Безпечний доступ до ваших програм та сервісів
Zero Trust Access Gateway від Kemp розроблено для спрощення застосування моделі нульової довіри для безпечного доступу до опублікованих робочих навантажень і служб із використанням наявного розгортання балансувальника навантаження. Архітектура використовує Kemp Loadmaster ADC, інтеграцію IAM та інтелектуальне управління контекстним трафіком для захисту проксі-додатків. Конструктор політик на основі API дає змогу автоматично визначати та застосовувати політики Zero Trust Access Gateway до екземплярів балансувальника навантаження LoadMaster.


Віддалений доступ до додатків
- Додатки віддаленого доступу.
Інтеграція з хмарними провайдерами для перевірки особистості та облікових даних клієнта перед наданням доступу до захищених додатків і служб.
- Логіка політики на основі місця розташування
Використання місця розташування клієнтських запитів у поєднанні з іншими комунікаційними характеристиками для ухвалення рішень про доступ до сервісів і маршрутизації запитів.
- Вибіркова перевірка автентичності
Керування рівнями вимог автентифікації для клієнтських сеансів на основі їхніх попередньо визначених зон безпеки.

Сегментація доступу
- Публікація сервісів для декількох сегментів мережі
Публікація загальних ресурсів і сервісів у кількох зонах доступу або VLAN із виділеними правилами та логікою на основі рівня довіри. Логічна ізоляція окремих служб додатків означає, що також можуть підтримуватися розгортання на основі архітектур мікросервісів.
- Відповідність PCI DSS
Трафік для доступу до конфіденційної інформації може бути обмежений вибором ізольованих клієнтських вихідних зон із примусовим шифруванням і додатковими вимогами багатофакторної аутентифікації. Ці можливості в поєднанні зі службами фаєрвола веб-додатків і шифруванням переданих даних сприяють задоволенню вимог стандарту PCI DSS.

Консолідація та скорочення витрат
- Консолідація рішень
Збільшення числа віддалених робочих середовищ може подвоїти витрати, пов’язані з рішеннями для безпечної публікації та доступу до додатків. Консолідація сервісів в єдине рішення спрощує управління і знижує експлуатаційні витрати.
- Максимальне повернення інвестицій
Коли балансувальники навантаження Kemp використовуються як шлюзи ZTAG, рентабельність інвестицій в наявну інфраструктуру збільшується.

Обмеження бокового руху для зменшення внутрішніх загроз
- Перевірка доступу до групи безпеки
Використання переваг інтеграції із загальними службами каталогів та ідентифікаторами, щоб використовувати членство в групі безпеки як логічний вхід для визначення необхідних прав доступу до додатків.
- Політики активного керування трафіком
Використання членства користувача в групі безпеки для визначення служб у застосунку, до яких має бути дозволено підключення, а також типи комунікацій, які вони можуть виконувати. Активне перенаправлення неперевірених з’єднань і застосування більш суворої аутентифікації до того, як вони досягнуть служб із високим рівнем довіри, щоб запобігти спробам доступу методом brute force.

Захист мікросервісів та контейнерних додатків
- Управління трафіком East-West
Застосування моделі нульової довіри до внутрішніх сервісних з’єднань, щоб отримати вигоду від моделі глибокого захисту для мікросервісних архітектур і знизити потенційний збиток у разі компрометації середовища.
- Контроль доступу на рівні сервісів
Реалізація детального контролю доступу до кожного окремого сервісу в застосунку, на відміну від моделі “все або нічого”, яку часто вимагають традиційні моделі безпечного доступу.
- Інтеграція з Kubernetes
Використання переваг публікації Kubernetes і можливостей контролера входу дає змогу поширити політики доступу, що застосовуються до традиційних робочих навантажень, на контейнерні.

Контроль доступу до сховища об’єктів
- Політики доступу на основі методів
Детальний контроль доступу додатків і користувачів до S3 кошиків аж до операцій зберігання на основі зони безпеки та ідентифікатора клієнта (наприклад, дозвіл користувачам у зоні безпеки A виконувати тільки читання, а в зоні безпеки B також записувати, але не видаляти).
- Поінформованість про контекстний потік трафіку S3
Використання інформації заголовка трафіку, пов’язаної з потоками трафіку S3, як-от заголовки автентифікації, для ухвалення рішень щодо доступу до сегмента сховища об’єктів і рішень з управління трафіком.
Ключова особливість
- Інтеграція з постачальником посвідчень (iDP)
- Багатофакторна аутентифікація та SSO
- Комплексний контроль доступу та керування трафіком для проксі-додатків
- Детальне налаштування політики на основі характеристик потоку трафіку
- Автоматичне налаштування та розгортання за допомогою будівельника політик на основі REST
- Зворотне проксування додатків
- Модель конфігурації інфраструктури як коду (IAC)
- Ізоляція доступу до додатків на основі посвідчень
- Безпечна публікація багатомережевих сервісів
Ознайомитися з оригіналом статті та дізнатися подробиці ви можете за посиланням.