Архитектура шлюза доступа с нулевым доверием

Kemp ZTAG — это инновационный подход к обеспечению легкого, с низким коэффициентом сопротивления, многоуровневого безопасного доступа к критически важным приложениям.

Безопасный доступ к вашим приложениям и сервисам

Zero Trust Access Gateway от Kemp разработан для упрощения применения модели нулевого доверия для безопасного доступа к опубликованным рабочим нагрузкам и службам с использованием существующего развертывания балансировщика нагрузки. Архитектура использует Kemp Loadmaster ADC, интеграцию IAM и интеллектуальное управление контекстным трафиком для защиты прокси-приложений. Конструктор политик на основе API позволяет автоматически определять и применять политики Zero Trust Access Gateway к экземплярам балансировщика нагрузки LoadMaster.

Удаленный доступ к приложениям

  • Приложения удаленного доступа.
    Интеграция с облачными провайдерами для проверки личности и учетных данных клиента перед предоставлением доступа к защищенным приложениям и службам.
  • Логика политики на основе местоположения
    Использование местоположения клиентских запросов в сочетании с другими коммуникационными характеристиками для принятия решений о доступе к сервисам и маршрутизации запросов.
  • Выборочная проверка подлинности
    Управление уровнями требований аутентификации для клиентских сеансов на основе их предварительно определенных зон безопасности.

Сегментация доступа

  • Публикация сервисов для нескольких сегментов сети
    Публикация общих ресурсов и сервисов в нескольких зонах доступа или VLAN с выделенными правилами и логикой на основе уровня доверия. Логическая изоляция отдельных служб приложений означает, что также могут поддерживаться развертывания на основе архитектур микросервисов.
  • Соответствие PCI DSS
    Трафик для доступа к конфиденциальной информации может быть ограничен выбором изолированных клиентских исходных зон с принудительным шифрованием и дополнительными требованиями многофакторной аутентификации. Эти возможности в сочетании со службами фаервола веб-приложений и шифрованием передаваемых данных способствуют удовлетворению требований стандарта PCI DSS.

Консолидация и сокращение затрат

  • Консолидация решений
    Увеличение числа удаленных рабочих сред может удвоить расходы, связанные решениями для безопасной публикации и доступа к приложениям. Консолидация сервисов в единое решение упрощает управление и снижает эксплуатационные расходы.
  • Максимальный возврат инвестиций
    Когда балансировщики нагрузки Kemp используются как шлюзы ZTAG, рентабельность инвестиций в существующую инфраструктуру увеличивается.

Ограничение бокового движения для уменьшения внутренних угроз

  • Проверка доступа к группе безопасности
    Использование преимуществ интеграции с общими службами каталогов и идентификаторами, чтобы использовать членство в группе безопасности в качестве логического входа для определения необходимых прав доступа к приложениям.
  • Политики активного управления трафиком
    Использование членства пользователя в группе безопасности для определения служб в приложении, к которым должно быть разрешено подключение, а также типы коммуникаций, которые они могут выполнять. Активное перенаправление непроверенных соединений и применение более строгой аутентификацию до того, как они достигнут служб с высоким уровнем доверия, чтобы предотвратить попытки доступа методом brute force.

Защита микросервисов и контейнерных приложений

  • Управление трафиком East-West
    Применение модели нулевого доверия к внутренним сервисным соединениям, чтобы получить выгоду от модели глубокой защиты для микросервисных архитектур и снизить потенциальный ущерб в случае компрометации среды.
  • Контроль доступа на уровне сервисов
    Реализация детального контроля доступа к каждому отдельному сервису в приложении, в отличие от модели «все или ничего», которую часто требуют традиционные модели безопасного доступа.
  • Интеграция с Kubernetes
    Использование преимуществ публикации Kubernetes и возможностей контроллера входа позволяет распространить политики доступа, применяемые к традиционным рабочим нагрузкам, на контейнерные.

Контроль доступа к хранилищу объектов

  • Политики доступа на основе методов
    Детальный контроль доступа приложений и пользователей к S3 корзинам вплоть до операций хранения на основе зоны безопасности и идентификатора клиента (например, разрешение пользователям в зоне безопасности A выполнять только чтение, а в зоне безопасности B также записывать, но не удалять).
  • Осведомленность о контекстном потоке трафика S3
    Использование информации заголовка трафика, связанную с потоками трафика S3, такую как заголовки аутентификации, для принятия решений о доступе к сегменту хранилища объектов и решениях по управлению трафиком.

Ключевая особенность

  • Интеграция с поставщиком удостоверений (iDP)
  • Многофакторная аутентификация и SSO
  • Комплексный контроль доступа и управление трафиком для прокси-приложений
  • Детальная настройка политики на основе характеристик потока трафика
  • Автоматическая настройка и развертывание с помощью построителя политик на основе REST
  • Обратное проксирование приложений
  • Модель конфигурации инфраструктуры как кода (IAC)
  • Изоляция доступа к приложениям на основе удостоверений
  • Безопасная публикация многосетевых сервисов

Ознакомиться с оригиналом статьи и узнать подробности вы можете по ссылке.

Zero trust access gateway architecture