بانک و مؤسسات مالی
انطباق با الزامات بانک مرکزی، حذف اعتماد ضمنی به شبکه داخلی، Micro-segmentation بین Core Banking و سایر سامانهها و کاهش ریسک گسترش جانبی Ransomware.
معماری Zero Trust (بدون اعتماد) سازمانیمعماری بدون اعتماد و Micro-segmentationپایدار
هیچگاه اعتماد نکن، همیشه راستیآزمایی کن — معماری Zero Trust برای زیرساخت سازمان شما
پلتفرم جامع Zero Trust منطبق با NIST SP 800-207 و CISA Zero Trust Maturity Model — با Policy Decision Point مرکزی، Micro-segmentation شرق-غرب و Workload Identity مبتنی بر SPIFFE.
منطبق با NIST SP 800-207همسو با CISA ZTMM سطح ۳گواهی افتا و ISO 27001
معماری بدون اعتماد و MICRO-SEGMENTATION
Zero Trust
Authentication
Authorization
Lifecycle
Integration
اعتماد سازمانهای حساس کشور
۴ بانک بزرگ کشور۲ اپراتور تلکام۶ سازمان حاکمیتی۳ مرکز داده دفاعی
+۲٫۵ میلیاردتصمیم دسترسی روزانه ارزیابیشده توسط PDP
مسیر ارزشآفرینی
ما نه فقط دردهای شما را میفهمیم — برای رسیدن به آنچه که سازمان شما باید باشد، نقشه میسازیم.
GITA Zero Trust یک پلتفرم بومی برای پیادهسازی معماری بدون اعتماد در سراسر زیرساخت سازمان شماست. این پلتفرم بر پایه NIST SP 800-207 طراحی شده و با تلفیق Identity-Centric Access، Micro-segmentation شرق-غرب، Continuous Authentication و Workload Identity، گذار از مدل سنتی Castle-and-Moat به یک معماری مدرن را در یک نقشه راه قابل اجرا فراهم میکند.
Before
وضعیت رایج امروز
- 01
نفوذ به یک سرور = دسترسی آزاد به ۲۰۰ سرور دیگر در همان VLAN
هزینه پنهان: گسترش جانبی بدون مهار در حادثه امنیتی
- 02
VPN سازمانی دسترسی کامل به شبکه داخلی میدهد
هزینه پنهان: Attack Surface بزرگ و غیرقابل پایش
- 03
احراز هویت فقط در ورود انجام میشود، نه در طول Session
هزینه پنهان: Session Hijacking قابل تشخیص پس از روزها
- 04
سرویسها بدون احراز هویت با یکدیگر صحبت میکنند
هزینه پنهان: هرگونه نفوذ به یک Pod = دسترسی به دیتابیس
After
با Zero Trust
- 01
هر درخواست راستیآزمایی میشود
قبلاً: اعتماد ضمنی به شبکه داخلی
- 02
ZTNA با دسترسی برنامهای دانهریز
قبلاً: VPN با دسترسی کامل شبکه
- 03
Micro-segmentation در سطح Workload
قبلاً: VLANهای بزرگ بدون مرز داخلی
- 04
ارزیابی پیوسته در طول Session
قبلاً: احراز هویت یکبار در ورود
معماری راهکار
معماری GITA Zero Trust چگونه کار میکند — جریان داده زنده
هسته معماری بر اساس NIST SP 800-207 شامل Policy Decision Point مرکزی است که در هر درخواست دسترسی، سیگنالهای هویت کاربر، وضعیت Device، حساسیت منبع و Context شبکه را ارزیابی میکند و تصمیم آن از طریق Policy Enforcement Pointهای توزیعشده در نقاط ورود برنامه، Mesh سرویسها و سطح شبکه اعمال میشود. یکپارچگی عمیق با GITA Identity برای هویت کاربر، GITA Vault برای کلیدها و سیاستها، GITA ZTNA برای دسترسی برنامهای و GITA SIEM برای Telemetry، یک حلقه بسته از تصمیم تا تلهمتری میسازد.
