摘自:懂企業(yè)的品高云
一、零信任架構(gòu)
零信任架構(gòu)是一種網(wǎng)絡(luò)安全模型,它基于“永不信任,始終驗(yàn)證”的原則,強(qiáng)調(diào)持續(xù)的監(jiān)控和評(píng)估。在零信任模型中,無(wú)論請(qǐng)求來(lái)自何處,確保只有驗(yàn)證過(guò)的實(shí)體才能訪問(wèn)相應(yīng)的資源,從而減少安全風(fēng)險(xiǎn)并提高整體的網(wǎng)絡(luò)安全性。
NIST和CSA定義了零信任的三大關(guān)鍵技術(shù):身份與訪問(wèn)管理(IAM,Identity and Access Management)、軟件定義邊界(SDP,Software Defined Perimeters)、和微隔離(MSG,Micro-Segmentation)。簡(jiǎn)單來(lái)說(shuō),身份與訪問(wèn)管理(IAM)用于主體對(duì)客體的訪問(wèn)授權(quán)、軟件定義邊界(SDP)用于實(shí)現(xiàn)南北向安全(用戶(hù)與服務(wù)器間的安全),微隔離(MSG)用于實(shí)現(xiàn)東西向安全(服務(wù)器與服務(wù)器間的安全)。
1.1 零信任架構(gòu)現(xiàn)狀與優(yōu)勢(shì)
當(dāng)前,零信任架構(gòu)正迅速成為企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)的核心。隨著遠(yuǎn)程工作和云計(jì)算的普及,傳統(tǒng)的基于邊界的安全措施已不足以應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)威脅。零信任架構(gòu)的優(yōu)勢(shì)在于其靈活性和適應(yīng)性,能夠跨不同環(huán)境(包括多云和混合云環(huán)境)提供一致的安全策略。這種以身份為核心的訪問(wèn)控制機(jī)制,實(shí)時(shí)檢測(cè)和響應(yīng)威脅、自動(dòng)化執(zhí)行安全策略確保了只有經(jīng)過(guò)嚴(yán)格驗(yàn)證的用戶(hù)和設(shè)備才能訪問(wèn)受保護(hù)的資源,從而顯著提高企業(yè)對(duì)高級(jí)持續(xù)性威脅的防御能力。
1.2 零信任架構(gòu)核心概念
二、堅(jiān)不可摧的SDP
SDP(Software Defined Perimeter,軟件定義邊界)是國(guó)際云安全聯(lián)盟CSA于2013年提出的基于零信任(Zero Trust)理念的新一代網(wǎng)絡(luò)安全模型。它通過(guò)軟件來(lái)重新定義和控制網(wǎng)絡(luò)邊界,而不是依賴(lài)于傳統(tǒng)的物理網(wǎng)絡(luò)邊界。SDP的核心理念是將網(wǎng)絡(luò)訪問(wèn)控制從網(wǎng)絡(luò)層面轉(zhuǎn)移到身份層面,實(shí)現(xiàn)更細(xì)粒度的安全控制。
2.1 SDP從未被攻破
在網(wǎng)絡(luò)安全領(lǐng)域,軟件定義邊界(SDP)以其堅(jiān)不可摧的安全性而著稱(chēng)。如下表所示,這些歷史性的安全測(cè)試和挑戰(zhàn)活動(dòng),無(wú)不證明了這一點(diǎn)。SDP不僅是一個(gè)技術(shù)解決方案,更是一種對(duì)網(wǎng)絡(luò)安全的堅(jiān)定承諾。隨著網(wǎng)絡(luò)威脅的不斷演變,SDP的這一紀(jì)錄顯得尤為寶貴,為尋求最高安全標(biāo)準(zhǔn)的企業(yè)和組織提供了信心和保障。
2.2 SDP核心原理
軟件定義邊界(SDP)是建立一個(gè)高度安全、細(xì)粒度控制的網(wǎng)絡(luò)訪問(wèn)環(huán)境,其設(shè)計(jì)包含以下幾個(gè)關(guān)鍵方面:
三、BingoIAM SDP技術(shù)實(shí)現(xiàn)
