边界信任与零信任

基于防火墙的边界信任模型

企业内部的服务器和办公设备都依赖于内网防火墙来建设，外部用户需要VPN接入内网才能访问。内网资源内的网络认为是可信任的网络环境，公司外的网络认为是不可信任的网络环境，再在这两者之前建立防火墙服务，从而防止带有威胁的外部请求获取到公司的敏感信息。

基于SDP的零信任模型

摒弃了边界信任模型对于内网“过度信任”的做法，所有访问敏感信息的请求都应该先经过零信任控制中心，由管控中心对访问进行评估，决定此次访问需要提供什么等级的认证信息，再动态授权访问。即“信任授权”应当基于访问实时地进行评估与变换。

为什么需要零信任？

边界信任不安全

可信识别缺管控

内网环境无防护

内网身份过度信任

可信识别缺管控
对于南北向的访问识别、可信身份认证并不是简简单单一个多因素认证就能够解决问题的，我们不能保证所有的访问身份是可信的或是不可信的，因此要对所有的认证身份的IP、行为习惯、mac地址等风险因子建立风险模型，进个动态分析，然后结合强认证完成可信身份识别。

随着移动化与云计算的发展，企业边界正在瓦解，员工、承包商和合作伙伴遍布全世界，在本地、远程和云端完成工作，而传统的边界信任模型无法有效的保障真实性和限制风险，在外部网络攻击方式不断进化的今天，在防止企业数据泄漏的攻防博弈面前，边界信任的安全策略已然捉襟见肘。

零信任的核心实践

在技术安全层面来看，零信任安全是借助可信身份管理平台实现对人/IOT/API的数字身份进行全面、动态、智能的访问控制

以身份为中心
万物皆身份，通过身份治理平台实现对人/IOT/ API的全面身份化

可信动态识别
通过大数据和访问上下文AI因子重构可信认证的识别体系，对访问进行动态“身份识别”

访问动态控制
“访问控制”应当基于访问行为实时地进行监控与风险度量，实现自适应安全控制与预警

全维度追溯审计
为实现闭环的零信任安全，必须要有基于身份、权限、访问等维度的全面审计策略

零信任安全架构

应用场景

远程办公

数字化转型

物联网安全

特权安全

API安全

应用价值

自适应
能够让企业现有的业务与数据获得安全自适应能力，持续为企业安全赋能

业务创新
以网络为基础转变到以身份为基础，支撑企业在数字化转型中安全使用新型IT技术，快速进行业务创新

内外防御
不仅能防御外部的恶意攻击，也能避免内部的恶意报复或误操作，基于内外安全风险调整信任策略，持续进行安全防御

全面身份化
将用户、设备、应用和接口等全面身份化，规范企业身份管理制度，实现更便捷、更完善、更高效的企业安全管理

超过1000+企业、组织
信任并使用派拉软件产品与服务