《零信任架构及解决方案》白皮书中文版新鲜出炉( 二 ) &e

2.零信任安全解决方案

方案构成

奇安信零信任安全解决方案主要包括：奇安信TrustAccess动态可信访问控制平台、奇安信TrustID智能可信身份平台、奇安信ID智能手机令牌及各种终端Agent组成，如下图所示。奇安信零信任安全解决方案中，动态可信访问控制平台和智能可信身份平台逻辑上进行解耦，当客户现有身份安全基础设施满足零信任架构要求的情况下，可以不用部署智能可信身份平台，通过利旧降低建设成本。

----《零信任架构及解决方案》白皮书中文版新鲜出炉//----

图奇安信零信任安全解决方案

奇安信零信任安全解决方案在零信任参考架构的基础上对产品组件进行了拆分和扩展，但在总体架构上保持了高度一致，将其产品组件映射到零信任参考架构如下图所示：

----《零信任架构及解决方案》白皮书中文版新鲜出炉//----

图奇安信零信任安全解决方案与参考架构的关系

另外，奇安信零信任安全解决方案和奇安信丰富的安全产品和平台之间可以实现联动，比如奇安信的移动安全解决方案、数据安全解决方案以及云安全管理平台等。

《零信任架构及解决方案》白皮书中文版新鲜出炉。典型应用场景

下面以一个典型应用场景为例，描述奇安信零信任安全解决方案的逻辑原理。此应用场景数据子网需要保护的资源包括业务应用和API服务，用户/外部平台子网的用户终端需要访问业务应用，外部应用需要通过接口调用API服务，方案逻辑图如下图所示。

----《零信任架构及解决方案》白皮书中文版新鲜出炉//----

图典型场景方案

在此方案中，通过在用户子网和数据子网之间部署逻辑的零信任访问控制区构建端到端的零信任解决方案。通过可信应用代理接管所有的用户终端业务访问请求，通过可信API代理接管所有的外部应用API调用请求，所有的访问请求通过可信访问控制台进行身份验证及动态授权。可信终端感知系统持续对终端进行感知和评估，可信网络感知系统持续对网络流量进行感知和评估，并生成安全事件上报至智能身份分析平台，智能身份分析平台综合访问日志信息、安全事件信息、身份与权限信息进行信息关键和信任评估，为可信访问控制台输出信任等级作为权限判定或撤销的依据。