3.1、基于Rust全棧自研
SDP核心服務(wù)作為網(wǎng)絡(luò)流量的入口,承擔(dān)著至關(guān)重要的角色。它必須同時(shí)運(yùn)行在操作系統(tǒng)的內(nèi)核態(tài)和用戶(hù)態(tài)。對(duì)性能、穩(wěn)定性和安全性有著極高的標(biāo)準(zhǔn)。在這樣的背景下,選擇恰當(dāng)?shù)募夹g(shù)棧顯得尤為關(guān)鍵。傳統(tǒng)技術(shù)如Java和Golang因垃圾回收(GC)問(wèn)題而受限,而C/C++雖性能卓越,卻因內(nèi)存安全問(wèn)題使得開(kāi)發(fā)、測(cè)試與運(yùn)維成本居高不下。經(jīng)過(guò)深思熟慮,BingoIAM最終決定采用Rust這一新興的系統(tǒng)編程語(yǔ)言,全面自主研發(fā)SDP全棧解決方案。
Rust是除了C語(yǔ)言外,第二個(gè)進(jìn)入到Linux內(nèi)核開(kāi)發(fā)的編程語(yǔ)言,證明了其在系統(tǒng)編程領(lǐng)域的可靠性和效率,其核心優(yōu)勢(shì)包括:
目前國(guó)內(nèi)外在SDP領(lǐng)域的開(kāi)源技術(shù)幾乎沒(méi)有,尤其是基于Rust的實(shí)現(xiàn),沒(méi)有任何現(xiàn)成的技術(shù)資料可供參考。BingoIAM團(tuán)隊(duì)?wèi){借對(duì)SDP核心需求的深刻理解,以及對(duì)Rust語(yǔ)言核心特性的全面掌握,從零開(kāi)始,實(shí)現(xiàn)了SDP從內(nèi)核態(tài)到用戶(hù)態(tài),從設(shè)備端代理到服務(wù)端網(wǎng)關(guān)的全棧自研。
3.2、深入內(nèi)核
基于內(nèi)核eBPF(Extended Berkeley Packet Filter)與XDP(eXpress Data Path),結(jié)合Rust語(yǔ)言的開(kāi)發(fā)技術(shù),為網(wǎng)絡(luò)性能優(yōu)化和安全增強(qiáng)提供了強(qiáng)大的工具,為構(gòu)建高性能、高安全性的系統(tǒng)回調(diào)函數(shù)提供了堅(jiān)實(shí)的基礎(chǔ)。
在內(nèi)核層面進(jìn)行開(kāi)發(fā):
eBPF+XDP技術(shù)應(yīng)用:通過(guò)結(jié)合eBPF的內(nèi)核編碼能力和XDP的快速網(wǎng)絡(luò)數(shù)據(jù)處理特性,我們打造了高效的網(wǎng)絡(luò)內(nèi)核擴(kuò)展,eBPF+XDP還適用于如網(wǎng)絡(luò)調(diào)優(yōu)、安全增強(qiáng)、監(jiān)控和追蹤等各種場(chǎng)景。
TCP握手的鑒權(quán)機(jī)制:在TCP握手前實(shí)現(xiàn)驗(yàn)證機(jī)制,對(duì)客戶(hù)端IP地址和端口進(jìn)行認(rèn)證鑒權(quán),這一步驟決定是否允許建立網(wǎng)絡(luò)連接。
IP白名單的訪問(wèn)控制:基于eBPF+XDP的內(nèi)核擴(kuò)展,我們將驗(yàn)證通過(guò)的IP端口記錄于eBPF Map白名單中。這種機(jī)制僅允許合法的訪問(wèn)請(qǐng)求,從而確保業(yè)務(wù)資源安全性和完整性。
目前主流eBPF內(nèi)核代碼都是基于C語(yǔ)言進(jìn)行開(kāi)發(fā),BingoIAM團(tuán)隊(duì)為了技術(shù)棧的統(tǒng)一和更好的可維護(hù)性,經(jīng)過(guò)對(duì)eBPF原理的深入理解和工程實(shí)踐,最終選擇了使用Rust來(lái)編寫(xiě)eBPF代碼,實(shí)現(xiàn)從內(nèi)核態(tài)到用戶(hù)態(tài)開(kāi)發(fā)語(yǔ)言的統(tǒng)一。
