AppGate – Kontrola Dostępu

AppGate Security Server jest rozwiązaniem zapewniającym kontrolę dostępu do zasobów i usług IT chroniąc je przed nieautoryzowanym wykorzystaniem. Kontrola ta opiera się na uprawnieniach użytkownika i przypisanej mu roli w organizacji (RBAC). System AppGate charakteryzuje się zintegrowaniem wszystkich niezbędnych elementów bezpieczeństwa, takich jak: uwierzytelnienie, autoryzacja, szyfrowanie transmisji (VPN), kontrola dostępu, kontrola użytkowników i ich urządzeń, firewall, monitoring, raportowanie oraz alerty bezpieczeństwa.

Działanie

Rozwiązanie AppGate dostarczane jest, jako appliance lub jako system działający w środowisku VMware. AppGate Security Server umieszczany jest pomiędzy urządzeniami użytkowników a serwerami firmy, działając jako certyfikowany firewall. Komunikacja między użytkownikami i systemem AppGate jest w całości szyfrowana (VPN). Szyfrowanie to odbywa się zarówno przy połączeniach z zewnątrz jak i wewnątrz firmy. Zależnie od typu aplikacji i wrażliwości danych może być stosowany inny algorytm szyfrowania dzięki tunelowaniu połączenia do każdego z udostępnionych zasobów. Każdy użytkownik musi mieć przyznane uprawnienia, aby mógł korzystać z zasobów niezbędnych do wykonania swojej pracy (RBAC). Uprawnienia te mogą być przyznawane indywidualnie lub jako role dla grup użytkowników. W momencie zalogowania użytkownik widzi jedynie te zasoby, do których ma przyznany dostęp. Zarządzanie AppGate Security Server jest łatwe i wykonywane z jednego centralnego punktu, co daje możliwość ścisłej kontroli nad użytkownikami i zasobami firmy i nie wymaga zaangażowania dużego zespołu administratorów i służb IT.  

Podstawowa funkcjonalność

Zarządzanie rolami i uprawnieniami – dostęp do zasobów jest precyzyjnie granulowany i oparty na przydzielonych rolach. Uprawnienia są przydzielane w oparciu o rolę użytkownika, metodę uwierzytelnienia, rodzaj wykorzystywanego urządzenia, miejsca, z którego użytkownik się loguje (łącznie z podziałem geograficznym), pory dnia jak i innych parametrów zdefiniowanych w polityce bezpieczeństwa firmy. Zarządzanie uprawnieniami, rolami oraz politykami dostępu wykonywane jest centralnie.

Mechanizmy kryptograficzne - cała komunikacja pomiędzy serwerem AppGate a użytkownikami jest szyfrowana, zarówno w połączeniach wewnątrz firmy jak i spoza niej. AppGate wykorzystuje następujące metody szyfrowania: AES (128, 192, 256 bit), Arcfour/RC4 (128 bit), Blowfish (128 bit), 3-DES-CBC (168 bit). System ma możliwość pracy w tzw. FIPS mode (FIPS 140-2 poziom 1).

Network Admission Control - weryfikacja urządzenia klienta – w momencie uwierzytelniania użytkownika system AppGate wysyła do PC zestawy reguł dla weryfikacji, że urządzenie umożliwi bezpieczne szyfrowane połączenie podczas sesji i uruchamia moduł kontroli, który przydziela lub blokuje dostęp do zasobów.

Firewall – rozwiązanie posiada dwa typy firewall:

  • Osobisty Firewall - gwarantujący, iż urządzenie użytkownika podczas połączenia z zasobami firmy jest w pełni zabezpieczone i nie może zostać wykorzystane, jako back-door dla osób i programów nieuprawnionych,
  • Firewall – serwery AppGate występują, jako firewall przed serwerami aplikacyjnymi (certyfikat: Common Criteria Level 2+).

Uwierzytelnianie – AppGate daje możliwość zastosowania dwupoziomowego uwierzytelnienia, np. używając wbudowanej technologii haseł jednorazowych - OTP (One Time Password) lub rozwiązań firm trzecich. Pozostałe metody uwierzytelniania użytkowników: hasła, LDAP, Radius, Token cards, RSA SecurID, Certificates/PKI od VeriSign, Entrust, itd.

Analiza działań użytkowników – wykonywana jest w formie tekstowej i graficznej w czasie rzeczywistym. Informacja ta może być eksportowana w dowolnym formacie jak np. CSV. Elastyczność raportowania w systemie AppGate pozwala również na generowanie własnych zdefiniowanych raportów.

