2021 年はネットワーク セキュリティ元年として知られており、さまざまな要因がゼロ トラストをセキュリティの新しいトレンドへと大きく押し上げました。ゼロ トラストは、ネットワーク セキュリティの分野を含むセキュリティ サークル全体で最も注目を集めている言葉の 1 つであることは間違いありません。
ゼロトラストとは何ですか? ゼロ トラストは、単一の製品でも単一のテクノロジでもありません。これは、セキュリティの概念およびセキュリティ アーキテクチャです。中心原則は、アイデンティティを中心とした継続的な検証、決して信頼することではなく、アプリケーションとデータに焦点を当て、継続的な検証と動的認可アクセス モードを実装して、アクセス プロセス全体にわたるアイデンティティ、端末アプリケーション、およびデータ セキュリティの問題を解決します。
コンセプトからアーキテクチャ、実装に至るまで、数年間の実践を経ても、 SIM は依然としてゼロトラスト アーキテクチャを実現するための主要な技術的方向性です。「S」は、主に南北トラフィックを解決し、ユーザーとアクセス リソース間の安全なアクセス制御を行う、主にソフトウェア定義の境界である SDP を指します。「I」は、主にユーザー ID とアクセス許可の統合管理に使用される IAM、アイデンティティ管理を指します。「M」は、主に東西トラフィックを解決し、企業の内部ネットワークへのハッカーの攻撃を防止し、水平攻撃や翻訳のリスクを回避することに焦点を当てた MSG マイクロ分離を指します。
これら 3 種類のゼロトラスト テクノロジーが業界に導入されています。一般に、IAM やマイクロ分離と比較して、SDP は導入プロセス中に企業の既存の IT 構造に変更を加えることが少なく、リスクをより制御しやすくなります。リモート オフィスが徐々に正常化するにつれ、企業はリモート オフィス シナリオにおけるセキュリティ問題の解決をどのように優先するかについてより懸念を抱いており、SDP テクノロジは主要なゼロトラスト ソリューション プロバイダーの焦点となっており、企業ユーザーにとっても注目の分野となっています。
2 企業はゼロトラスト アーキテクチャをどのように計画し、構築する必要がありますか?
この記者会見で、ユナイテッドソフトは技術レベル、ROIレベル、実装レベルからの計画提案を行いました。
■技術レベル:ゼロトラストソリューション全体がUEM機能を備えているか統合しているかが中心となり、UEMは主にモバイル端末、PCモバイル端末、IoTデバイス、あらゆるプラットフォームをカバーするオペレーティングシステムを含む統合エンドポイント管理を目的としています。
■ROIレベル:ゼロトラストアーキテクチャは既存のセキュリティ投資と連携できるか?既存のセキュリティ機能コンポーネントを通じて、分析結果をゼロトラストトラスト評価システムにインポートし、連携処理と動的認可を実現できます。
■実装レベル:結局のところ、ゼロトラストは新しいアーキテクチャと概念であり、メーカーや企業ユーザーも模索の過程を進めています。セキュリティの構築は一夜にして達成されるものではなく、段階的に計画して構築し、ビジネスの重要性とリスクへの影響に応じて優先順位を付ける必要があります。
3 ゼロトラストセキュリティアーキテクチャ
構築全体を通して、エンドポイント セキュリティ機能はゼロトラスト アーキテクチャの最も重要なリンクであるため、ほとんどのユーザーは、既存のエンドポイント セキュリティ ベンダーがゼロトラスト ソリューションを持っているかどうかを優先します。。既存の EPP アーキテクチャ システムでは、容量拡張を通じてゼロトラスト インフラストラクチャを迅速にカバーできます。同時に、EPP はセキュリティ評価システム全体のリンクとして、より優れた統合、より優れた運用と保守、およびより優れた ROI を達成できます。