جریان داده
ورودیها
Clients & Identities
هسته احراز
Gateway · Auth · Policy · Token
لایه داده
Identity Store · HSM · Directory
ممیزی و تلهمتری
Audit Pipeline · Kafka
اپلیکیشنها
Apps & Cloud
درخواست احراز هویت
ارزیابی سیاست
صدور توکن
گزارش ممیزی
همگامسازی داده
روی برچسبهای بالا کلیک کنید تا فقط یک نوع جریان داده فعال شود — یا روی هر نود حرکت کنید برای نمایش پررنگتر.
قابلیتهای محصول
قابلیتهایی که Zero Trust را از تئوری به عملیات میرسانند
10 ماژول تخصصی یکپارچه و قابل توسعه — برای انتخاب هر قابلیت، روی آن کلیک کنید.
هسته اصلی
Policy Decision & Enforcement Point
موتور مرکزی تصمیمگیری دسترسی منطبق با NIST SP 800-207 با PEPهای توزیعشده.
PDP مرکزی با سیاستهای Rego/OPA هر درخواست را در کمتر از ۸ میلیثانیه ارزیابی میکند و تصمیم را به PEPهای توزیعشده در API Gateway، Sidecar پروکسی و Network Layer ابلاغ میکند. کش محلی برای کاهش Latency و حالت Fail-Closed برای امنیت تضمین میشود.
نکات کلیدی
- موتور OPA با زبان Rego
- Latency تصمیم زیر ۸ میلیثانیه (P95)
- PEPهای توزیعشده در ۴ لایه
- حالت Fail-Closed قابل تنظیم
برای شمامرکزسازی کامل تصمیمهای دسترسی
موارد استفاده صنعتی
راهکار متناسب با صنعت شما
فینتک
Workload Identity برای Microservices، mTLS بین سرویسهای پرداخت و دید کامل به ارتباطات شرق-غرب برای انطباق با شاپرک و PCI-DSS.
سازمانهای دولتی
استقرار On-Premise و Air-Gapped، انطباق با ابلاغیههای افتا و چارچوب NIST SP 800-207 — همراه با گزارشهای ممیزی آماده.
تلکام و اپراتورها
جداسازی سختگیرانه BSS، OSS و شبکه Core، Micro-segmentation در سطح NFV و دید Real-Time به تصمیمهای دسترسی در مقیاس میلیونها Subscriber.
درمانی و بیمارستانی
حفاظت پرونده الکترونیک سلامت با دسترسی هویتمحور و دانهریز، Continuous Authentication برای ایستگاههای پرستاری و انطباق با الزامات حفاظت داده بیمار.
تولیدی — همگرایی OT/IT
جداسازی دقیق شبکه IT از OT با Micro-segmentation، Identity-Aware Policy برای دسترسی مهندسان به PLC و SCADA و کاهش ریسک نفوذ از سمت IT به خط تولید.
دفاعی و حاکمیتی حساس
معماری Air-Gapped کامل، Workload Identity رمزنگاشتی، Continuous Authentication و حداکثر مهار گسترش جانبی برای محیطهای حساس ماموریتی.
تجارت الکترونیک
حفاظت سرویسهای پرداخت و کاربر، ZTNA برای دسترسی توسعهدهندگان به محیط Production و Micro-segmentation برای جداسازی Microservices.
یکپارچهسازی
با اکوسیستم زیرساخت سازمان شما کار میکند
+۸۰ ادغام تأییدشده در محیط Production
ادغام با سامانه اختصاصی شما؟ با معماران ما صحبت کنیدفرآیند پیادهسازی
از Castle-and-Moat تا Zero Trust در ۴ فاز
نقشه راه شفاف از اولین تماس تا عملیات دائمی — هر مرحله با خروجی قابل اندازهگیری.