3.3、網(wǎng)絡(luò)隱身對(duì)抗DDoS風(fēng)暴
網(wǎng)絡(luò)隱身
零信任網(wǎng)關(guān)利用網(wǎng)絡(luò)隱身技術(shù),在接收到TCP數(shù)據(jù)包時(shí),自動(dòng)丟棄未經(jīng)授權(quán)的請(qǐng)求,不向客戶(hù)端返回任何數(shù)據(jù)包,即可使客戶(hù)端無(wú)法探測(cè)到端口的開(kāi)放狀態(tài),確保網(wǎng)關(guān)對(duì)未授權(quán)用戶(hù)和潛在攻擊者不可見(jiàn)且無(wú)法訪問(wèn);而當(dāng)客戶(hù)端請(qǐng)求攜帶有效憑證時(shí),網(wǎng)關(guān)才會(huì)響應(yīng)并允許授權(quán)訪問(wèn)。這種方法確保了只有經(jīng)過(guò)驗(yàn)證和授權(quán)的流量才能到達(dá)目標(biāo)服務(wù),從而體現(xiàn)其隱身能力、提高業(yè)務(wù)數(shù)據(jù)的安全性。
第三代SPA單包授權(quán)
SPA單包授權(quán)是一種網(wǎng)絡(luò)認(rèn)證技術(shù),通過(guò)單個(gè)含有終端身份信息的數(shù)據(jù)包發(fā)送至網(wǎng)關(guān)SPA端口,進(jìn)行“敲門(mén)”操作,網(wǎng)關(guān)驗(yàn)證身份后,對(duì)終端IP地址的白名單“開(kāi)門(mén)”,允許其訪問(wèn)零信任網(wǎng)關(guān)的TCP端口,不再丟棄來(lái)自該IP的數(shù)據(jù)包,實(shí)現(xiàn)用戶(hù)身份驗(yàn)證和授權(quán),簡(jiǎn)化了認(rèn)證流程,提高了安全性和效率,集成零信任安全技術(shù)模型,實(shí)現(xiàn)基于身份的策略實(shí)施。
3.4、mTLS對(duì)抗第三方攻擊
自適應(yīng)mTLS安全隧道
自適應(yīng)mTLS安全隧道是一種先進(jìn)的網(wǎng)絡(luò)安全技術(shù),它利用TLS協(xié)議在計(jì)算機(jī)網(wǎng)絡(luò)中建立加密通信通道,確保數(shù)據(jù)傳輸?shù)陌踩院屯暾浴_@種隧道能夠根據(jù)網(wǎng)絡(luò)狀況、安全威脅和用戶(hù)需求動(dòng)態(tài)調(diào)整其加密策略和性能。
我們的SDP網(wǎng)關(guān)不僅支持標(biāo)準(zhǔn)的mTLS證書(shū),還兼容國(guó)密標(biāo)準(zhǔn)。這一靈活性在mTLS握手的Client Hello階段尤為關(guān)鍵,客戶(hù)端在此階段聲明其支持的密碼套件,網(wǎng)關(guān)則相應(yīng)地選擇合適的證書(shū)和協(xié)議完成握手。
銅鎖安全增強(qiáng)
螞蟻金服銅鎖密碼庫(kù)(Tongsuo)是螞蟻集團(tuán)自主研發(fā)的密碼學(xué)解決方案,是開(kāi)放原子開(kāi)源基金會(huì)的開(kāi)源項(xiàng)目,它不僅代表了金融級(jí)的安全標(biāo)準(zhǔn),還體現(xiàn)了國(guó)家級(jí)開(kāi)源基金會(huì)的權(quán)威性。它集成了包括多方安全計(jì)算(MPC)、同態(tài)加密(HE)在內(nèi)的前沿技術(shù),簡(jiǎn)化了隱私算法的應(yīng)用。基于OpenSSL優(yōu)化,Tongsuo提供了高性能的密碼學(xué)運(yùn)算能力,支持大規(guī)模數(shù)據(jù)處理。符合國(guó)家密碼法要求,經(jīng)過(guò)嚴(yán)格審查,Tongsuo確保了算法的安全性和可靠性,降低了企業(yè)進(jìn)入隱私計(jì)算的門(mén)檻。螞蟻金服銅鎖密碼庫(kù)不僅為金融行業(yè)提供了高標(biāo)準(zhǔn)的安全解決方案,也為更廣泛的領(lǐng)域提供了數(shù)據(jù)安全和隱私保護(hù)的強(qiáng)大支持。