Segmentacja – umożliwiająca oddzielenie sieci i podsieci oraz szczególnie krytycznych systemów i serwerów. Serwer posiada od 4 do 12 interfejsów sieciowych.

Dostęp - Citrix & Terminal Servers

W związku z coraz większym zagrożeniem dla połączeń typu Terminal Server, AppGate jako pierwszy wprowadza innowacyjne podejście do kwestii bezpieczeństwa. Środowisko użytkownika korzystającego ze zdalnych terminali (Citrix/Microsoft) są narażone na odczytanie otwartych połączeń przez innego użytkownika co skutkuje podsłuchaniem czy wręcz podmianą pakietów TCP/IP. Cryptzone za pomocą dedykowanego modułu odseparowuje otwarte/zestawione połączenia i dedykowanym szyfrowanym tunelem przekierowuje je przez serwer AppGate.

- AppGate - Citrix & Terminal Server

Użytkownicy mobilni

Rozwiązanie AppGate jest kompletnym systemem zarządzania tożsamością i kontrolą dostępu dla użytkowników mobilnych. Klient AppGate jest dostępny dla urządzeń mobilnych posiadających systemy operacyjne: Windows Mobile, Nokia Series 60 (Symbian), Apple iPhone, iPad (iOS) oraz Android. System gwarantuje bezpieczną komunikację - cały ruch, w tym dane logowania, jest szyfrowany end-to-end pomiędzy AppGate Security Server i urządzeniami mobilnymi. Gwarantuje ochronę systemu przed phishingiem lub man-in-middle. Przesyłane informacje nigdy nie przechodzą rozszyfrowane przez serwery i urządzenia firm trzecich (takich jak np. operatorzy komórkowi) w przeciwieństwie do wielu rozwiązań typu „push”.

Silne uwierzytelnianie użytkowników oraz urządzeń

Na wstępie należy podkreślić, iż system, przed nawiązaniem bezpiecznego połączenia, może weryfikować urządzenie pod kątem numeru IMEI karty SIM jak również samego telefonu – co zabezpiecza przed przejęciem tożsamości czy metod logowania i wykorzystaniem na innym urządzeniu. W przypadku kradzieży lub zagubienia urządzenia może być ono automatycznie zablokowane i całkowicie nieprzydatne do nawiązania bezpiecznego połączenia do wrażliwych danych. Co najważniejsze całkowicie zabezpiecza to centralne systemy organizacji przed nieautoryzowanym wykorzystaniem.

AppGate wspiera szereg metod uwierzytelniania, w tym hasła, Radius i SecurID. Dwustopniowe uwierzytelnianie jest standardową metoda wbudowaną w system zapewniającą dodatkową warstwę bezpieczeństwa. Automatyczne uwierzytelnianie za pomocą haseł jednorazowych SMS można wykorzystać do usprawnienia procesu dla użytkowników oraz dodatkowego zabezpieczenia samego urządzenia. Hasło zostaje wysłane na zdefiniowany numer i eliminuje tym samym próby logowania z innych urządzeń.

Zapobieganie wyciekom informacji

Gdy urządzenie mobilne podłączone jest do AppGate Security Server, cały przepływ danych odbywa się poprzez bezpieczne połączenie VPN, unikając dzielonego tunelowania i zmniejsza ryzyko wycieku danych. Opcjonalny moduł AppGate Mobile Filter (filtr stron internetowych) może być używany w urządzeniach wyposażonych w Windows Mobile do ścisłej kontroli bezpośredniego dostępu użytkowników do Internetu bez konieczności ponoszenia kosztów prywatnego APN. Dzięki temu rozwiązaniu, żadne inne połączenia z Internetem nie mogą być wykonywane poza tymi, które wykorzystują połączenie przez AppGate i są dozwolone przez Organizację. Ponadto gwarantuje to, iż urządzenie nie będzie wykorzystane, jako „back door” do ataku z nieautoryzowanych stron lub innych połączeń internetowych. Gwarantuje również, iż pracownicy nie będą wykorzystywali Internetu do celów prywatnych.

Zarządzanie dostępem użytkowników

Zaawansowane reguły i narzędzia zarządzania dają administratorom pełną kontrolę nad uprawnieniami dostępu użytkownika. Zasady mogą być zdefiniowane na ograniczenia dostępu dla poszczególnych użytkowników w zależności od dowolnie zdefiniowanych kryteriów. Można ograniczyć dostęp zależnie od czasu, miejsca wykorzystywanej sieci, posiadanej roli itp.

Materiały dodatkowe

  - Broszura AppGate

  - AppGate Secure Gateway

  - Device Firewall

  - AppGate Satellite

  - AppGate Client Login

 

© ePrinus Sp. z o.o.