
阿里云远程办公零信任解决方案以可信、动态为核心,通过可信认证体系IP、在进入办公网络进行权限获取和数据调用时,通过可信认证获取权限,实现动态安全检测和保护。
整个方案包括远程终端安全管理、云动态决策控制、统一可信网络三个核心模块。
- 远程终端安全管理:对远程终端进行可信认证和身份管理,通过认证设备访问内部系统,系统收集和分析终端安全数据,实时而不是静态判断网络设备的安全。
- 云动态决策控制:采用交叉安全认证方式对访问者信息进行统一的高强度安全认证。同时,系统将通过智能模型分析可信度验证结果,全面判断访问身份的可信度等级,实现用户权限的动态分配。
- 统一可信网络:通过IDaaS该产品通过智能管理中心和各种安全控制节点,通过不同应用系统之间的账户认证和授权系统,实现集中权限管理和综合审计能力。
深信服
信服零信任访问控制系统aTrust(简称aTrust),是基于零信任安全理念推出的深信服“流量身份化”和“动态自适应访问控制“为核心创新安全产品。产品通过网络隐形、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景企业应用安全访问的需求。
同时,aTrust是零信任安全架构整体解决方案的核心组成部分,支持对接情况感知等安全设备,安全能力持续增长,帮助客户网络安全系统转移到零信任架构,帮助客户实现流量身份、权限智能、访问控制动态、运维管理简化新一代网络安全架构。
核心能力:
- 可信访问:网络隐身、终端可信检测、动态业务准入;
- 智能权限:权限基线梳理、动态访问控制、第三方安全能力集成
- 极简运维:轻量化易落地的架构,WEB免客户端资源访问,自服务终端运维管理
目前,深信零信任已在金融、运营商、互联网企业、大型制造业、教育、政府科研、企业事业单位等各行各业实施,成功与鸿蒙兼容OS系统。
奇安信
奇信零信任身份安全解决方案通过身份、业务安全访问、持续信任评估和动态访问控制四个关键能力,对所有访问请求进行加密、认证和强制授权,收集相关数据源进行持续信任评估,并根据信任程度动态调整权限,在访问主体和访问对象之间建立动态信任关系。
- 以身份为基石:为用户、设备、应用程序、业务系统等物理实体建立统一的数字身份识别和治理流程。
- 业务安全访问:在零信任架构下,所有业务访问请求(包括用户访问和应用业务应用)API接口调用访问等。)应被认证、授权和加密。
- 持续信任评估:零信任结构认为,一次性身份认证不能保证身份的持续合法性。即使采用高强度的多因素认证,也需要通过测量访问主体的风险来持续信任评估。
- 动态访问控制:在零信任架构下,主体访问权不是静态的,而是根据主体属性、对象属性、环境属性和持续的信任评估结果进行动态计算和判断。
20202021年,由奇安信集团牵头的信息安全技术 零信任参考体系结构在国家信息安全标准化技术委员会成功立项,成为零信任标准水平的第一个国家标准。2021年4月10日,奇安信“人工智能信任决策系统支持零信任安全架构”该项目获得第十届吴文军人工智能技术进步奖(企业技术创新项目)。
网宿
网宿SecureLink产品以云安全联盟为基础(CSA)软件定义边界(SDP)同时遵循标准规范Zero Trust 设计了安全框架,SecureLink提供基于身份认证和动态信任的企业远程访问安全访问服务,整合全链路传输加速能力,为远程、移动办公等日益多样化的办公场景创造更安全高效的办公体验。
特征:
- 基于零信任架构,安全能力强Zero-Trust架构实现网络隐形,按需授权访问细粒度、动态化,深度防范安全风险;
- 访问速度更快,性能升级:分布式安全网关,提供就近访问和最佳传输链路,优化访问速度;
- 多端支持,简单易用:支持Web浏览器、Win、MacOS、Android、iOS、Linux多终端访问简单易用;
统一管理,高效运维:分钟级配置生效,集中控制平台。
缔盟云
缔盟云ESZ®Cloudaemon通过身份/应用/终端/报纸的不断验证,平台零信任网络访问太极边界允许用户在办公环境和互联网环境之间自由切换,任何设备在任何地方无缝连接,重新定义企业安全边界,确保企业数字业务环境和私人应用访问安全,兼顾效率。
终端提供太极界“虚拟安全域”隔离网络威胁。企业员工通过“虚拟安全域”访问企业资源和应用,防止企业核心数据资产泄露。安全流通数据,提高数字化效率;“虚拟安全域”提供精细的权限管理,有效控制开发/运维人员的操作行为,确保企业在享受互联网红利的同时防止源代码泄露;用太极边界替换虚拟专用网络,使远程办公人员能够快速加密访问企业资源。身份验证的用户可以通过零信任网络(无论是公共云还是数据中心)无缝连接到企业应用和数据。