BingoIAM零信任解決方案深刻理解國(guó)密算法的重要性,采用銅鎖密碼庫(kù)來(lái)全面支持國(guó)密算法的實(shí)施?蛻(hù)端通過(guò)單包認(rèn)證后,訪問(wèn)零信任網(wǎng)關(guān)時(shí),采用國(guó)密雙證書(shū),通過(guò)TLCP協(xié)議進(jìn)行數(shù)據(jù)加密傳輸,保證數(shù)據(jù)的傳輸過(guò)程中不產(chǎn)生泄露風(fēng)險(xiǎn),TLCP是中國(guó)國(guó)家標(biāo)準(zhǔn)制定的傳輸層密碼協(xié)議,包括SM2、SM3、SM4等。零信任網(wǎng)關(guān)通過(guò)對(duì)接BingoIAM獲取客戶(hù)端的授權(quán)數(shù)據(jù),在客戶(hù)端與網(wǎng)關(guān)進(jìn)行TLCP握手時(shí),識(shí)別制定客戶(hù)端是否有權(quán)限訪問(wèn)制定的服務(wù)。通過(guò)使用國(guó)密SM3進(jìn)行數(shù)據(jù)包簽名和SM4進(jìn)行加密,BingoIAM不僅增強(qiáng)了數(shù)據(jù)的防篡改和防泄露能力,也更好地適應(yīng)了信創(chuàng)環(huán)境的要求。
3.5、IAM+SDP+端應(yīng)用一體化訪權(quán)管控
BingoIAM和SDP網(wǎng)關(guān)共同構(gòu)建了一個(gè)強(qiáng)大的安全架構(gòu)。IAM平臺(tái)負(fù)責(zé)身份認(rèn)證和訪問(wèn)授權(quán),確保只有經(jīng)過(guò)驗(yàn)證和授權(quán)的用戶(hù)才能訪問(wèn)資源。而零信任SDP網(wǎng)關(guān)則在網(wǎng)絡(luò)層面實(shí)施細(xì)粒度的訪問(wèn)控制,根據(jù)IAM的授權(quán)結(jié)果動(dòng)態(tài)調(diào)整訪問(wèn)權(quán)限。這種協(xié)同工作機(jī)制實(shí)現(xiàn)了從身份到網(wǎng)絡(luò)的全面安全控制,保障了資源的安全性和合規(guī)性,同時(shí)支持了靈活的訪問(wèn)策略,以適應(yīng)不斷變化的業(yè)務(wù)需求。
零信任終端:提供統(tǒng)一認(rèn)證的Android、PC、iOS零信任安全終端,支持將企業(yè)各類(lèi)型應(yīng)用發(fā)布至終端,構(gòu)造零信任終端應(yīng)用市場(chǎng)門(mén)戶(hù),并提供企業(yè)級(jí)通訊錄,促進(jìn)員工高效溝通與協(xié)作。
新一代SDP安全邊界:通過(guò)使用第三代SPA技術(shù),有效防止TCP SYN DDO、惡意嗅探、網(wǎng)絡(luò)掃描等攻擊,同時(shí),最小化按需開(kāi)放流量訪問(wèn)窗口,建立更嚴(yán)格、更安全的零信任身份邊界。
統(tǒng)一身份治理中心:提供八大模塊、1000+功能的企業(yè)級(jí)身份管理中心,集中管理企業(yè)數(shù)字身份,提供認(rèn)證、訪問(wèn)、授權(quán)、審計(jì)、安全防護(hù)等全方位身份治理能力。
四、一體化零信任BingoIAM重塑邊界
4.1、基礎(chǔ)架構(gòu)說(shuō)明
在零信任IAM的框架下,SDP和IAM零信任客戶(hù)端共同構(gòu)成了一個(gè)動(dòng)態(tài)的安全訪問(wèn)環(huán)境。用戶(hù)在嘗試訪問(wèn)資源時(shí),IAM零信任客戶(hù)端首先進(jìn)行身份驗(yàn)證和權(quán)限評(píng)估,然后通過(guò)SDP建立安全的訪問(wèn)路徑。在整個(gè)訪問(wèn)過(guò)程中,IAM持續(xù)監(jiān)控用戶(hù)行為,并根據(jù)實(shí)時(shí)反饋動(dòng)態(tài)調(diào)整訪問(wèn)權(quán)限,確保資源的訪問(wèn)是種符合零信任的原則。
