Архітектура шлюзу доступу з нульовою довірою

Kemp ZTAG – це інноваційний підхід до забезпечення легкого, з низьким коефіцієнтом опору, багаторівневого безпечного доступу до критично важливих додатків.

Безпечний доступ до ваших програм та сервісів

Zero Trust Access Gateway від Kemp розроблено для спрощення застосування моделі нульової довіри для безпечного доступу до опублікованих робочих навантажень і служб із використанням наявного розгортання балансувальника навантаження. Архітектура використовує Kemp Loadmaster ADC, інтеграцію IAM та інтелектуальне управління контекстним трафіком для захисту проксі-додатків. Конструктор політик на основі API дає змогу автоматично визначати та застосовувати політики Zero Trust Access Gateway до екземплярів балансувальника навантаження LoadMaster.

Віддалений доступ до додатків

  • Додатки віддаленого доступу.
    Інтеграція з хмарними провайдерами для перевірки особистості та облікових даних клієнта перед наданням доступу до захищених додатків і служб.
  • Логіка політики на основі місця розташування
    Використання місця розташування клієнтських запитів у поєднанні з іншими комунікаційними характеристиками для ухвалення рішень про доступ до сервісів і маршрутизації запитів.
  • Вибіркова перевірка автентичності
    Керування рівнями вимог автентифікації для клієнтських сеансів на основі їхніх попередньо визначених зон безпеки.

Сегментація доступу

  • Публікація сервісів для декількох сегментів мережі
    Публікація загальних ресурсів і сервісів у кількох зонах доступу або VLAN із виділеними правилами та логікою на основі рівня довіри. Логічна ізоляція окремих служб додатків означає, що також можуть підтримуватися розгортання на основі архітектур мікросервісів.
  • Відповідність PCI DSS
    Трафік для доступу до конфіденційної інформації може бути обмежений вибором ізольованих клієнтських вихідних зон із примусовим шифруванням і додатковими вимогами багатофакторної аутентифікації. Ці можливості в поєднанні зі службами фаєрвола веб-додатків і шифруванням переданих даних сприяють задоволенню вимог стандарту PCI DSS.

Консолідація та скорочення витрат

 

  • Консолідація рішень
    Збільшення числа віддалених робочих середовищ може подвоїти витрати, пов’язані з рішеннями для безпечної публікації та доступу до додатків. Консолідація сервісів в єдине рішення спрощує управління і знижує експлуатаційні витрати.
  • Максимальне повернення інвестицій
    Коли балансувальники навантаження Kemp використовуються як шлюзи ZTAG, рентабельність інвестицій в наявну інфраструктуру збільшується.

Обмеження бокового руху для зменшення внутрішніх загроз

  • Перевірка доступу до групи безпеки
    Використання переваг інтеграції із загальними службами каталогів та ідентифікаторами, щоб використовувати членство в групі безпеки як логічний вхід для визначення необхідних прав доступу до додатків.
  • Політики активного керування трафіком
    Використання членства користувача в групі безпеки для визначення служб у застосунку, до яких має бути дозволено підключення, а також типи комунікацій, які вони можуть виконувати. Активне перенаправлення неперевірених з’єднань і застосування більш суворої аутентифікації до того, як вони досягнуть служб із високим рівнем довіри, щоб запобігти спробам доступу методом brute force.

Захист мікросервісів та контейнерних додатків

  • Управління трафіком East-West
    Застосування моделі нульової довіри до внутрішніх сервісних з’єднань, щоб отримати вигоду від моделі глибокого захисту для мікросервісних архітектур і знизити потенційний збиток у разі компрометації середовища.
  • Контроль доступу на рівні сервісів
    Реалізація детального контролю доступу до кожного окремого сервісу в застосунку, на відміну від моделі “все або нічого”, яку часто вимагають традиційні моделі безпечного доступу.
  • Інтеграція з Kubernetes
    Використання переваг публікації Kubernetes і можливостей контролера входу дає змогу поширити політики доступу, що застосовуються до традиційних робочих навантажень, на контейнерні.

Контроль доступу до сховища об’єктів

 

 

  • Політики доступу на основі методів
    Детальний контроль доступу додатків і користувачів до S3 кошиків аж до операцій зберігання на основі зони безпеки та ідентифікатора клієнта (наприклад, дозвіл користувачам у зоні безпеки A виконувати тільки читання, а в зоні безпеки B також записувати, але не видаляти).
  • Поінформованість про контекстний потік трафіку S3
    Використання інформації заголовка трафіку, пов’язаної з потоками трафіку S3, як-от заголовки автентифікації, для ухвалення рішень щодо доступу до сегмента сховища об’єктів і рішень з управління трафіком.

Ключова особливість

  • Інтеграція з постачальником посвідчень (iDP)
  • Багатофакторна аутентифікація та SSO
  • Комплексний контроль доступу та керування трафіком для проксі-додатків
  • Детальне налаштування політики на основі характеристик потоку трафіку
  • Автоматичне налаштування та розгортання за допомогою будівельника політик на основі REST
  • Зворотне проксування додатків
  • Модель конфігурації інфраструктури як коду (IAC)
  • Ізоляція доступу до додатків на основі посвідчень
  • Безпечна публікація багатомережевих сервісів

Ознайомитися з оригіналом статті та дізнатися подробиці ви можете за посиланням.

Zero trust access gateway architecture