ユーザーが高度で実装可能なゼロトラスト アーキテクチャを構築できるように支援します。アーキテクチャ全体は、ゼロ トラストのコア コンポーネントとゼロ トラストのセキュリティ コンポーネントの 2 つの部分に分かれています。コア コンポーネントには、ゼロトラスト管理プラットフォーム、トラステッド アクセス ゲートウェイ、およびセキュア クライアントが含まれます。セキュリティ コンポーネントには主に、エンドポイント セキュリティ、データ セキュリティ、IAM、セキュリティ分析コンポーネントが含まれます。
ゼロトラスト アーキテクチャは主に、アイデンティティ、アクセス、デバイス、アプリケーション、データの 5 つの側面を中心に構築されています。
信頼できるアイデンティティ: 包括的なアイデンティティ、アイデンティティの役割に基づく動的な認可、アクセスできるものとアクセスできないもの、およびきめ細かい権限制御が実現されます。
信頼できるアクセス:
1. SPA テクノロジーを使用してネットワークの入り口を隠し、露出した表面を収束します。
2. 安全なプロキシ ゲートウェイを通じて、アプリケーション層で安全な暗号化されたトンネルの確立を実現します。
3. 同一クライアント、同一アーキテクチャでワンタイム認証を実現できるため、ネットワークアクセスの認証だけでなく、ゼロトラストのアクセス認証も実現でき、アクセスセキュリティを包括的に保証します。
信頼できるデバイス: 端末のセキュリティを継続的に検出、制御し、包括的に監査します。
信頼できるアプリケーション: ビジネス指向のシステムは、オンデマンドで最小化および承認できます。同時に、端末側でアプリケーションのブラックリスト管理とホワイトリスト管理を実装し、アプリケーションのセキュリティ状況を検出し、スコアリング機構によりアクセス権を制御します。
信頼できるデータ: データ セキュリティの蓄積と経験に基づいて、ユーザーがシナリオ ベースのソリューションを整理し、ビジネス プロセスに対するセキュリティの影響を最小限に抑え、セキュリティと効率のバランスを達成するのに役立ちます。
4ゼロトラストネットワークアクセス
2004 年から 2022 年まで、LianSoft の製品全体のテクノロジー開発ルートは、ゼロトラストの開発ルートと非常に一致しています。
Liansoft ゼロトラスト製品の開発履歴:
LinkSoft は、 2004 年に脱ネットワーク境界の提案によりネットワーク アクセス制御システムを発売し、中国で最も早いネットワーク制御アクセス メーカーとなりました。
2010 年に、Forrester はゼロトラスト セキュリティの概念を提案しました。2011 年に、Liansoft は RBAC ベースの NAC アドミッション コントロール テクノロジーを発表しました。
その後、Liansoft は 2013 年にゼロトラストの概念に基づいた EMM 製品を、2017 年に SDP 製品をそれぞれ発売しました。
2019 年、Liansoft は EMM と SDP の 2 つの製品を一連のアーキテクチャと一連のプラットフォームで統合し、モバイルと PC の統合ゼロトラスト管理を実現しました。
2020年には、LiansoftのSDP、Huaweiのセキュリティ分析システム、ZhuyunのIAMシステムに基づいて、ゼロトラストソリューションの完全なセットが形成され、あらゆる階層の顧客に完全なゼロトラストソリューションを提供するゼロトラストエコロジーアライアンスが構築されました。
ゼロトラスト分野における Unisoft Technology のアプリケーション シナリオと実践機能
01 シナリオ 1
要件の説明
リモート オフィス、リモート開発、リモート生産、リモート運用保守などのリモート アクセス環境。最初に解決する必要がある中心的な問題は 3 つあります。これには、インターネットへの露出の収束、セキュリティ アクセス制御、データ セキュリティが含まれます。
解決
Liansoft のゼロトラスト ソリューションの展開を通じて、ユーザーはリモート アクセス シナリオにおけるセキュリティ問題を 7 つの側面から解決できます。
1. Liansoft の UDP プロトコルに基づくSPA は、ネットワーク入口の隠蔽とサービスのステルスを真に実現できます。
