深信服aTrust-1000-B1050G零信任安全代理网关

深信服aTrust零信任访问控制系统

产品概述

深信服aTrust零信任访问控制系统是基于零信任理念与深信服多维度安全技术积累构建的安全架构，通过“以身份为中心，构建可信访问、极简运维、智能权限”的核心价值主张，能够为用户打造更安全、体验更好、适应性更强的远程办全方案。同时得益于动态访问控制、智能权限等新特性，能为用户打造更安全、更灵活、更有效的安全控制体系。

核心功能价值

以身份为中心

• 安全与体验的平衡，如用户在授信的终端上登录可以免辅助认证、采用客户端一键登录，不需要再输入访问业务地址和账号密码。
• 动态认证能力，如当用户访问使用弱密码时需进行增强认证；当用户在异常时间段登录时需进行增强认证；当用户在异地登录时，必须进行增强认证。

可信访问

• 网络隐身：第二代SPA机制，通过SPA单包机制缩小暴露面，只有特定携带安全票据的客户端才能进行访问请求连接，可以避免对外暴露端口，任何人都可以发起访问链接，进而避免的扫描探测、漏洞利用攻击等（规划中）
• 终端环境动态检测：全周期地实时终端环境检测，包括用户登陆时、登录后访问业务期间进行实时检测。
• 终端进程可信：可以只允许终端上特定的进程（白名单进程）接入访问业务，达到高安全接入访问。
• 动态业务准入：可根据业务的重要程度制定高要求的终端准入要求，如访问等非敏感业务不需要安装杀毒软件，而访问财务系统必须安装EDR软件并且规则库更新到版本。

极简运维

• 终端使用体验升级：访问B/S业务可以免除客户端登录，通过浏览器即可访问业务，提升使用体验；业务从互联网收缩如内网后不改变用户原有使用习惯。同时也大幅降低IT人员在用户终端侧的运维压力；
• 内外网访问一致体验，无论在何地办公，都能获得一致的访问体验。
• 智能权限工具：用户自助申请权限。用户访问设置申请提示的应用时，弹出申请提示，可填写申请理由，可由管理员审批。大幅降低IT管理人员账号开通、权限审批等繁琐工作投入。
• 终端运维工具：提供终端自助工具，对当前终端的基本环境进行扫描和一键修复，降低运维人员在终端的运维工作，提升运维体验

智能权限

• 安全基线（动态访问控制）：利用“信任引擎”来实现动态权限控制，当发现终端环境、身份、行为存在风险时，通过收缩用户的访问权限，降低被攻击入侵的风险。
• 智能权限基线：利用权限基线工具，确保最小化权限的同时，有效减少用户原本权限梳理的管理成本，解决零信任架构落地的关键障碍
• 灰度处置：能对不满足安全条件的访问，增加二次认证，通过进行身份确认提升信任，实现灰度处置，告别非黑即白
• 行为可信：通过UEBA、第三方安力集成，实现多源信任评估，更准确地识别异常行为和未知威胁，保护核心业务系统。

典型应用场景

远程办公场景

员工安全访问OA、ERP、CRM、财务、BI、邮箱等系统；IT人员远程开发、远程运维

第三方人员远程接入场景

第三方供应商、合作伙伴、供应链、外包/外协人员接入

缩小业务暴露面场景

安全演练、业务安全需求将业务从互联网收缩到内网，减少暴露面

内网权限管控场景

权限规范化、基于身份的访问控制、取代传统的区域隔离的访问控制模式、基于身份环境行为的动态访问控制

内外网统一访问控制场景

利用身份重构边界，简化网络架构，建立同一套访问控制体系、统一的权限体系

多云多数据中心安全访问场景

业务云化边界模糊缺少有效访问控制机制，多云多数据中心需要同时接入访问业务，需要一致的访问体验和安全控制手段