【aTrust基础】短训营一.pptxVIP

短训营-零信任aTrtust产品课程（一）杨志刚63419价值主张：高效接入，安全办公

讲师介绍姓名：杨志刚部门：安全产品运营部联系电话：18620736711个人简介：深信服零信任产品运营总监、内部认证讲师、CSAGCR专家委员会成员、CSA零信任认证讲师、CZTP零信任认证专家，拥有十余年安全领域工作经验，擅长SDP、SSLVPN、移动安全、数据安全、下一代防火墙等安全技术，参与过众多行业客户安全规划与建设，曾为政府、医疗、央企、金融等大型行业客户规划设计零信任体系，拥有丰富的零信任实战落地经验。

更新记录更新日期更新内容刷新版本更新人2023.06重新编制v1.0杨志刚2023.11PPT拆分，增加选型、参数、竞争分析内容v1.1刘鹏博

零信任aTrtust产品背景介绍目录DIRECTORY010203零信任aTrust产品简介零信任aTrust产品功能说明04零信任atrust核心价值优势

一、零信任aTrtust产品背景介绍1、网络边界的变化及安全挑战

什么是网络边界？

提问：Q1：你穿越到了古代，成了一个大财主，生意兴隆，每天的收入有珠宝、黄金和白银，你会怎么保护这些财宝?Q2：因为生意实在太好，你每天需要很频繁的去放财宝的地方拿出来用或者把收入放进去，你自己都跑不动了，想让店里的伙计也去放，怎么保护财宝安全？

数字化转型使得业务更开放、云化使得业务部署更分散，双轮驱动下组织的网络边界变得越来越模糊，呈现“无边界”趋势物理边界物理边界远程办公云合作伙伴IoT边界模糊化导致越来越多的业务暴露在互联网中；边界模糊化导致威胁更容易通过互联网渗透到网络内部；边界模糊化导致组织重要的业务数据更容易被泄漏；网络边界在发生怎样的变化？

物理边界来源于业务暴露的威胁：漏洞利用、账号爆破来源于终端的威胁：邮件钓鱼、钓鱼网站数据扩散到外网终端终端网络环境角色业务过去：内网PC、企业统采PC现在：BYOD、移动终端...过去：内网有线办公现在：无线办公、远程办公、分支办公、业务云化...过去：内部员工为主现在：供应商、合作伙伴、外包、代维...过去：少量B/S、C/S业务现在：大量B/S、APP、H5等形式业务办公环境日趋复杂绕过企业防护，长驱直入终端可以同时访问互联网和内网，容易被钓鱼攻击成为跳板；大量应用/中间件暴露在互联网导致更多攻击风险；移动办公、远程访问导致数据被外部获取更易泄露；网络边界弱化带来的安全挑战分支终端分散、BYOD终端种类多，终端环境管理运维难度大；用户在内网、互联网等不同位置访问业务体验和权限不一致，影响网络的安全性和业务访问体验；人员与业务的增长导致ACL数量越来越多，管理运维越来越复杂；

一、零信任aTrtust产品背景介绍2、为什么需要零信任？

传统网络边界安全模型对于资源的访问保护，传统方式是根据被保护对象的安全级别划分安全区域，不同的安全区域有不同的安全要求。在安全区域之间就形成了网络边界，在网络边界处部署边界安全设备，包括防火墙、IPS、防毒墙、WAF等，对来自边界外部的各种攻击进行防范，以此构建企业网络安全体系，这种传统方式可称为边界安全理念。以之前的例子，传统网络边界安全模型就好比是建金库来保护财宝（安全区域），财宝的种类多了，就需要更多不同的金库（不同的安全区域），财宝要经常进出，就需要对进出进行检查（IPS、防病毒等）它的核心是：先把要保护的东西圈起来，然后再根据需要开个门，针对进出做检查（边界隔离+纵深防御）。

传统网络边界安全模型的局限性DistrustTrustDistrustTrustTrustTrustVPN随着时代的发展，各类新的应用和业务场景也不断涌现，传统边界安全模型的局限性逐渐暴露，对云计算等新技术新应用的适应性不强先访问业务系统再认证身份先认证身份再访问业务系统1221当服务器有漏洞时，随时可能被攻陷。隐藏服务器，只有携带合法身份的流量才能到达业务系统。Gateway对静态标识进行一次性判定先建立访问，再判定信任内部网络区域信任过度身份认证方式狭隘单一访问控制机制静态粗放核心业务服务拓扑暴露信任判定本质上基于网络位置，边界外严防死守，边界内畅通自由先授权网络访问再进行身份认证，业务拓扑实际已经暴露，扩大了被攻击面身份认证狭义化，忽略终端和应用多维关联，缺乏复杂状况的多维认证权限管理复杂，极易松紧失衡，不能有效匹配业务，且缺乏动态调整能力，信任持续有效

数字世界应该“从不信任，总是验证”过去现在默认策略下“信任”所有内部流量内部设备不受任何控制限制本质上没有任何流量可以被“信任”所有访问都必须得到策略批准Trustisanemotionthatcan’tbeappliedtodigitalsystems.信任是一种不适用于数字世界的情感