2.包括的なアイデンティティ: ユーザーがデジタル アイデンティティを再構築できるように支援します。デジタル アイデンティティは、ゼロトラスト アクセス プロセス全体を通じて継続的に検証されます。
3.アクセス端末のセキュリティを確保: エンドユーザーの行動をリアルタイムで監視します。
4.特権を最小限に抑える: アクセス可能なアプリケーションを動的に承認し、きめ細かい特権制御を実行し、不正アクセスと特権アクセスを防止します。
5.セキュリティ プロキシ ゲートウェイ: アクセス サブジェクト、信頼できるサブジェクト、および利用可能なリソースに対してアプリケーション層で暗号化されたトンネルを確立し、送信プロセス全体でデータのセキュリティを確保します。
6.データセキュリティ:データ保護は、電子透かし、サンドボックス、その他のテクノロジーの組み合わせによって実現されます。
7.セキュリティ監査: ユーザーのすべてのログイン操作およびアクセス行動に対して総合的な監査を実施し、セキュリティ リスクを追跡および特定します。
02 シナリオ 2
要件の説明
支店はアクセス コストが高く、管理が困難です。企業の複数の支店および複数の組織の場合、企業レベルのユーザーのほとんどは、基本的に VPN ポイントツーポイントを介した相互接続を実現します。
解決
UniSoft ソリューションは、アプリケーションとデータに焦点を当てており、ゼロトラスト製品をデータ センターに一元的に展開します。各ブランチ オフィスは、ゼロトラスト クライアントを経由するだけでデータ センターのビジネスにアクセスし、ID 認証とセキュリティ チェックに合格し、ID とセキュリティステータスに基づいてデータ センターでアクセスできるサービスを動的に割り当てます。
03 シナリオ 3
要件の説明
マルチクラウド/マルチデータセンターアクセス。従来の VPN アーキテクチャは、マルチクラウドおよびマルチデータセンター環境での統合セキュリティ アクセス、統合ポリシー管理、および統合セキュリティ構成に適応することが困難です。
解決
ゼロ トラスト ソリューションの展開を通じて、管理プラットフォームとセキュリティ ゲートウェイの分散モジュラー展開により、コントロールプレーンとデータ プレーンの効果的な分離を実現できます。ユーザーは、統合管理プラットフォームを通じてセキュリティ認証と認可管理を提供するため、運用とメンテナンスの負担が軽減され、ユーザー エクスペリエンスが向上します。
04 シナリオ 4
要件の説明
レベル間/部門間のビジネス アクセス。各レベル・部門の情報化構築は独立しており、各レベル・部門のデータ共有度は低く、「データアイランド」現象が深刻である。
解決
Liansoft のクロスレベルおよびクロス部門のソリューションは、レベルまたは部門ごとにゼロトラスト アーキテクチャを構築できます。独自のレベル/部門でゼロトラスト アクセスを提供するだけでなく、ビジネス センター間および部門間アクセスが関係する場合は、ポータルを切り替えることで UnitedSoft の同じクライアントを使用してアクセスできます。
05 シナリオ 5
要件の説明
1 台のマシンに複数の機能を搭載。企業内には複数の隔離されたネットワークが存在し、ネットワーク隔離やデータ隔離を確保するために、従来のユーザーは各ネットワーク上に別々の端末やVDIクラウドデスクトップを構築することが一般的であり、投資コストや運用保守コストが高くなり、また、1台の端末上にセキュリティの高いドメインとセキュリティの低いドメインのデータが混在するため、情報漏えいのリスクも相対的に高くなる可能性があります。
解決
Liansoft は、複数の機能を備えた 1 台のマシンに対して、前述のゼロトラストの標準化されたセキュリティ機能を提供し、顧客のネットワーク分離および関連する運用および保守管理要件に応じて、さまざまな管理方法を採用できます。集中管理モードでは、統一プラットフォームとビジネスポータルのエントランスを利用して本人認証、端末のセキュリティチェック、権限管理アクセスを行うことができ、ビジネス領域ごとに個別のゼロトラスト管理プラットフォームを導入した場合には、端末側のクライアントからポータルを素早く切り替えることもでき、ユーザーエクスペリエンスを向上させることができます。