亚信安全
亚信安全零信任身份安全产品以身份为中心SDP作为关键组件,以智能可信身份分析引擎为大脑,形成亚信安全的零信任架构体系。基于身份安全,拉动情况、终端产品和威胁引擎“云网边端”安全业务访问、动态访问控制、零信任身份安全持续信任度量。
2020年5月,上海电信满意5G采用亚信安全提供的18项安全能力建设内容和进度要求4A-iFORT堡垒机方案,现网4A系统认证与日志对接实现了统一访问控制、账户管理、密码管理、授权管理、身份认证、审计等要求,全面提高了专用网络的安全运行和维护能力。
启明星辰
在国内外零信任架构的基础上,启明星辰结合IAM、SOC、在访问代理和大数据分析领域积累了十多年,形成了具有自身特点的零信任架构。访问主体在架构的左侧,终端包括主机PC、移动和物联网。在访问企业资源时,需要通过零信任架构核心组件中的身份和访问控制、风险管理中心、战略中心和访问代理,授予应用资源、系统资源和数据资源对象的访问权限。
启明星辰零信任架构特点:
- 可动态拆卸切割的弹性和敏捷框架,大大提高了投入产出比
- 支持虚拟化、分布式部署,云快,场景适应性强
- 多维身份识别不仅验证用户,还验证设备和属性
- 基于SPA实现网络和隐身应用的默认丢包策略
- 客户端多合一融合
- 实时风险评估,精确审计追溯
- 动态访问控制的精细化
- 平面分离控制和执行安全简单
- 符合等保、密评标准
芯盾时代
新盾时代以零信任安全理念为基础,以信息安全、人工智能、身份认证等多维技术为驱动,依托坚实的企业服务能力,为政府、金融、运营商、互联网、能源等行业客户提供全生命周期的现场业务安全保护方案。
集成软件定义边界SDP、增强型IAM微隔离三种技术,从网络、身份、设备、行为四个层面构建零信任安全架构,可以充分感知终端设备、身份、应用、服务、网络和人员行为的风险情况,基于持续的风险和信任评级,业务和数据资源访问细粒度,动态访问控制和风险处置,提高企业整体业务安全水平,满足远程办公、企业合作、网络、特权访问、云资源访问保护等安全和体验要求。
云深互联
云深互联网连续两年入选国内外权威行业报告中的零信任安全代表制造商Gartner发布的《零信任网络访问市场指南》推荐产品供应商。云深互联网零信任安全产品深云SDP致力于解决企业应用云、移动办公、远程访问带来的安全问题,为企业办公提供服务“云-管-端”综合数据资产安全防护系统。DeepCloud SDP深云隐盾网关,深云SDP客户端和深云SDP安全大脑由三个组件组成。
特征:
- 有效对抗渗透攻击:企业不暴露任何端口,不允许向内连接,物理隔离威胁
- 安全远程接入分公司和第三方人员:POP点覆盖全国,弹性扩容支持大并发,用户无缝接入企业网络
- 云服务弹性扩容,自动容灾:POP点覆盖全国,弹性扩容支持大并发,各地用户无缝接入企业网络
蒲公英
蒲公英零信任安全网络访问基于SD-WAN扩展新的访问边界和安全模型,为企业数字化转型提供可扩展性和可用性。通过对访问身份权限的动态控制,持续进行信任评估和动态访问控制,实现最终的业务安全访问。
特征:
- 快速部署,操作简单;
- 性价比高,降本增效;
- 加快企业数字化转型;
- 统一战略控制中心;
- 基于身份安全,内外防御;
- 国产应用产品。
蔷薇灵动
微隔离是零信任诞生之初的重要技术实现方式之一,近年来包括NIST(国家标准与技术委员会)Gartner、Forrester、CSA所有其他机构都将微隔离纳入零信任架构的基本组成部分。
玫瑰智能蜂窝自适应微隔离安全平台结合微隔离技术和自适应技术,通过软件定义细粒度访问控制工作负荷,可根据业务动态变化调整安全策略,适用于物理环境、混合云环境、容器环境等,帮助用户构建数据中心内的零信任系统。
玫瑰灵活5步实现数据中心零信任:
- 第一步是确定管理对象;
- 第二步是构建业务流图谱;
- 第三步是构建零信任网络架构;
- 第四步是部署零信任安全策略;
- 第五步,持续监控网络。
绿盟
绿盟科技零信任安全解决方案,遵循零信任安全理念,组合终端安全,身份识别与管理,网络安全,应用和数据安全,安全分析协作与响应等模块,构建以用户信任和设备信任为基础,持续评估访问过程的行为可信,自适应访问控制的零信任安全架构。
特性:
- 用户可信度:任何用户在访问资源前都必须获得认证和授权;
- 设备可信度:当前设备安全、终端安全防护措施和安全基线;
- 可信行为:访问会话建立后,继续评估用户和终端的行为,确保无恶意行为。一旦发现访问实体的异常行为,就意味着降低信任水平,零信任网络可以切断访问,从而降低安全风险;
- 自适应访问控制:根据用户、设备、访问行为等持续的信息收集和风险评估,自动决策并按规则进行相应操作。