产品概述

1 产品说明

    飞网零信任产品主要包括:飞网身份认证和访问管理系统(FW-IAM,Identity and Access Management)、飞网网络访问控制系统(FW-NAC,Network Access Control)等。其中FW-IAM侧重于应用层访问控制,FW-NAC侧重于网络层访问控制。通过FW-NAC的API接口,可以实现应用层权限和网络层权限的关联控制,例如当某用户具有某业务系统的访问权限时,自动为其配置网络层访问权限,即业务权限决定网络是否可达。

    FW-NAC实现了软件定义网络(SDN,Software-defined Network)、软件定义边界(SDP,Software-defined Perimeter)。FW-NAC在物理网络之上,覆盖了一层安全防护层,整个网络层由FW-NAC实际控制,不再有物理意义上的网络边界,而是由具有隐身效果的微边界实现网络隔离。

    飞网网络访问控制系统(FW-NAC)用于复杂网络下的远程组网、自动化的精确访问控制;提供全网加密,服务隐身,微隔离,身份关联,内外连管理等安全特性;提供丰富的飞网上层应用,保障业务系统安全运行。

    飞网由飞网控制中心和飞网终端程序组成,其中飞网控制中心用于集中管理所有的飞网终端,并实时下发最新的访问控制策略(微隔离策略);飞网终端程序执行各自的访问控制策略,并自动集成通信加密、服务隐身、安全远程连接等功能。飞网控制中心和飞网终端程序间只有控制数据的通信,所有业务数据在飞网终端设备间传输,飞网控制中心无法获取任何的业务信息,用户无需担心业务信息泄露。

2 产品定位

    飞网通过一个完整的解决方案,解决如下的安全问题:

  • 你是谁:对人员、应用等身份信息进行鉴别;支持单点登录,支持多因素身份认证MFA,支持基于FIDO的无密码认证方案等;
  • 使用什么设备:提供终端密钥验证,可信终端签名验证,根据终端安全状况实施网络准入等功能;
  • 能做什么:你可以使用的网络链路(不限制网络位置)、应用系统功能、数据资源进行集中控制;提供最小权限(微隔离)的访问能力;
  • 不能做什么:无法发起有效的网络攻击(采用全网加密、动态连接、网络隐身技术,非授权网络、应用、数据资源不可见、不可达、不认识、不回应);
  • 做了什么:飞网全链路实名制,应用系统或安全产品可以轻松将身份、终端、日志进行关联。

3.技术分析

    实现零信任的三类关键技术包括:身份与访问管理IAM、安全访问边界SDP、微隔离MSG。国内现有零信任产品可以分别与上述三类技术一一对应,具体如下:

  • IAM产品用于网络层、应用层的身份认证和访问控制,可提升网络、业务系统的整体安全水平与关联分析处置能力。但国内现有IAM产品功能仍停留在业务系统单点登录上,各应用系统仍使用各自的权限判断,无法实现系统间、与安全产品间的权限联动,更无法实现与网络资源的权限联动。
  • SDP产品用于加密和隐身,可有效减少网络攻击和中间人攻击。国内现有零信任产品全部采用“零信任网关”模式串联在网络边界上,存在性能瓶颈、业务系统兼容能力差、策略绕过等问题,并且仍需部署在网络边界,只能实现“边界过滤”,可以认为是全面零信任迈出的第一步。对比过去的VPN产品,零信任网关增加了端口隐身功能,安全性提升有限。
  • MSG产品用于网络资源和计算资源的最小分隔,可实现安全损失最小化。国内MSG微隔离产品极少,主要以云安全厂商提供的云资源间的隔离产品为主,可实现云租户间的风险隔离;其次仅蔷薇灵动一家的产品可依靠自动化控制的主机防火墙策略实现MSG微隔离,但由于严重依赖网络层安全,无法抵御绕过和欺骗的风险。

    飞网完全实现了零信任的三类关键技术,符合零信任成熟度模型中的最佳实践要求,在国内具有明显优势。其中,飞网IAM实现网络层、应用层的身份集中、权限集中、审计集中;飞网SDP实现了无网关模式和有网关两种模式,使其具备了全网生效,易扩展、全网加密和隐身,动态端口通信等特点,安全效果不再局限于网络边界,可明显减少网络攻击;飞网MSG微隔离采用点到点的端口级网络微隔离,实现精确的访问控制,通过大量密码技术的应用,可确保其安全效果。

    飞网NAC产品(SDP+MSG二合一)可满足全部的网络层安全合规要求,可轻松应对护网和重保等安保任务,可以完全符合等保二级、三级的安全通信网络、安全区域边界的全部技术要求,以及安全管理中心的部分要求;结合飞网IAM,飞网WAF,可满足更多的安全计算环境的合规要求。飞网NAC产品可实现一次部署,一举多得,一步到位,智能化运行。相比防火墙、零信任网关等安全产品需要部署在不同的网络位置,在具体位置还需考虑是否双机热备,并且存在大量的配置和运维工作,飞网部署非常简单,部署完成后运行可无人值守;并且由于出色的安全效果,可最大程度减少低水平重复建设和投入,具有明显的性价比优势。

4 必要性分析

    飞网满足《关键信息基础设施安全保护要求》、《网络安全等级保护基本要求》(等保 2.0)中针对网络安全、应用安全、安全管理中心中大部分安全合规要求;满足南北向(终端与边界服务器的访问)与东西向(服务器间的访问)安全可控的要求。

    注:此图标为飞网的LOGO标识。

5 逻辑架构

5.1 访问者和被访问者视角

    首先我们从访问者和被访问者,以及飞网控制中心的角度,来分析飞网的逻辑架构,如图2和图3所示。

    服务器中部署的应用系统和各类服务,部署在上图所示的“服务端主机”中,或者部署在“开启子网网关功能”的“服务端主机”所在的网段中,如下图所示。

    如图2和图3所示,飞网采用控制和业务分离的设计。使用飞网SAAS版本或部署飞网私有化版本,您的业务数据都不会发送到飞网控制中心。

    飞网控制中心用于实时的策略下发,需要加入飞网的所有设备只需连接到飞网控制中心,无需部署任何其他的隐身网关或代理设备。飞网可以保证所有加入飞网的节点间依据微隔离策略的正常访问,且无需调整您的网络策略。

5.2 全局视角

    我们以某公司为例,该公司已经部分接入飞网,其在北京、上海分别设置办公中心;部分服务器资源部署在阿里云云计算中心,其余服务器资源部署在公司机房的数据中心;公司建设有自动化测试和集成工具,该工具所需的计算资源自动创建、自动销毁,属于临时设备,需要自动化配置网络和访问规则;另有部分出差员工长期远程接入访问公司系统资源。

    以下为从全局视角,分析该公司的网络架构。

    注意:飞网终端程序支持在操作系统中安装,也可以在容器中安装或者通过SDK的方式集成到应用程序中。

6 使用说明

    飞网支持个人用户或企业用户使用,其中个人用户可免费使用飞网的各种基础功能;付费的个人用户、付费的企业用户可使用飞网的全部功能

    飞网提供SAAS版本和私有化部署版本,针对个人用户可使用SAAS版本;付费的企业用户可根据付费类型选择SAAS版本或私有化部署版本。SAAS版本用户对使用的资源进行限制,私有化部署版本不受资源使用限制。

    飞网基础功能与全部功能的对比,以及不同用户类型的资源配额,可访问功能清单页面。

    如果您在使用过程中有任何的问题或建议,可以微信扫描下方二维码联系我们。

上次更新: