零信任：打破“攻防”被动发展模式，构筑企业安全“护城河”

破除被动打补丁的护城墙安全模式，

基于身份细颗粒的动态管理才是王道

垂直行业在数字化转型的大背景下，也在基础IT架构中引入了上云服务、移动计算等热点技术，内网外网的物理边界逐渐消失，病毒木马迭代速度也远超从前，终端数量更是成指数形式增长，此时如何实现实时高效的管控成为了行业发展的困境之一。

传统网络安全架构通过安全边界将网络划分为内网、外网、隔离区等不同区域，默认内网的安全性更高，预设内网中的设备与系统的可信度，随后在边界上部署防火墙等网络安全产品对其进行重重维护，形成企业业务的数字护城河。

但是不断升级的高级持续性攻击早已突破早前的安全边界，对内网的威胁持续升级，此时更灵活的动态识别、认证、访问控制等成为了各企业最为核心的诉求，在这个契机下，融合软件定义边界(SDP)、增强的身份管理(IAM)、微隔离(MSG)三大技术的零信任架构悄然诞生，它默认任何终端都不可信的原则，依靠基于设备、用户以及行为模式的动态管理实现不同资源细粒度的访问控制，解决VPN账号鉴权、环境识别和横向移动等安全缺陷带来的安全策略管理问题，建立对内部资源的保护机制。

从来不信任，始终在校验

零信任架构不单纯是安全技术创新，也不仅是安全设备升级改造，本质是一种网络安全管理机制、设计模型、规划实践的变革。

“创宇零信任网关” 是基于“零信任”安全体系打造的以身份认证与动态信任为基础的安全硬件产品。零信任网关不再依赖传统的防火墙物理边界，进行访问管控；而是根据用户、设备、网络环境、访问行为等基于尽量多的数据源进行风险衡量，通过持续性的数据收集、校验与评估从而达到基于身份认证的动态安全访问控制。

创宇零信任技术原理//

创宇零信任网关通过可信代理、策略引擎以及信任评估引擎三个核心引擎实现零信任访问控制。创宇零信任网关在收到请求后，会根据当前请求用户的网络参数、位置参数、环境参数以及历史画像进行智能评估，以判断当前请求放行后可能造成的风险等级，网关将根据风险等级决定对请求的处理，并将处理的结果持久化用于进行威胁情报分析等，将系统的安全及风险直观展示出来。

创宇零信任产品特性//

创宇零信任网关提供了多种用户认证方式，包括短信验证码、微信、OTP等；由“以网络为边界”演变成“以身份为边界”，在不可信的网络环境中，以身份为核心，基于认证和授权的访问控制管理重构可信的、安全的网络框架。

• 细粒度权限管控

最小权限原则是零信任安全架构必须遵循的实践之一，创宇零信任网关基于身份进行细粒度的访问控制，只赋予用户完成特定工作所需的最小访问权限，以便应对越来越严峻的越权横向移动风险。同时系统会根据用户的登录习惯变化（如时间、地理位置、网络等），并结合网络环境检测分析，动态调整用户授权策略，始终控制用户的最小访问权限。通过这样的方式，可以极大地缓解凭证窃取、越权访问等带来的安全威胁。

• 持续信任评估，权限动态调整

创宇零信任网关不止于一次登录时的身份验证，而包含登录后访问业务系统的整个过程。即使该用户近期发起的请求都是合法的，也将针对其每个请求进行实时检测、威胁定级；对于不同的风险级别，授予不同信任程度，分配不同的权限。通过这种持续的信任评估，最大程度的避免外部威胁的入侵，为企业资产提供更高效的保护。

创宇零信任网关根据请求发起者的网络环境进行安全分析，结合知道创宇累积多年的海量威胁情报数据，弥补对外部威胁的盲区，知己知彼。通过快速的感知、响应能力，判断请求来源的网络是否安全可信，从而确定请求的可信级别以及威胁等级，拦截可疑请求，阻断威胁。