Wraz z Yubico będziemy na konferencji naszego partnera, firmy ESM Partner.
Konferencja nazywa się EMS Power i odbędzie się w dniach 28-29 września 2023 r. w Warszawie.
Pierwszego dnia konferencji, o godzinie 12:30 wykład będzie miał Marcin Majchrzak z Yubico, a tematem będzie: „Uwierzytelnianie wieloskładnikowe za pomocą urządzeń mobilnych vs klucze sprzętowe – obalamy 5 najpopularniejszych mitów”.
Tego samego dnia, o godzinie 16:30 zacznie się sesja warsztatowa, którą będzie prowadził nasz kolega, Rafał Rosłaniec wraz z Tomaszem Kowalskim z Secfense. Tytuł warsztatów: „Jak w 5 minut i bez zmian w swoich aplikacjach spełnić wymagania DORA i NIS2 w kontekście uwierzytelniania użytkowników kluczami krypto od Yubico – live demo”
Jeśli ktoś przegapi nasz warsztat, zapraszamy kolejnego dnia, o godzinie 10:00.
Jest to druga część dwuczęściowej serii poświęconej najnowszym wytycznym NIST. Aby przeczytać część pierwszą, zapoznaj się z naszym wpisem na blogu tutaj.
W ciągu ostatnich sześciu miesięcy opublikowano trzy projekty wytycznych Narodowego Instytutu Standardów i Technologii (NIST), które zmienią sposób, w jaki agencje federalne zarządzają usługami tożsamości cyfrowej, uwierzytelnianiem użytkowników i rodzajami poświadczeń, które mogą być wydawane. Te projekty wytycznych obejmują:
Projekt wytycznych NIST dotyczących tożsamości cyfrowej (NIST SP 800-63-4), rewizja mająca pomóc wzmocnić pewność i uwierzytelnianie tożsamości cyfrowej, uznaje zmiany zarówno w zakresie ryzyka, jak i pojawiających się modeli uwierzytelniania, takich jak passkey.
Zmienione wytyczne dotyczące uwierzytelniania (800-63B-4) obejmują ponowne opracowanie poziomów pewności uwierzytelniania (AAL), przy czym każdy poziom opiera się na wymaganiach poprzedniego poziomu. AAL3 zapewnia bardzo wysoki poziom pewności, że wnioskodawca kontroluje jeden lub więcej uwierzytelniaczy powiązanych z kontem subskrybenta – mówiąc prostym językiem, że osoba uwierzytelniająca może, poprzez dowód posiadania, udowodnić, że jest tym, za kogo się podaje.
Agencje rządowe, które są już związane standardem FIPS 140, mają czas do końca roku podatkowego 2024 na przyjęcie wyłącznego stosowania uwierzytelniania wieloskładnikowego (MFA) odpornego na phishing dla pracowników agencji, w celu zapewnienia zgodności z rozporządzeniem wykonawczym 14028 i memorandum M-22-09 Biura Zarządzania i Budżetu (OMB). Te dwa wymagania oznaczają, że agencje muszą szukać uwierzytelniaczy odpornych na phishing, które spełniają co najmniej standardy AAL2. Uwierzytelniacze, które wymagają ręcznego wprowadzania danych (np. SMS, powiadomienia push i OTP) nie spełniają standardów odporności na phishing.
Aktualizacje te rozszerzają wykorzystanie pochodnych poświadczeń PIV na nowe formaty, oparte na PKI i nie oparte na PKI, a także pomagają wspierać tożsamość PIV poza agencją macierzystą. Wytyczne pojawiają się w doskonałym momencie, wraz z ekscytującymi nowymi aplikacjami dla PIV na urządzeniach mobilnych i w usłudze Azure AD. NIST nie wprowadza tych zmian w próżni, a coraz częściej mówi się o tym, że protokoły odporne na phishing, takie jak FIDO2/WebAuthn, są dostępne, aby pomóc agencjom chronić środowiska i wspierać szerszy zakres nowoczesnych aplikacji i zabezpieczeń.