データセキュリティの観点からは、端末のサンドボックスを通じてローカルデータ分離を実現し、データセキュリティを確保します。
06 シナリオ 6
要件の説明
モバイル H5 アプリケーションへのクライアント不要のアクセス。近年、インスタント メッセージングやリモート ビジネス アクセスに WeChat、DingTalk、Feishu を使用する企業が増えており、CRM および H5 アプリケーションのアクセス ポータルは、インターネット側で対応するポートとサービスを個別に開く必要があります。コンプライアンスによるものであっても、企業自身のセキュリティ要件によるものであっても、インターネットの露出した表面の収束を達成する必要があります。
解決
Liansoft EMM ソリューションは、顧客の携帯電話にクライアントをインストールできると同時に、WeChat や DingTalk などのサードパーティ アプリケーションを通じて、安全な SDK を統合して H5 とアプリのアプリケーションを実現し、インターネットへの露出を効果的に削減し、デバイス管理、データ管理、アプリケーション管理セキュリティなどを実現します。
同時に、H5 アプリケーション向けに、Liansoft はクライアントフリーのアクセス ソリューションを開始しました。Unisoft ゼロトラスト アーキテクチャでは、セキュリティ ゲートウェイは関連ポートを外部に提供して、アプリケーション アクセスを実現できます。クライアントをインストールする必要がないことを前提として、ユーザーがエンタープライズ WeChat および DingTalk 認証に合格した後、H5 アプリケーションにアクセスするとき、最初にゼロトラスト セキュリティ製品にアクセスし、製品を対応する H5 アプリケーションに転送して、危険性の収束を達成し、ユーザー エクスペリエンスを確保します。
次世代ゼロトラストアクセス管理システム:Unisoft Uni SDP Pシリーズ
Unisoft Uni SDP P シリーズは、Unisoft ゼロトラスト アーキテクチャ システムに従い、管理プラットフォームとセキュリティ ゲートウェイを 1 つに統合します。P シリーズの機能モジュールは、安全なアクセス、信頼できる ID、信頼できる端末、信頼できるアプリケーション、信頼できるデータという5 つの重要な方向を中心に展開します。基本的に、オールインワン マシンのモジュール式導入により、ポリシー データと監査情報の同期を実現し、ユーザーに高可用性エクスペリエンスを確保できます。また、監査情報と関連するトラフィック情報をサードパーティ プラットフォームと同期することもできます。
コア機能
1SPAのシングルパックライセンス
さまざまな複雑なシナリオにおけるネットワーク ステルスの有効性を実際に保証します。
2 信頼できるアクセス機能
純粋アプリケーション層の暗号化技術により、標準パスワードの暗号化と国内商用パスワードの暗号化を実現しました。
3 アクセスセキュリティ
Pシリーズは、端末のセキュリティ状況を継続的にチェックおよび検証し、端末のIDと環境に対する許可されたアクセスアプリケーションを最小限に抑えます。
4 シングルネットコム
ユーザーがネットワーク上の業務システムにアクセスする際に、他のネットワークの業務システムには同時にアクセスできないように制限することができ、ネットワーク上での論理的な分離を実現します。ユーザーは、マルチネットワーク アクセスを実現するために直接インストールできるクライアントは 1 つだけです。
5 マルチポータル
主に部門横断、レベル横断のシナリオが含まれますが、Pシリーズではクライアントから直接別のポータルに素早く切り替え、ID認証とセキュリティチェックを経て対応する業務システムにアクセスすることができるため、1つのクライアント、複数のシナリオ、複数のポータルを介したセキュアなアクセスを実現します。