BingoIAM:零信任安全架構(gòu)的核心,它通過(guò)精細(xì)化的訪問(wèn)控制策略,確保只有經(jīng)過(guò)驗(yàn)證和授權(quán)的用戶(hù)才能訪問(wèn)特定的資源。在零信任模型中,IAM的作用不僅僅是用戶(hù)身份的認(rèn)證,更重要的是對(duì)用戶(hù)訪問(wèn)權(quán)限的持續(xù)評(píng)估和動(dòng)態(tài)調(diào)整。
IAM零信任客戶(hù)端:作為IAM的延伸,部署在用戶(hù)的設(shè)備上,負(fù)責(zé)執(zhí)行安全策略,監(jiān)控用戶(hù)行為,并與IAM服務(wù)器進(jìn)行實(shí)時(shí)通信。通過(guò)集成多因素認(rèn)證、設(shè)備合規(guī)性檢查、環(huán)境感知等安全措施,為用戶(hù)的每一次訪問(wèn)請(qǐng)求提供上下文感知的認(rèn)證和授權(quán)。
零信任控制器:核心管理組件,保護(hù)網(wǎng)絡(luò)邊界,通過(guò)隱身技術(shù)和早期握手驗(yàn)證減少威脅,攔截未授權(quán)訪問(wèn),保證通信加密。并負(fù)責(zé)身份驗(yàn)證、會(huì)話(huà)管理和實(shí)時(shí)策略下發(fā),確保系統(tǒng)組件和流程的高效集成。
業(yè)務(wù)網(wǎng)關(guān):作為安全策略的執(zhí)行點(diǎn),控制和監(jiān)控進(jìn)出業(yè)務(wù)系統(tǒng)的所有網(wǎng)絡(luò)流量,確保只有經(jīng)過(guò)驗(yàn)證和授權(quán)的訪問(wèn)被允許,同時(shí)提供加密通信和日志記錄以增強(qiáng)安全性和合規(guī)性。
4.2、基礎(chǔ)流程說(shuō)明
1. 加載基礎(chǔ)憑證:由于認(rèn)證服務(wù)(SSO)與零信任控制器均在零信任網(wǎng)關(guān)安全邊界的保護(hù)內(nèi),不可直接訪問(wèn)。因此,在客戶(hù)端啟動(dòng)時(shí)需加載基礎(chǔ)憑證作為客戶(hù)端初始身份,該身份憑證受安全策略管控,只能用于訪問(wèn)認(rèn)證服務(wù)與零信任控制器,用于完成初始登錄與憑證換發(fā)。
2. 用戶(hù)登錄:前端通過(guò)客戶(hù)端基礎(chǔ)憑證的身份訪問(wèn)認(rèn)證服務(wù)進(jìn)行用戶(hù)登錄,成功登錄后獲取到SSO頒發(fā)的訪問(wèn)令牌。
3. 注冊(cè)設(shè)備:前端獲取到客戶(hù)端設(shè)備信息,生成設(shè)備的唯一標(biāo)識(shí),攜帶第2步得到的訪問(wèn)令牌請(qǐng)求認(rèn)證服務(wù),上報(bào)設(shè)備信息進(jìn)行設(shè)備注冊(cè),后續(xù)由IT管理員或自動(dòng)審批機(jī)制對(duì)該設(shè)備進(jìn)行準(zhǔn)入審批。
4. 換發(fā)憑證:通過(guò)客戶(hù)端初始加載的基礎(chǔ)憑證、SSO頒發(fā)的訪問(wèn)令牌、設(shè)備本身的標(biāo)識(shí),請(qǐng)求零信任控制器換發(fā)用戶(hù)憑證,標(biāo)識(shí)唯一的用戶(hù)身份。
5. 業(yè)務(wù)訪問(wèn):使用第4步獲取的用戶(hù)憑證訪問(wèn)安全邊界內(nèi)的經(jīng)授權(quán)的應(yīng)用服務(wù)。
4.3、部署架構(gòu)說(shuō)明
