Безопасный доступ к вашим приложениям и сервисам
Zero Trust Access Gateway от Kemp разработан для упрощения применения модели нулевого доверия для безопасного доступа к опубликованным рабочим нагрузкам и службам с использованием существующего развертывания балансировщика нагрузки. Архитектура использует Kemp Loadmaster ADC, интеграцию IAM и интеллектуальное управление контекстным трафиком для защиты прокси-приложений. Конструктор политик на основе API позволяет автоматически определять и применять политики Zero Trust Access Gateway к экземплярам балансировщика нагрузки LoadMaster.


Удаленный доступ к приложениям
- Приложения удаленного доступа.
Интеграция с облачными провайдерами для проверки личности и учетных данных клиента перед предоставлением доступа к защищенным приложениям и службам.
- Логика политики на основе местоположения
Использование местоположения клиентских запросов в сочетании с другими коммуникационными характеристиками для принятия решений о доступе к сервисам и маршрутизации запросов.
- Выборочная проверка подлинности
Управление уровнями требований аутентификации для клиентских сеансов на основе их предварительно определенных зон безопасности.

Сегментация доступа
- Публикация сервисов для нескольких сегментов сети
Публикация общих ресурсов и сервисов в нескольких зонах доступа или VLAN с выделенными правилами и логикой на основе уровня доверия. Логическая изоляция отдельных служб приложений означает, что также могут поддерживаться развертывания на основе архитектур микросервисов.
- Соответствие PCI DSS
Трафик для доступа к конфиденциальной информации может быть ограничен выбором изолированных клиентских исходных зон с принудительным шифрованием и дополнительными требованиями многофакторной аутентификации. Эти возможности в сочетании со службами фаервола веб-приложений и шифрованием передаваемых данных способствуют удовлетворению требований стандарта PCI DSS.

Консолидация и сокращение затрат
- Консолидация решений
Увеличение числа удаленных рабочих сред может удвоить расходы, связанные решениями для безопасной публикации и доступа к приложениям. Консолидация сервисов в единое решение упрощает управление и снижает эксплуатационные расходы.
- Максимальный возврат инвестиций
Когда балансировщики нагрузки Kemp используются как шлюзы ZTAG, рентабельность инвестиций в существующую инфраструктуру увеличивается.

Ограничение бокового движения для уменьшения внутренних угроз
- Проверка доступа к группе безопасности
Использование преимуществ интеграции с общими службами каталогов и идентификаторами, чтобы использовать членство в группе безопасности в качестве логического входа для определения необходимых прав доступа к приложениям.
- Политики активного управления трафиком
Использование членства пользователя в группе безопасности для определения служб в приложении, к которым должно быть разрешено подключение, а также типы коммуникаций, которые они могут выполнять. Активное перенаправление непроверенных соединений и применение более строгой аутентификацию до того, как они достигнут служб с высоким уровнем доверия, чтобы предотвратить попытки доступа методом brute force.

Защита микросервисов и контейнерных приложений
- Управление трафиком East-West
Применение модели нулевого доверия к внутренним сервисным соединениям, чтобы получить выгоду от модели глубокой защиты для микросервисных архитектур и снизить потенциальный ущерб в случае компрометации среды.
- Контроль доступа на уровне сервисов
Реализация детального контроля доступа к каждому отдельному сервису в приложении, в отличие от модели «все или ничего», которую часто требуют традиционные модели безопасного доступа.
- Интеграция с Kubernetes
Использование преимуществ публикации Kubernetes и возможностей контроллера входа позволяет распространить политики доступа, применяемые к традиционным рабочим нагрузкам, на контейнерные.

Контроль доступа к хранилищу объектов
- Политики доступа на основе методов
Детальный контроль доступа приложений и пользователей к S3 корзинам вплоть до операций хранения на основе зоны безопасности и идентификатора клиента (например, разрешение пользователям в зоне безопасности A выполнять только чтение, а в зоне безопасности B также записывать, но не удалять).
- Осведомленность о контекстном потоке трафика S3
Использование информации заголовка трафика, связанную с потоками трафика S3, такую как заголовки аутентификации, для принятия решений о доступе к сегменту хранилища объектов и решениях по управлению трафиком.
Ключевая особенность
- Интеграция с поставщиком удостоверений (iDP)
- Многофакторная аутентификация и SSO
- Комплексный контроль доступа и управление трафиком для прокси-приложений
- Детальная настройка политики на основе характеристик потока трафика
- Автоматическая настройка и развертывание с помощью построителя политик на основе REST
- Обратное проксирование приложений
- Модель конфигурации инфраструктуры как кода (IAC)
- Изоляция доступа к приложениям на основе удостоверений
- Безопасная публикация многосетевых сервисов
Ознакомиться с оригиналом статьи и узнать подробности вы можете по ссылке.