零信任沙盒

news2024/11/28 3:42:26

零信任沙盒分析对比

互联网早期的沙盒（sandbox）又译为沙箱，意为在计算机安全领域中构建一种安全机制，为运行中的程序提供的隔离环境。通常用来测试一些来源不可信、具破坏力或无法判定的程序，特别是病毒木马类的程序。

沙盒技术凭借其特殊的技术性，被越来越多的互联网安全人员运用于数据防泄密领域。而这项技术又刚好弥补零信任网关针对数据安全没有保护能力的短板。零信任网关本来是代替VPN的技术，只管接入，对于接入的终端设备所访问的数据，只能进行访问控制，而并不具有数据防泄露控制能力，比如数据被拷贝走。但是如果把防泄密沙盒作为零信任接入终端的接入容器，让客户在沙盒空间内通过零信任网关访问服务器的敏感数据，将能实现终端上的数据安全可控，实现“访问安全+数据安全”的双保险的安全工作环境。用户在访问系统时需要通过零信任的验证和授权，同时，敏感数据也受到防泄密沙盒的保护，确保数据的安全性和完整性。

可以说，零信任网关和防泄密沙盒集成，相辅相成，完美组合为一项新的内网安全创新技术。

因为零信任网关技术很早期就已成熟，所以不再赘述，本文仅针对零信任沙盒技术进行探讨。在了解过目前市场一些比较成功的零信任沙盒技术后，总结出来分享给大家。

1、深信服沙盒

深信服是做AC和防火墙、VPN起家的，据说最近推的零信任产品，也附带终端沙盒，但其沙盒相对初级，但是深信服有edr等其他安全产品，组合成一个安全接入终端，形成具有防泄密和阻止恶意软件、发现漏洞的综合零信任终端。换句话说，沙盒不是主打。

深信服沙盒

2、深信达沙盒

深信达是国内最早(2010年)把沙盒技术应用在数据防泄露领域的数据安全厂商，是一个注重研发比较低调的公司，在文档加密、DLP满天飞的年代，提出“沙盒是个容器，和进程、文件类型无关”的隔离理念，其研发团队不仅优化了常用的应用层沙盒，而且还研究出了系统层纵深沙盒，和反向沙盒，并形成产品，成功应用于研发源代码防泄密领域，算是老牌的沙盒技术厂商了，技术相对成熟。

深信达SDC沙盒架构图

深信达零信任沙盒集成效果图

3、奇安信沙盒

奇安信的产品比较杂，这和当年360收了很多安全小公司有关，奇安信的零信任安全终端并没有给予沙箱技术做数据防护，而上基于DLP技术进行防泄露保护，对终端进行动态分析和行为监控。零信任沙箱技术重点关注网络流量中的恶意行为、漏洞利用和未知威胁，以及文件传输中的潜在风险。通过行为分析和机器学习算法，识别恶意活动和高级威胁，保护企业的网络和数据安全，提供实时的威胁情报和安全事件响应，帮助企业做出应对措施，并提供持续的安全监控和风险评估。

4、数蓬科技

数蓬科技成立于2018年，主打的产品是安全隔离沙箱，在终端创建出一个或多个与本地环境相互隔离且可以自主管控的独立工作空间，从数据读写、剪切板、外设、打印等方面进行全面隔离管控，从而实现安全空间内的数据隔离效果，禁止终端用户泄露到空间外。并采用磁盘加密将所有数据存储于加密的磁盘空间内，仅允许安全空间内的授信应用程序可以读取加密磁盘内的企业数据，在安全空间以外运行的任何应用程序均无法读取到企业数据。

5、易安联

易安联是国内主推“零信任”解决方案的安全厂商。易安联的零信任沙箱叫作Enbox安全工作空间，主要针对数据、应用、网络、水印、截屏、和加密等几个方向进行管控。首先，建立多工作域，隔离个人空间与工作空间。多域使用独立的工作域策略。其次，建立外发审批机制，工作域数据可流向个人空间，高级别工作空间数据可流向低级别工作空间。限制将数据从高级别域到低级别域的复制粘贴操作，限制在工作域内对应用及文件进行截屏操作。文件打印展示水印,杜绝各渠道数据泄露。数据全局加密，仅授权用户可解密使用，数据安全可靠防破解。

6、航天启星

航天启星是国内主推“零信任”解决方案的新安全厂商，其windows版沙盒还是比较彻底，但是缺少linux和Mac等版本的沙盒。

各厂家沙盒相关对比

项目	说明	深信服	深信达	奇安信	数篷	易安联
开始时间	沙盒开始研发时间	2020年	2010年	2018年	2019年	2017年
应用层沙盒	沙盒空间高于主机空间	有	有	有	有	有
反向沙盒	沙盒空间低于主机空间	无	有	无	无	无
系统级沙盒	整个主机为沙盒	无	有	无	无	无
windows	支持OS	✔	✔	✔	✔	✔
linux		×	✔	×	✔	✔
Mac		×	✔	×	✔	×
国产OS	麒麟/统信	×	✔	×	×	×
手机沙盒	移动手机上的沙盒	×	×	×	×	×
OEM	支持和其他网关集成OEM	×	✔	×	×	×