企業(yè)網(wǎng)絡(luò)環(huán)境的復(fù)雜性源于業(yè)務(wù)需求的多樣性(業(yè)務(wù)擴(kuò)展、分支機(jī)構(gòu)、并購(gòu)與合作)、技術(shù)演進(jìn)的快速性(云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)計(jì)算、微服務(wù)架構(gòu))以及安全挑戰(zhàn)(全球化、遠(yuǎn)程工作、數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊)的不斷變化。在這樣的背景下,零信任SDP架構(gòu)應(yīng)適配包括多網(wǎng)架構(gòu)、云邊協(xié)同、地區(qū)網(wǎng)絡(luò)隔離、總部與分支機(jī)構(gòu)連接、數(shù)據(jù)中心、服務(wù)網(wǎng)格以及無(wú)線網(wǎng)絡(luò)在內(nèi)的多種網(wǎng)絡(luò)場(chǎng)景。
為應(yīng)對(duì)當(dāng)今企業(yè)面臨的復(fù)雜網(wǎng)絡(luò)環(huán)境,滿(mǎn)足不同規(guī)模和需求的企業(yè)網(wǎng)絡(luò)部署。零信任BingoIAM架構(gòu)提供了高效擴(kuò)展模型,簡(jiǎn)化網(wǎng)絡(luò)管理,同時(shí)提供必要的安全性和靈活性。
單控制器模型:在此模型中,控制器與業(yè)務(wù)網(wǎng)關(guān)集成于一體,提供完整的SDP功能。它適用于小型企業(yè)或資源受限的環(huán)境,如初創(chuàng)公司或小型辦事處,它們需要快速部署SDP解決方案而無(wú)需大量投資。這種架構(gòu)簡(jiǎn)化了網(wǎng)絡(luò)的運(yùn)維管理,通過(guò)集中化的策略控制,提高了對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的響應(yīng)速度和處理效率。
單網(wǎng)關(guān)模型:此模型包含一個(gè)控制器和一個(gè)獨(dú)立的業(yè)務(wù)網(wǎng)關(guān),適合中小型企業(yè)使用。適用于企業(yè)需要更精細(xì)控制訪問(wèn)權(quán)限的場(chǎng)景,例如,一個(gè)中型企業(yè)希望在保持成本效益的同時(shí),為企業(yè)提供定制化的安全訪問(wèn)策略。
多網(wǎng)關(guān)模型:通過(guò)一個(gè)控制器管理多個(gè)業(yè)務(wù)網(wǎng)關(guān),旨在為不同安全等級(jí)、網(wǎng)絡(luò)流量的業(yè)務(wù)應(yīng)用提供訪問(wèn)控制。適用于大型企業(yè)或擁有多個(gè)業(yè)務(wù)單元的組織,它們需要對(duì)不同級(jí)別的業(yè)務(wù)數(shù)據(jù)實(shí)施分層安全保護(hù)。保持對(duì)特定區(qū)域或類(lèi)型的流量進(jìn)行定制化的安全控制,增強(qiáng)了網(wǎng)絡(luò)的靈活性和細(xì)粒度訪問(wèn)管理。
多網(wǎng)域模型:包含多個(gè)可同步的控制器和業(yè)務(wù)網(wǎng)關(guān),用于管理單個(gè)企業(yè)內(nèi)不同的網(wǎng)絡(luò)業(yè)務(wù)域。適用于跨地域經(jīng)營(yíng)的大型企業(yè),需要在各個(gè)分支機(jī)構(gòu)間同步安全策略并統(tǒng)一管理。在不同地理位置部署多個(gè)控制中心,這種架構(gòu)不僅提升了網(wǎng)絡(luò)服務(wù)的冗余和容錯(cuò)能力,還能夠根據(jù)地域特性和需求,實(shí)現(xiàn)更快速的本地化管理和服務(wù),優(yōu)化了用戶(hù)體驗(yàn)和網(wǎng)絡(luò)性能。
多中心模型:包含多個(gè)控制器和業(yè)務(wù)網(wǎng)關(guān),每個(gè)控制器可以管理一個(gè)或多個(gè)網(wǎng)關(guān),它們之間相互隔離。適用于需要高度隔離保護(hù)的多環(huán)境企業(yè),如金融機(jī)構(gòu)或政府機(jī)構(gòu),它們?cè)诓煌木W(wǎng)絡(luò)中心運(yùn)行著敏感數(shù)據(jù)。適合大型企業(yè)或需要地理分布控制點(diǎn)的組織,增強(qiáng)了可擴(kuò)展性和高可用性。