PHASE 01
ارزیابی بلوغ Zero Trust
۲ هفته
ارزیابی بلوغ در ۵ ستون CISA ZTMM، نقشهبرداری از زیرساخت، تعیین Quick Wins و طراحی نقشه راه ۱۸ ماهه.
گزارش بلوغ + نقشه راه اجرایی
PHASE 02
Pilot روی یک Domain
۴–۶ هفته
استقرار PDP/PEP روی یک Domain حیاتی، اتصال به GITA Identity و فعالسازی Micro-segmentation محدود.
Zero Trust عملیاتی روی Domain اول
PHASE 03
گسترش سازمانی
۶ تا ۱۲ ماه
گسترش Micro-segmentation به کل خوشهها، استقرار Workload Identity روی Microservices و فعالسازی Continuous Authentication.
پوشش کامل ۵ ستون ZTMM
PHASE 04
بهینهسازی و بلوغ Optimal
دائمی
پایش پیوسته، بهینهسازی سیاستها بر اساس داده عملیاتی، ارتقا به سطح Optimal CISA ZTMM و گزارشهای فصلی بلوغ.
سطح Optimal پایدار + SLA
PHASE 01۲ هفته
ارزیابی بلوغ Zero Trust
ارزیابی بلوغ در ۵ ستون CISA ZTMM، نقشهبرداری از زیرساخت، تعیین Quick Wins و طراحی نقشه راه ۱۸ ماهه.
گزارش بلوغ + نقشه راه اجرایی
PHASE 02۴–۶ هفته
Pilot روی یک Domain
استقرار PDP/PEP روی یک Domain حیاتی، اتصال به GITA Identity و فعالسازی Micro-segmentation محدود.
Zero Trust عملیاتی روی Domain اول
PHASE 03۶ تا ۱۲ ماه
گسترش سازمانی
گسترش Micro-segmentation به کل خوشهها، استقرار Workload Identity روی Microservices و فعالسازی Continuous Authentication.
پوشش کامل ۵ ستون ZTMM
PHASE 04دائمی
بهینهسازی و بلوغ Optimal
پایش پیوسته، بهینهسازی سیاستها بر اساس داده عملیاتی، ارتقا به سطح Optimal CISA ZTMM و گزارشهای فصلی بلوغ.
سطح Optimal پایدار + SLA
سوالات متداول فنی
سوالاتی که تیم فنی شما احتمالاً میپرسد
تفاوت Zero Trust با VPN سنتی چیست؟+
VPN به کاربر دسترسی شبکهمحور با اعتماد ضمنی به کل Subnet میدهد؛ یعنی پس از اتصال، کاربر مثل یک کاربر داخلی شبکه عمل میکند. در Zero Trust دسترسی برنامهمحور و دانهریز است و هر درخواست بر اساس هویت کاربر، وضعیت Device و حساسیت منبع جداگانه ارزیابی میشود. کاربر هیچگاه «داخل شبکه» نمیشود.
تفاوت Zero Trust جامع با راهکارهای ZTNA-only چیست؟+
ZTNA تنها لایه دسترسی کاربر به برنامه را پوشش میدهد، در حالی که Zero Trust جامع کل ۵ ستون CISA ZTMM یعنی Identity، Devices، Networks، Applications و Data را در بر میگیرد. GITA Zero Trust علاوه بر ZTNA، Micro-segmentation شرق-غرب، Workload Identity و Continuous Authentication را نیز شامل میشود.
این پلتفرم چگونه با NIST SP 800-207 منطبق است؟+
اجزای اصلی معماری دقیقاً منطبق با مدل مرجع NIST SP 800-207 طراحی شدهاند: PDP مرکزی، PEPهای توزیعشده، Policy Engine، Policy Administrator و Context منابع. گزارش انطباق رسمی همراه با نگاشت بند به بند سند NIST برای ممیزی در دسترس است.
