安恒AiTrust零信任身份服务中心-产品介绍
| 版本: V1.0 | 交付方式: License |
| 适用于: Linux | 上架日期: 2022-05-16 07:19:52.0 |
产品功能
一、网络隐身
TAM零信任身份服务中心支持网络隐身功能,启用网络隐身后,支持默认不对外部暴露任何TCP端口、只开放UDP端口。TAM零信任身份服务中心与零信任安全客户端通过SPA(Single Package Authorization,单包授权)技术交互,只对校验通过的授权客户端定向开放安全连接,在攻击链的侦查阶段免疫攻击威胁。
二、身份管理
TAM零信任身份服务中心提供身份管理服务,可对设备、用户、应用、角色等访问主体的身份进行统一配置管理,支持与钉钉、企业微信、LDAP等第三方数据源对接,支持多个第三方数据源的对接同步,对本地身份信息进行补充供给。身份管理服务提供主账号与应用账号的关联绑定关系,当用户完成应用登陆后将自动生成绑定关系,管理员可对绑定关系进行变更操作。
TAM零信任身份服务中心为存储在本地的用户身份和凭证信息实施独立的加密存储,秘钥基于每个账号的每次认证服务调用请求自动生成、销毁,包括管理员在内的任何人无法获取秘钥,保证身份信息在本地的存储安全。
用户管理:可对用户执行创建、删除、停用、编辑、导入、导出、同步等操作,用户账号信息字段可自定义扩展,本地用户具有唯一标识ID。
组织管理:支持创建、导入、编辑、同步组织机构关系,并关联用户,组织机构信息字段可自定义扩展,组织机构具有唯一标识ID。
角色管理:支持创建、编辑用户角色(用户组)并关联用户,用户组具有唯一标识ID。
设备管理:支持感知接入的设备IP、操作系统、硬件等信息,并维护设备与用户的绑定关联关系,设备具有唯一标识ID
三、身份认证
TAM零信任身份服务中心提供用户认证服务,对访问行为主体的身份信息进行认证,形成主体数字化身份标签。TAM零信任身份服务中心本地提供账号密码、自有手机APP扫码、手机动态令牌认证因子,内置支持标准认证因子对接方式,也支持与现网第三方身份认证服务通过后端接口或重定向等方式对接认证,可根据不同的访问主体、访问客体灵活定制认证策略,并根据主客体的安全属性变化动态调用不同的认证因子完成主体的身份认证。
TAM零信任身份服务中心可与DSG-APP、DSG-API基于标准的OIDC协议流程同步身份令牌信息,以支持网关对持有身份令牌的访问主体的身份识别;同时,TAM零信任身份服务中心对外提供标准Oauth2.0、OIDC、CAS、SAML接口,可为应用提供单点登录能力。
四、资源管理
TAM零信任身份服务中心提供多类型应用的统一发布和管理服务,在TAM上添加的安全代理类型、隧道类型应用将同步发布至DSG-APP零信任应用代理系统及DSG-API 零信任API代理系统。已发布应用在导航门户向通过认证的用户统一推送,用户可通过已发布的应用入口实现快速访问。
五、权限及授权管理
TAM零信任身份服务中心提供权限及授权管理服务,采用基于RBAC和动态安全属性的权限管理模式。可按访问主体身份(用户、角色、组织、应用)、访问客体(应用、WEB应用页面、API等)分组配置访问权限,并与安全基线联动,基于用户不同的环境、行为、评分等属性动态生成动态鉴权策略。同时,当用户权限发生变化时,权限服务将与会话管理服务联动,根据用户访问情况注销其当前会话。
六、令牌管理
TAM零信任身份服务中心支持令牌管理功能,对AiTrust中整个访问请求流程的会话进行跟踪,支持对用户令牌(用户登录会话)、应用令牌(应用访问会话、API访问会话)的可视化查看、续期、撤销等动作。
七、安全基线
TAM零信任身份服务中心为用户的登录认证、应用访问环节提供安全基线检查能力。安全基线涵盖设备安全状态、用户登录属性、用户行为异常等特征条件,管理员可灵活组合条件间的组合关系以适应不同的安全基线评估和信任评估需求。
八、风险响应
TAM零信任身份服务中心支持自动发现用户异常行为、API访问异常行为,挖掘用户异地登录、新设备登录、账号共享、账号失活、接口失活、账号复活、接口复活等异常情况,并进行告警、处置。
九、日志审计
TAM零信任身份服务中心支持与DSG-APP、DSG-API联动,记录用户认证日志、策略判定日志、流量日志、操作日志、风险事件日志等,记录包括用户身份、设备标识、IP、时间、目标应用、目标API、流量、操作动作等详细信息,同时支持通过与风险响应模块联动对第三方进行日志上报,为政企单位提供事件溯源、定位、分析的有效依据和路径支持。
十、高可用性
TAM零信任身份服务中心采用高可用设计,自身各个服务和模块采用容器化部署,内部可以实现 负载均衡 及故障快速切换;多个TAM之间支持集群部署,实现操作系统和主机级的高可用,集群系统上线、切换时用户无感知。同时,TAM的处理性能也可通过集群虚拟化实现线性扩展。
产品特色
提升效率:应用统一登录,管理员统一运维。
身份可信:灵活调整的多因子强认证。
权限可控:多维度和动态的授权管理。
购买说明
TAM零信任身份服务中心:
授权7000用户数,可按年和按次购买。
安全中心集群扩展,用于TAM零信任身份服务中心软件部署时的集群扩展,可按年和按次购买。
安全中心功能,TAM零信任身份服务中心内安全中心模块功能扩展授权,扩展用户访问日志本地化存储及用户行为的基线分析能力,可按年和按次购买。
DSG-APP零信任应用代理系统:
标准版,支持3000并发用户,可按年和按次购买。
高级版,支持7000并发用户,可按年和按次购买。
标准版集群扩展,可按年和按次购买。
高级版集群扩展,可按年和按次购买。
DSG-API零信任API代理系统:
标准软件,提供API访问代理、API访问控制、流量管控、熔断机制、通道安全等能力,可按年和按次购买。
集群扩展,用于DSG-API零信任API代理系统软件部署时的集群扩展,可按年和按次购买。