云邊端模型:針對(duì)云邊端協(xié)同的場(chǎng)景,允許用戶(hù)在辦公終端通過(guò)加密隧道安全地訪問(wèn)邊緣節(jié)點(diǎn)和公私混合云內(nèi)的業(yè)務(wù)資源。適用于零售或制造行業(yè),需要在云和邊緣計(jì)算環(huán)境中實(shí)現(xiàn)數(shù)據(jù)的快速處理和安全訪問(wèn)。確保不同網(wǎng)絡(luò)區(qū)域之間數(shù)據(jù)傳輸?shù)陌踩院透綦x性。SDP的策略執(zhí)行和訪問(wèn)控制功能,為多網(wǎng)域環(huán)境提供了強(qiáng)大的安全保障,有效防止?jié)撛诘木W(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露。
多云模型:針對(duì)多云環(huán)境,用戶(hù)可以在辦公終端通過(guò)加密隧道訪問(wèn)不同云服務(wù)提供商的業(yè)務(wù)資源。適用于科技和媒體公司,它們利用多云策略來(lái)優(yōu)化性能、成本和安全性,同時(shí)需要確保數(shù)據(jù)的一致性和保護(hù)。支持企業(yè)通過(guò)互聯(lián)網(wǎng)實(shí)現(xiàn)語(yǔ)音、視頻和數(shù)據(jù)通信,無(wú)論員工身在何處,都能保持高效的協(xié)作和溝通。SDP的靈活性和可靠性,為跨國(guó)、跨地公司提供了無(wú)縫的通信解決方案,促進(jìn)了企業(yè)內(nèi)部業(yè)務(wù)的順暢運(yùn)作。
五、總結(jié)與展望
在當(dāng)前復(fù)雜多變的網(wǎng)絡(luò)安全環(huán)境中,SDP(軟件定義邊界)技術(shù)以其獨(dú)特的身份驅(qū)動(dòng)安全防護(hù)、細(xì)粒度訪問(wèn)控制策略和對(duì)零信任模型的支持,正成為身份管理和網(wǎng)絡(luò)安全領(lǐng)域的新寵。BingoIAM的零信任解決方案通過(guò)集成SDP能力,不僅提升了企業(yè)資源的保護(hù)水平,加強(qiáng)了訪問(wèn)控制,還簡(jiǎn)化了網(wǎng)絡(luò)架構(gòu),降低了成本。
展望未來(lái),隨著網(wǎng)絡(luò)安全威脅的不斷演變,BingoIAM將繼續(xù)深化SDP技術(shù)的應(yīng)用,加強(qiáng)與零信任模型的融合,提升系統(tǒng)的靈活性和響應(yīng)能力。同時(shí),BingoIAM也將不斷優(yōu)化其零信任架構(gòu),為企業(yè)提供更為安全、靈活和可靠的網(wǎng)絡(luò)環(huán)境。
連接合并復(fù)用:為減少安全隧道建立的時(shí)間消耗,支持多個(gè)請(qǐng)求通過(guò)單一的長(zhǎng)期連接并行傳輸,從而提高效率和減少延遲。
弱網(wǎng)訪問(wèn)優(yōu)化:提供無(wú)連接的通道和請(qǐng)求機(jī)制,能夠在網(wǎng)絡(luò)條件不佳時(shí)提供更穩(wěn)定的連接和更快的傳輸速度。
持續(xù)監(jiān)控響應(yīng):實(shí)時(shí)監(jiān)控用戶(hù)和設(shè)備的行為,及時(shí)應(yīng)對(duì)和恢復(fù)安全事件,降低安全漏洞的風(fēng)險(xiǎn)。
智能化/自動(dòng)化:利用人工智能和機(jī)器學(xué)習(xí)技術(shù),實(shí)現(xiàn)自動(dòng)化的安全決策和威脅檢測(cè),提升安全操作效率。
我們將持續(xù)探索身份安全的革新成果,期待BingoIAM在信創(chuàng)領(lǐng)域創(chuàng)造更多的價(jià)值
敬請(qǐng) 期 待
更多BingoIAM的相關(guān)信息,將在近期的產(chǎn)品發(fā)布會(huì)上一一揭曉,掃描下方二維碼馬上預(yù)約吧!