نقشه راه بلوغ Zero Trust چگونه طراحی میشود؟+
در فاز Discovery، بلوغ فعلی سازمان شما در ۵ ستون CISA ZTMM v2.0 (Identity، Devices، Networks، Applications، Data) سنجیده میشود. سپس یک نقشه راه ۱۸ تا ۲۴ ماهه با Milestoneهای کوارتری برای حرکت از Traditional به Advanced یا Optimal طراحی میشود — همراه با Quick Wins در ۹۰ روز اول.
با چه سامانههایی یکپارچه میشود؟+
ادغام آماده با GITA Identity، GITA Vault، GITA ZTNA و GITA SIEM. در بیرون اکوسیستم: Active Directory، Azure AD، Istio، Linkerd، Kubernetes، OpenShift، Splunk، QRadar، CrowdStrike، VMware NSX و سایر راهکارهای رایج. ادغام سفارشی نیز در فاز پیادهسازی قابل توسعه است.
Lateral Movement چگونه تشخیص داده میشود؟+
از تلهمتری Micro-segmentation یک گراف Real-Time از ارتباطات Workloadها ساخته میشود. مدلهای یادگیری ماشین الگوهای مشخصه مانند Port Scan، Pivot بین Subnetها، تلاش برای Privilege Escalation و رفتارهای غیرعادی سرویس را در کمتر از ۳۰ ثانیه تشخیص داده و به GITA SIEM گزارش میدهند.
Overhead عملکردی این معماری چقدر است؟+
تصمیمگیری PDP در P95 زیر ۸ میلیثانیه است و با کش محلی روی PEPها به زیر ۱ میلیثانیه میرسد. Micro-segmentation با eBPF در Kernel Space اعمال میشود و Overhead معمولاً زیر ۳٪ CPU است. mTLS بین سرویسها با Hardware Acceleration کمتر از ۵٪ سربار دارد.
از اپلیکیشنهای Legacy که قابلیت Zero Trust ندارند چه میکنیم؟+
برای اپلیکیشنهای Legacy از الگوی Sidecar Proxy یا Identity-Aware Gateway استفاده میکنیم. PEP بهصورت Transparent جلوی اپلیکیشن قرار میگیرد و بدون نیاز به تغییر کد، احراز هویت، رمزنگاری و سیاستگذاری Zero Trust را اعمال میکند. این الگو روی اپلیکیشنهای Mainframe و Legacy 2-Tier نیز کار میکند.
در محیط OT و خطوط تولید چگونه استفاده میشود؟+
در محیط OT/IT Convergence، Micro-segmentation برای جداسازی دقیق IT از OT استفاده میشود و دسترسی مهندسان به PLC و SCADA از طریق ZTNA با Continuous Authentication انجام میشود. سیاستها در حالت Monitor-Only ابتدا فعال میشوند تا اطمینان از عدم اخلال در فرآیند تولید حاصل شود.
آیا با الزامات افتا و گواهیهای ملی منطبق است؟+
بله. GITA Zero Trust منطبق با ابلاغیههای افتا و گواهیهای امنیتی ملی طراحی شده و در حالت Air-Gapped برای سازمانهای حساس بهصورت پیشفرض پیشنهاد میشود. گزارشهای انطباق با ISO 27001، NIST 800-207 و الزامات داخلی بهصورت آماده در پنل مدیریت قابل تولید است.
تماس مستقیم با تیم فنی
ارزیابی بلوغ Zero Trust سازمان خود را آغاز کنید
۴۵ دقیقه با معمار ارشد Zero Trust ما صحبت کنید. بلوغ فعلی سازمان شما را در ۵ ستون CISA ZTMM ارزیابی میکنیم و نقشه راه اولیه ارائه میدهیم. رایگان، بدون پرزنتیشن فروش، بدون تعهد.
فرم درخواست جلسه
مرحله ۱ از ۲