新闻中心

    新闻中心  >  我们需要一款怎样的零信任SDP产品?
    我们需要一款怎样的零信任SDP产品?
    背景图 2023-11-03 19:54:46

    在之前的文章中,深信服提出,零信任不止于远程办公,应逐步向更广泛的场景进发,诠释安全接入的全新范式。(点击跳转:零信任=VPN?只能做远程办公?深信服零信任坦诚解答您的疑问)

    在帮助用户向更广泛的应用场景进发过程中,我们识别到零信任还面临两大挑战:

    挑战一:零信任SDP无法缓解人的脆弱性带来的安全风险。

    挑战二:零信任SDP所设想的最小权限过于理想,落地障碍巨大。

    此间种种真实案例,篇幅有限,在此就不一一赘述。

    对此,深信服不禁思考:我们需要的是一款怎样的零信任SDP产品?

    一张太极八卦图,可以很好描述我们的启发性思考。

    太极八卦图

    浩瀚宇宙间,一切事物和现象都包含着阴和阳,相反相成,缺一不可。

    实战攻防中,黑白并举,攻守兼备,方能谓之业务安全接入防护之“道”。

    用户真正需要的零信任SDP产品,除了具备体系化与纵深化的被动防御能力,还应该扩展主动防御能力。而这两种能力,需要以超前稳定的底层架构内核能力为支撑。

    由此,深信服在业界率先推出零信任全新能力X-SDP ——集“被动防御+主动防御”于一身,扩展升级传统SDP架构,创新融合“鉴白”“鉴黑”逻辑,实现零信任SDP产品的又一大能力跨越,助力用户安全领先一步。

    一个视频了解深信服零信任X-SDP是什么

    △一个视频了解深信服零信任X-SDP是什么

     

    01三道防线 层层守护

    ——体系化与纵深化的被动防御能力

    体系化与纵深化的被动防御能力

    从攻防对抗视角看,当SDP构建起业务防护边界,攻击者一般只能从SDP账号、SDP终端和暴露在外网的SDP设备入手。

    攻击者需要突破这三道防线,才能攻击受保护业务系统。

    基于此,深信服零信任围绕“账号、终端、设备”体系化建设,深挖战壕,构建层层纵深防护的三道安全防线。

     

    第一道:设备安全防线

    设备安全防线

    SDP设备的自身安全是业务访问安全的基石。

    在设备被攻破前,深信服零信任提供SPA单包授权、RASP自防护、防中间人攻击的三道子防线。即使在极端情况下,设备被攻破,深信服零信任也可以提供、HIPS防护、安全内核的两道子防线,层层守护设备自身安全性。

    其中,深信服持续引领SPA单包授权技术的发展和创新,率先推出第四代SPA“一次一码”,完美规避以往安全码泄露、冒用等潜在风险。

     

    第二道:账号安全防线

    账号安全防线

    基于攻击视角,深信服零信任账号安全防线可以分为两个阶段:

    • 在账号登录前,需经首次认证、终端认证、准入检查、多因素认证、增强认证,五道认证机制,层层审核。

    • 在账号登录后,通过权限鉴权、动态权限访问控制,告别以往“非黑即白”的粗放式管理,形成精细化管控。

    第三道:终端安全防线

    终端安全防线

    假设终端已经失陷的情况下,深信服零信任终端安全防线可通过基线核查、进程安全、网络隔离、终端数据防泄漏、权限鉴权、动态权限访问控制,有效防止攻击者通过已失陷终端作为跳板攻击业务系统。

    深信服零信任提供驱动级终端网络隔离能力,支持10+终端基线检查,在“办公不上网,上网不办公”的场景,用户连接办公网则自动断开互联网等不安全网络,有效防止终端远控。

     

    02零误报鉴黑 秒速自阻断

    ——可扩展的主动防御能力

    威胁诱捕——请君入瓮 手到擒来

    零信任SDP是对传统边界安全机制的升级,在解决传统边界模糊、不可控的问题时,随着社工钓鱼、远控内部终端等攻击手法愈发常见,仍然面临着利用人员的习惯性疏忽进行攻击、最小化权限过于理想以致难以落地等挑战。

    为了逆转实战中攻防不对等的局面,零信任SDP需要进一步演化升级,向协同式的“被动防御+主动防御”进行转变,切实兑现业务安全接入的承诺。

    深信服零信任X-SDP创新扩展主动防御能力,通过威胁诱捕和安全雷达两大核心能力,持续强化和升级主动防御和主动预警的能力,实现原生零误报鉴黑、秒速自阻断

    威胁诱捕——请君入瓮 手到擒来

    当终端被攻陷,攻击者需要通过失陷终端查找网络路由DNS、翻找浏览器记录和磁盘敏感文件、访问业务应用等方式进行扫描侦察。

    零信任X-SDP通过主动部署终端多维诱饵、应用诱饵,以及独创的原生无交互蜜罐,推送终端文件、浏览器记录、网络路由等多种类型的信息类诱饵,引导潜入终端的攻击者暴露攻击行为,快速精准发现终端钓鱼、帐号泄露等事件,实时阻断攻击通路,快速回溯攻击路径。

    并且,这种信息类诱饵类似于在终端放置一张“纸条”,推送后不占用终端CPU和内存资源,实现部署零消耗,向攻击者反向钓鱼,实现精准鉴黑。

    安全雷达——顺藤摸瓜 一网打尽

    安全雷达可细分为行为洞察、实体调查和防线可视三个子能力,实现零信任访问体系内的全链路行为追踪洞察、用户实体AI智能风险预警、防线纵深流量可视,完成事前预警、事中运营处置、事后溯源闭环

    1.全链路行为追踪洞察

    基于完整的账号/终端/进程信息,通过会话跟踪技术串联日志上文,快速还原事件的完整登录及访问行为路径,对事件进行定性分析,并通过关联分析,对明确的攻击以点带面、以面及网,顺藤摸瓜,所有潜在威胁一网打尽。

    2.用户实体AI智能风险预警

    依托全身份化的访问记录,利用AI智能分析引擎,对关键实体(账号、IP、终端)进行深入调查分析和风险评级,高危实体及时预警,高效支撑事中运营处置。

    3.防线纵深流量可视

    以桑吉图可视化的形式,展示端到端全流程用户访问应用过程,通过设备/账号/终端三道防线及15+子防线的的流量分布和流向,帮助安全管理员全方位、实时掌握安全态势。

     

    03稳稳承载单用户超百万并发

    ——超前稳定的底层架构内核能力

    能力持续演进的背后,离不开超前稳定的底层架构内核能力。

    作为支撑业务安全访问的设施,深信服零信任潜心打磨数十载,以高性能隧道传输技术X-Tunnel和自研分布式高可靠架构X-Performance,为X-SDP提供超前稳定的底层内核支撑,稳稳承载单用户超百万并发,两倍超压下业务成功率高达90%。

     

    深信服零信任X-SDP,被动防御+主动防御一体化新能力,正如太极阴阳两仪,既矛盾对立,又交融统一,两者缺一不可,是实战场景中攻防兼备的「制胜法宝」。

    在今年的实战攻防演练中,我们有不少金融、能源等各行业用户进行了升级试用,X-SDP的效果得以验证并持续优化,也欢迎更多新老朋友成为X-SDP体验官,携手共创。

    安全底部动图