近日，亞信安全信磐零信任訪問控制系統(tǒng)(SDP)更新版本正式發(fā)布。新版SDP彌補了傳統(tǒng)準入技術的短板，結合網(wǎng)絡接入處理動作、訪問控制和防范社會工程攻擊等需求提供了多項功能性保障，全面豐富了認證場景、最小授權原則，并在安全基線管理、降低運維難度等方面為遠程辦公和分支機構安全訪問提供了便捷的防護設定。

當前，傳統(tǒng)準入技術在應對新業(yè)態(tài)、新業(yè)務場景時面臨著安全困局。尤其是在云計算、5G、邊緣計算等新技術的普及，以及混合辦公下和商業(yè)生態(tài)協(xié)作場景中，網(wǎng)絡“邊界”逐步模糊化帶來的新風險，都進一步暴露了傳統(tǒng)安全訪問控制架構的短板。

舉例來說：在傳統(tǒng)準入技術中，通常需要用戶花費大量人力劃分、維護VLAN區(qū)域，但是很多企業(yè)無法將VLAN配置的精細、精準，而對于認證失敗、合規(guī)項檢查不通過的終端，所能采取的處置動作也只能包括切換VLAN、指定ACL規(guī)則、斷網(wǎng)。另外，隨著網(wǎng)絡逐步向更高級的形態(tài)演變，這些行為摻雜了躲避手段、情報手段、社會工程攻擊的變化，但是傳統(tǒng)準入技術在應對這些威脅時，幾乎是蒼白無力的。

網(wǎng)絡準入控制技術發(fā)展迭代至今，一直不斷創(chuàng)新突破以求適應新的時代需求。其中，以“持續(xù)驗證、永不信任”為核心的零信任成為了企業(yè)關注的重點。例如：

企業(yè)無需維護多個VLAN，可以實現(xiàn)應用級的隔離控制，可對指定應用訪問的異常行為，進行細粒度的管控；

零信任采用A(access)-B(bussiness)串行控制方式，同于區(qū)域限定、訪問行為限定、身份特權限定等方式，實現(xiàn)了未授權資源對入網(wǎng)用戶不可見，有效防范掃描和滲透攻擊；

在對抗網(wǎng)絡釣魚攻擊的過程中，“零信任”的安全體系能夠通過身份進行信任評估，并基于環(huán)境進行風險判定與防毒等其他產(chǎn)品形成聯(lián)動，這有助于企業(yè)持續(xù)驗證訪問者身份的真實性、訪問行為的安全性。

作為一款基于零信任架構的安全準入管理產(chǎn)品，亞信安全SDP利用最小化授權、多維度安全評估，以及豐富的場景化支撐為企業(yè)用戶實現(xiàn)了網(wǎng)絡安全能力進階，廣受用戶認可。在此基礎上，最新升級的亞信安全SDP提供了更豐富的應用功能和運維管理手段：

• 最小授權原則：在現(xiàn)有SDP架構中增加SDP連接器與SDP邊緣網(wǎng)關，為用戶物聯(lián)網(wǎng)提供零信任應用，SDP邊緣網(wǎng)關用于啞終端設備的數(shù)據(jù)匯聚點，對不方便安裝或無條件安裝SDP客戶端的辦事點、信息采集點等企業(yè)業(yè)務分支實現(xiàn)最小化授權和加密訪問。

圖：為用戶物聯(lián)網(wǎng)提供零信任準入應用

• 富認證場景：增加802.1X、MAB認證以及桌面端人臉識別場景支持，采用接入態(tài)(Access Status)&業(yè)務態(tài)(Bussiness Status)方式，通過靜態(tài)訪問區(qū)域和SDP網(wǎng)關物理隔離技術保護內(nèi)網(wǎng)資源安全，業(yè)務準入后的訪問權限不依賴于交換機配置，控制中心無需向交換機端口指配VLAN或ACL，在最大程度地減少橫向或東西向通信的同時，對發(fā)現(xiàn)潛在的威脅實現(xiàn)狀態(tài)回滾(B->A)。

圖：采用接入態(tài)(Access Status)&業(yè)務態(tài)(Bussiness Status)方式

• 增強安全基線：新版亞信安全SDP方案在安全管理方面功能上繼續(xù)細化，增加了反向溯源與流控策略特性。其中，反向溯源可以結合流量威脅發(fā)現(xiàn)產(chǎn)品通過風險IP溯源到賬號信息，進而自動核查賬號失陷的現(xiàn)實風險；流控策略可檢測并控制網(wǎng)絡掃描、蠕蟲和DDoS攻擊，加強對員工的上網(wǎng)行為管理，同時實現(xiàn)應用流量的帶寬管理，保障關鍵業(yè)務的應用訪問帶寬。

• 降低運維難度：SDP連接器一般部署在云業(yè)務平臺或私有化數(shù)據(jù)中心，無需開放公網(wǎng)IP和端口，進一步縮小企業(yè)網(wǎng)絡暴露面，開箱即用，無需改變現(xiàn)有網(wǎng)絡結構。

亞信安全信磐零信任訪問控制系統(tǒng)(SDP)以數(shù)字身份作為安全邊界管理的基礎，采用最小化授權、多維度安全評估手段保護業(yè)務和服務的暴露面，其有效應對網(wǎng)絡安全威脅的能力受到了廣大用戶的認可。目前，政府及運營商等重要行業(yè)用戶都在采用亞信安全SDP產(chǎn)品，通過身份可信，終端可信、通道可信、訪問可信的網(wǎng)絡安全新架構，重塑企業(yè)安全邊界。