雪诺云零信任安全接入平台

新一代安全网络访问架构，以“永不信任，持续验证”的零信任理念，关注“人、环境、访问方式、访问过程、目标应用及数据”的安全状态，并动态执行访问策略，落地安全接入。

01：持续验证，永不信任，构建身份安全基石
- 雪诺云 ZTNA 对人、终端和应用进行统一身份化管理，建立以身份为中心的访问控制机制。以访问主体的身份、网络环境、终端状态等作为认证的动态考量因素，持续监测访问过程中的违规和异常行为，确保接入网络的用户和终端持续可信。

02：动态授权，精细访问控制，权限随需而动
- 雪诺云 ZTNA 不依赖网络层面控制访问权限，而是将访问目标的权限细化到应用级、功能级、数据级，只对访问主体开放所需的应用、功能或数据，满足最小权限原则，极大收缩潜在攻击面。同时安全控制策略基于访问主体、目标客体、环境属性（终端状态、网络风险、用户行为等）进行权限动态判定，实现应用、功能、数据等维度的精细和动态控制。

03：全局防御，网安协同联动，威胁快速处置
- 雪诺云 ZTNA 通过对终端风险、用户行为异常、流量威胁、应用鉴权等行为进行多方面评估，构建一条完整的信任链。并对信任分低的用户或设备生成相应的处置策略，联动网络或安全设备进行威胁快速处置，为企业搭建一张“零信任+网安联动”的安全网络。

04：应用访问集中管理，提升访问效率
- 基于最小泄漏原则，安全威胁检测引擎，多级安全策略，防范SQL注入攻击缺陷代码，敏感数据泄漏，未授权访问等外部攻击造成的数据访问安全，同时对授权数据访问人员的访问行为及日志记录分析，通过 AI/ML 智能分析引擎对图像和文档、特定类型的敏感数据等进行数据保护。

场景及解决方案：
- 防御高级持续威胁（APT）攻击
- 核心敏感数据安全访问防护
- 第三方人员轻量级安全接入
- 远程办公及多租户统一安全接入

• 接入前

  • 访客最小化授权

    通过基于策略的访问控制（PBAC），实现复杂场景的精细访问控制。为访问网络的用户提供完成工作所需的最小化访问授权，避免过度授权、超范围授权

  • 以身份为中心认证与管

    支持主流身份源与认证源的对接和管理，建立完善的企业身份体系，提升用户安全访问体验，同时减少弱口令、未知身份的不安全访问行为

• 接入中

  • 应用安全防护

    应用仅对完成登录验证的有权限的用户开放，未登录或者无权限用户则无法访问。在复杂环境或特殊场景下实现应用的“隐身”，提高资产安全等级，减少风险和暴露面，遏制攻击者横向移动

  • 上下文持续验证

    没有任何身份/设备/网络是被信任的，系统将以访问主体的身份、网络环境、终端状态等作为认证的动态考量因素，进行持续监测。登录成功并非意味着被信任，当出现访问过程中的违规和异常行为，将启动重新验证

• 接入后

  • 安全数据分析

    直观展示企业近期网络接入情况，对安全事件进行数据统计分析，找到存在安全风险的用户、设备、应用，持续进行针对性策略迭代升级

  • 行为日志追溯

    对用户认证、用户授权、应用/API访问行为等全链路行为进行日志记录，特别针对 SSH 、RDP 应用支持实时查看命令行页面。结合异常行为准入/告警/封禁策略，在出现异常行为时，可快速进行日志追溯