36氪获悉,网络安全初创公司「虎符网络」已于近日完成天使轮融资,本轮融资由盈动资本领投,融资金额为近千万元。

此前介绍过,零信任安全(Zero Trust)是在2010年由咨询公司 Forrester 的分析师约翰·金德维格提出的安全理念,其本质是以身份为基石的动态访问控制,即以身份为基础,通过动态访问控制技术,以细粒度的应用、接口、数据为核心保护对象,遵循最小权限原则,构筑端到端的身份边界。对于零信任安全理念来说,2017年是个分水岭,在2017年Google基于零信任安全的BeyondCorp项目取得成功,验证了零信任安全在大型网络场景下的可行性,业界也开始跟进和开展零信任安全实践。

日前举行的零信任安全十周年峰会上,业内人士提出实现零信任安全的三大技术为SIM,S为SDP(Software Defined Perimeter, 软件定义边界)、I为IAM(Identity and Access Management,身份管理系统),M为MSG(Micro-Segmentation,微隔离)。在「虎符网络」创始人王伟(安全圈人称“alert7”)看来,零信任安全是一种安全理念,是一种目标。目前业内也提出相应的产品方案。不过理念或目标并不能简单等同于功能,零信任安全会融合许多不同的技术,最终目标是建立以身份为核心的,动态可视的网络。

「虎符网络」在零信任安全理念的基础上,提出了“身份网络”的概念—— 即用户在访问企业应用服务之前,必须首先经过虎盾访问安全系统确认(多因子认证,可信设备认证或生物特征认证等)后才能继续访问,否则拒绝访问请求。

虎盾访问安全系统是公司目前的主打产品,该产品由五部分组件构成,分别是虎盾身份感知代理网关IDP、虎盾客户端、虎盾管理平台、虎盾风险决策中心和虎盾软件令牌。这里需要明确的是,这五个组件是虎盾访问安全系统的组成部分,而非五个独立产品。它们协作达到的目的是,让所有访问企业应用的访问请求先经过虎盾访问安全系统,进行身份信息验证,只有通过验证的访问请求才会被转发到企业应用服务,真正达到安全访问的目的。

虎盾访问安全系统的工作逻辑

具体来看,虎盾客户端提供用户的访问入口,客户端会展示用户可以访问的应用,如果用户没有客户端权限,则无法进行访问。虎盾身份感知代理网关采用代理模式对企业应用访问进行流量代理,进行流量风险收口,拦截任何未授权访问和企业员工的异常访问行为,确保企业应用的安全。网关担任动作执行的角色,决策工作则由虎盾风险决策中心承担——风险决策中心会根据多维度风险和数据进行分析决策,为网关提供决策。虎盾软件令牌提供多因子身份认证功能,用户在访问企业应用之前必须通过虎盾软件令牌进行身份验证后才能继续访问企业应用。虎盾管理平台包含管理员管理功能,企业管理员提供统一的企业应用安全 管理页面,配置企业应用访问策略,查看企业应用异常事件和预警企业应用异常访问行为。

根据公司创始人王伟介绍,公司希望用新技术、新理念重塑企业新安全。虎盾是公司目前打造零信任安全的第一条防线,希望能够帮助企业真正落地,并且开启零信任安全的整体计划。目前产品处于持续打磨阶段,许多项目处于POC阶段,目前的意向客户包括政企、互联网公司、传统能源行业公司等。此阶段的难点在于提升产品稳定性,这是由于此类产品和用户的业务系统联系紧密,所以对产品的稳定性考量较高。此轮融资之后,公司计划将资金投入研发,持续进行产品打磨和新产品拓展。

团队方面,「虎符网络」目前团队规模为十几人,创始人王伟此前和方兴(现为「全知科技」创始人)一起创立网络安全公司「翰海源」,该公司于2015年被阿里巴巴收购,后王伟任阿里巴巴集团安全总监,并组建阿里安全归零实验室。今年年初,王伟创立「虎符网络」。

据36氪了解,业内其他零信任安全相关公司还有云深互联、数篷科技、易安联、安几网安等,奇安信等综合型厂商也有相关产品。

关于投资:

「盈动资本」投资副总裁徐也超:

随着移动化办公的兴起、跨应用跨平台的访问协作大量增加,从人到端再到整个访问周期都不断进行校验的安全需求已经凸显,企业需要用新技术新理念来适应新的企业安全环境,而“零信任安全”模型正是适应这样的企业安全环境的有效理念。

「虎符网络」是当前入局“零信任安全”的创业公司中为数不多的安全攻防专业出身的公司,而零信任的本质就是就是一套面向攻防、抵御各种攻击的理论体系框架,相信「虎符网络」可以快速实现产品落地,获得用户的真正认可。

声明:本文来自36氪,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。