6データセキュリティ
電子透かし技術。異なるビジネス システムにアクセスすると、異なる画面ウォーターマークが読み込まれますが、Linksoft はプレーン テキスト ウォーターマーク、ベクター ウォーターマーク、QR コード ウォーターマーク、ブラインド ウォーターマークなどのさまざまな技術を提供しています。
P シリーズ ソリューションの価値は、セキュリティ、使いやすさ、効率的な運用とメンテナンスを再構築することにあります。
中小規模、零細の顧客向けに、迅速な展開とゼロトラスト セキュリティの実装が可能で、リソースと完全な機器の条件下で 1 時間の迅速な展開をサポートします。
同時実行数が多いお客様向けにロードバランシング連携をサポートし、Pシリーズ製品のインターネット側への権限とイントラネット側アプリケーションへの権限を開放します。ID 認証による一連のセキュリティ ルール チェックが完了すると、関連サービスにすぐにアクセスできるようになります。
-------------------------
Convinced をもう一度見てみましょう。
製品説明
ゼロトラストアクセス制御システム aTrust は、「トラフィックアイデンティティ」と「動的適応アクセス制御」を核としたゼロトラストセキュリティコンセプトに基づいてサンフォー社が発売した革新的なセキュリティ製品です。この製品は、ネットワーク ステルス、動的適応認証、端末動的環境検出、フルサイクル ビジネス アクセス、インテリジェント権限ベースライン、動的アクセス制御、マルチソース信頼評価などのコア機能を通じて、新しい状況下での複数のシナリオでエンタープライズ アプリケーションのセキュリティ アクセス ニーズを満たします。同時に、Sangfor ゼロトラスト プラットフォーム ZTA のコア コンポーネントとしての aTrust は、状況認識、EDR、AC などのさまざまなセキュリティ デバイスの接続をサポートしています。セキュリティ機能は成長し続けており、ユーザーのネットワーク セキュリティ システムがゼロトラスト アーキテクチャに移行するのを支援し、ユーザーがトラフィック ID、インテリジェントなアクセス許可、動的アクセス制御、および非常に簡素化された運用および保守管理を備えた新世代のネットワーク セキュリティ アーキテクチャを実現できるように支援します。
製品の技術的利点
シンプルな実装と展開
このソリューションは軽量で実装が簡単です。標準の SDP アーキテクチャを使用すると、2 つのコンポーネントで複数のシナリオの安全なアクセス配信を完了でき、軽量で導入が容易になります。
強力な認証ドッキング機能:さまざまなオープン認証インターフェイスを標準化して、oauth2、CAS、HTTP(S) LDAP、および Radius インターフェイスを介してさまざまな認証プラットフォームに接続できるため、導入時およびオンライン化時のサードパーティ認証ドッキング作業が簡素化されます。SSL VPN における 10 年以上の経験と豊富なドッキング経験により、10 社を超える主流の IAM/4A メーカーがプロジェクトに参加しています。
シンプルな構成:デバイスを棚に置くときに、デバイスの展開構成をガイドすることができ、ウィザード マップに従ってデバイスを簡単に棚に置くことができます。
優れたユーザーエクスペリエンス
優れた互換性: SangforはSSL VPNで10年以上の経験があり、端末互換性に関して豊富な実務経験を蓄積しており、さまざまな主流端末および国内端末と互換性があり、さまざまな主流ブラウザおよび国家機密ブラウザと互換性があります。
高速なアクセス速度:インターネット出口が複数ある場合、ネットワーク遅延を自動的に計算し、最適な回線を自動的に選択します。ログインは数秒で成功し、トンネルが確立されるのを待つ必要はありません。
強力なセキュリティ
豊富な認証方式: 10種類以上の認証方式、OTPワンタイムパスワード、パスワードレス認証、拡張認証など、IDセキュリティを強化します。
