持安远望办公安全平台架构
数据平面
数据识别+管控
基于业务开启数据安全上帝视角
所有访问行为打上身份标签
基于人的敏感数据获取:
什么人,访问了什么应用,通过该接口,访问了什么类型的敏感数据
基于人的全链路控制:
基于用户真实身份,精准快速溯源
基于用户身份的终端敏感文件发现、识别、外发审计和下载管控
基于内容,可以精准知道什么人,做了什么操作,返回什么结果
用户身份到终端操作、再到网络请求、应用请求,最后到业务返回到结果,可以实现全链路控制和审计能力
融合能力:
可以与第三方数据安全产品、从终端DLP到API-DLP进行对接和联动
应用平面
应用隐身+最小授权
比VPN更安全,比SDP更贴近业务
只有把零信任深入应用层才能真实防护业务
收敛业务暴露面:
先验证,再访问,而不是传统的“先访问,再验证”
具备应用隐身、攻击防护、访问代理等能力
所有请求都将通过应用安全网关转发,从而减少业务系统暴漏面
更精细的访问控制:
支持基于组织架构、角色进行授权,实现URL级访问控制及业务系统敏感数据精准溯源
当应用系统存在1Day高危漏洞时,可利用应用安全网关快速调整该页面认证等级,限制访问
保障业务正常运行的同时,降低系统被入侵的风险
主机平面
主机隐身+安全检测
符合4A理念的运维审计和远程桌面的统一管控平台
开启远程办公与主机运维新体验
轻量化集中式部署:
内置支持单服务器、高可用、负载均衡
主备模式中使用RDS原生高可用配置进行网关后台的数据同步
Windows用户文件与录屏文件支持外部挂载空间,支持多种数据存储方式以及云存储
远程访问数据不落地:
可无端访问,员工使用任意浏览器即可远程访问个人计算机
后台内置支持单服务器、高可用、负载均衡,易于扩展
多资产高并发部署:
支持企业员工的远程访问
就近访问,精准引流,拒绝数据绕路
网络平面
网络隐身+链路加密
比VPN更安全,比SDP更灵活
颠覆OpenVPN和WireGuard的新一代SDP
网关采用分布式部署架构,易扩展,更灵活:
1.传统的VPN网关节点完全独立,需要运维人员不断切换,持安办公终端可以同时并行连接多个网关,根据路由自动选择最快的网关节点进行业务转发,不需要管理员手动切换VPN接入点,提高办公效率
(spa网络隐身,先认证后连接)
(隧道协议轻量化,网关高性能)
(终端DNS智能解析,精准分流)
2.很多企业存在海外业务和分支机构,需要终端Agent具备出海流量精准识别与分流的能力,持安办公终端DNS劫持能力配合网络网关DNS解析功能,可以实现海外业务流量的精准识别与分流
持安办公终端、网络智能网关和零信任管理后台,三端协同联动,实现动态访问控制
身份平面
行为审计+MFA认证
零信任理念的核心基础设施
一切行为都贴上身份的标签
基于原生零信任理念的持安身份中心:
身份验证、sso不对外暴露,降低被攻击的风险
SSO协议的深度对接,无需应用二次开发,无成本接入
多因素认证能力
多种SSO协议接入能力
复杂身份源数据混合认证与同步能力
对不同应用设定不同认证级别,并结合多源认证使用
与第三方认证源打通的能力
具备应用隐身、攻击防护、访问代理等能力
企业资产授信
标准化身份集成接口,可以与任意第三方IAM系统及自建身份系统集成
主要应用场景
一体化安全办公方案
彻底防护未知人员发起的未知攻击,防护业务风险,确保业务效率,整体提升安全工作ROI
应用安全防护
针对企业业务的应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃问题,平台提供基于应用层的安全防护能力
远程办公安全
四层(网络层)网络和七层(应用层)网络串联接入,七层网关分担四层的流量压力,同时增加更细粒度的动态访问控制策略
数据安全
支持应用安全水印,保障敏感数据不落地,确保业务数据安全合规,高效流转
移动办公安全
解决协同办公审批、手机邮件、文档协作、移动 BI、人事行政服务、系统监控预警等内部需求,大幅度提升了企业内部协作效率
实网攻防
强大的终端数据感知能力结合多年实战对抗经验,内置检测规则并提供编排引擎,用户灵活设置符合自身的安全检测策略
业务暴露面收敛
Web应用隐身,URL级资源管理,C/S应用收敛,攻击扫描不可达
持安远望办公安全平台的价值
CEO
满足监管合规要求
防止因安全事件造成的负面舆情和商誉受损
安全部门
ALL IN ONE
安全不打扰
业务无感知
工作好推动
方案落地快
信息科技部
业务牵引
技术赋能
消解冲突
让企业数字化兼顾效率与安全
业务部门
业务运转自带安全属性
员工办公体验顺滑
零信任5大问
什么是零信任?
零信任是新一代网络安全防护理念,核心思想在于打破传统的“信任模型”,认为没有一个人的身份、设备、应用和行为,应该被持续信任,所以访问者每重新发起一个访问动作,都应该重新建立信任链条。
什么是应用层零信任?
零信任落地时,从网络分层模型上看,主要分为网络层(四层)和应用层(七层)两种。应用层零信任,拥有以身份为中心的、贯穿企业业务、应用、数据资源的全链路零信任能力,与网络层(四层)零信任(国内熟知的SDP产品)相比,应用层零信任与业务关联更深,用户体验更好,防护效果更好。
什么是VPN/SDP?
VPN最早出现于上个世纪90年代,意为虚拟专用网络。常用于企业内网的扩展,帮助远程用户、公司分支机构等办公时,建立与企业内部网络的安全连接。SDP即软件定义边界,由国际云安全联盟CSA于2013年提出,SDP在VPN的基础上,实现了业务系统的网络隐身功能,提升了安全产品本身的安全性。
零信任 = VPN/SDP?
VPN和SDP均作用于网络层,达不到应用层零信任的能力,从零信任在海内外的落地实践经验来看,VPN/SDP并非真正意义上的零信任,而只能算是零信任理念落地过程中的很小一部分。
持安零信任与国内其他零信任厂商的区别?
持安远望办公安全平台是零信任在国内落地的落地实践,它不是传统的VPN/SDP,而是兼具VPN/SDP的优势,更能为企业业务提供严密防护;它不是传统的基于IP进行溯源,而是基于精准的用户身份进行溯源;它不在4层网络层,而在7层应用层;它不是基于特征对抗,而是基于零信任可信验证;它不会让企业牺牲效率做安全,而是兼顾效率与安全。
持安远望办公安全平台的优势
应用层全网部署,不降带宽承载业务
集群分布式部署,非集中转发
微服务模块化拔插式,满足不同安全成熟度
应用层防护能力,防范未知人员发起的未知攻击
溯源到个人身份,基于业务的数据安全