詳細な端末検出:プロセス レベルの検出をサポートしており、端末上で信頼できないアプリケーション プロセスを検出してブロックできます。ログイン時およびサービスにアクセスするたびに、端末環境を継続的に検出して認証し、端末のコンプライアンスを確保します。
包括的な保護:プロセス レベルの検出をサポートし、端末上で信頼できないアプリケーション プロセスを検出してブロックできます。ログイン時およびサービスにアクセスするたびに、端末環境を継続的に検出して認証し、端末のコンプライアンスを確保します。
公開領域が完全に縮小:第 3 世代 SPA シングル パッケージ認証メカニズムと独自の「1 人 1 コード」により、「ネットワーク ステルス」が実現され、主要なサービスが隠蔽され、公開領域が削減されます。
デバイス自体のセキュリティは高く、フレームワーク セキュリティ、インターフェイス セキュリティ、ソース コード セキュリティ、SDL プロセス、公開テスト サービスなどの複数の側面を通じてデバイス自体のセキュリティが確保されています。
大量アクセス
大規模な同時実行ソフトウェア アーキテクチャ:数百万規模の同時実行、100,000 レベルのリソース、および権限管理の展開とアプリケーションをサポートします。
強力な水平拡張機能:分割設計を採用し、プロキシ ゲートウェイの水平拡張をサポートし、ローカル クラスターとリモート クラスターをサポートし、超大規模な同時アクセスに対応します。
強力な水平拡張機能:インテリジェントなリソース制御、ダウンタイムなし、ビジネス可用性、突然のトラフィックピーク時のリクエスト障害なし、過圧安定性テスト、実際の運用での 20,000 同時実行スケール、30,000 同時実行での連続圧力テスト。
製品詳細
aTrust-1000-Bシリーズ
リモートオフィス、UEM端末の情報漏洩防止、モバイルAPPビジネスセキュリティアクセスなどに適しています。
- 1U-2Uシャーシ
- 暗号化されたトラフィックのスループットは 300Mbps ~ 10Gbps をカバー
- 理論上の最大同時ユーザー数は 400 ~ 20000 です。
aTrust-1000-Sシリーズ
リモート オフィス、UEM 端末のデータ漏洩防止、モバイル APP ビジネス セキュリティ アクセス、およびユーザーのその他の機密性評価ニーズに適しています。
- 1U-2Uシャーシ
- 暗号化されたトラフィックのスループットは 480Mbps ~ 2.1Gbps をカバーします
- 理論上の最大同時ユーザー数は 1000 ~ 16000 です。
仮想化 aTrust-1000-V シリーズ
さまざまな種類のクラウド プラットフォームにミラーリングして展開でき、リモート オフィス、UEM 端末のデータ漏洩防止、モバイル APP ビジネス セキュリティ アクセスに適しています。
ユーザーは、暗号化トラフィックの最大スループットと理論上の最大同時ユーザー数を満たすように、オンデマンドで仮想マシンを構成します。
aTrust-1000-GAシリーズ
Phytium CPUにはGalaxy Kylin OSが搭載されており、リモートオフィスの局所的な変革、UEM端末のデータ漏洩防止、モバイルAPPのビジネスセキュリティアクセスに適しており、顧客の機密性評価ニーズにも対応できます。
- 1U-2Uシャーシ
- 暗号化されたトラフィックのスループットは 600Mbps ~ 750Mbps をカバー
- 理論上の最大同時ユーザー数は 1200 ~ 6000 です。
aTrust-1000-LSシリーズ
Haiguang CPUにはGalaxy Kylin OSが搭載されており、ローカリゼーション変換後のリモートオフィス、UEM端末のデータ漏洩防止、モバイルAPPビジネスセキュリティアクセスに適しており、顧客の機密性評価ニーズにも対応できます。
- 2Uシャーシ
- 最大 2.5Gbps までの暗号化トラフィック スループットをカバー
- 理論上の最大同時ユーザー数は 2.5w です。