Aby porozmawiać o tym, co te nowe wytyczne oznaczają dla agencji federalnych i w jaki sposób mogą być zgodne z przepisami, David Treece z Yubico spotkał się z Joe Scalone, wiodącym współtwórcą standardu FIDO2 i starszym architektem rozwiązań w Yubico.
Jak ważne jest uwierzytelnianie FIDO dla agencji federalnych?
Nowe przepisy federalne, z ich silnym naciskiem na zerowe zaufanie, wymagają od agencji priorytetowego podejścia do bezpieczeństwa skoncentrowanego na tożsamości. Wiele agencji federalnych przechodzi na chmurę, aby pomóc w modernizacji infrastruktury; połączenie istniejących poświadczeń opartych na PKI i poświadczeń opartych na FIDO może pomóc w ułatwieniu tego przejścia, jednocześnie zapewniając silne uwierzytelnianie odporne na phishing.
Uwierzytelnianie oparte na FIDO może być również wykorzystywane w programach BYOAD, używanych dla użytkowników niekwalifikujących się do PIV i usług w chmurze, rozszerzając zakres uwierzytelniania o wysokiej pewności, a tym samym zwiększając poziom bezpieczeństwa cyfrowego całej agencji.
Które metody uwierzytelniania spełniają nowe wytyczne?
Zarówno uwierzytelnianie oparte na PKI (karty PIV/CAC), jak i uwierzytelnianie oparte na FIDO spełniają wymagania dotyczące uwierzytelniania odpornego na phishing na poziomie AAL3.
Czy klucze FIDO Passkeys spełniają nowe wytyczne?
Passkeys to nowy termin opisujący poświadczenia FIDO. Jednak różnice w implementacji określają odpowiedni poziom AAL. Wszystkie klucze Passkeys zapewniają uwierzytelnianie odporne na phishing, ale tylko klucze sprzętowe, takie jak YubiKey, mogą spełnić wymóg AAL3, zapewniając, że klucz prywatny nie może zostać wyeksportowany z urządzenia sprzętowego. Klucze synchroniczne, które umożliwiają synchronizację poświadczeń FIDO między urządzeniami, mogą spełniać wymagania AAL2 z kodem PIN urządzenia lub danymi biometrycznymi używanymi jako drugi czynnik.
Czy istnieją inne korzyści dla agencji wynikające z wykorzystania FIDO?
FIDO daje agencjom możliwość wdrażania silnych uwierzytelniaczy dla użytkowników niekwalifikujących się do PIV i pozwala na rozwój samoobsługowych, internetowych procesów rejestracji. FIDO pozwala na szybszą integrację z aplikacjami ze względu na zależność od protokołu WebAuthn. Ponadto prostota projektu FIDO oznacza niższe koszty ogólne, zarówno pod względem finansowym, jak i ludzkim.
Jakie są najlepsze praktyki wdrażania FIDO w ekosystemie kart inteligentnych?
Wspólne korzystanie z PKI i FIDO pozwala agencjom na wykorzystanie najlepszych z obu metod silnego uwierzytelniania. Agencje mogą strategicznie wdrażać rozwiązania FIDO w aplikacjach chmurowych i mobilnych, jednocześnie nadal wykorzystując istniejące inwestycje PKI w tradycyjnych sieciach. Z czasem agencje mogą rozszerzyć zasięg FIDO o inne przypadki użycia, takie jak logowanie do aplikacji, logowanie do komputera i logowanie zdalne.
Jakie inwestycje są potrzebne do obsługi FIDO?
Uwierzytelnianie FIDO jest istotną częścią większej, elastycznej, odpornej na phishing platformy tożsamości Zero Trust. Rząd federalny ma okazję współpracować z przemysłem i opracować nowoczesną, skalowalną i możliwą do obrony infrastrukturę tożsamości, która może stać się atutem bezpieczeństwa na wiele lat. Agencje muszą zbadać i zrozumieć, w jaki sposób rozwiązania FIDO i PKI wzajemnie się uzupełniają, aby zapewnić kompleksowe uwierzytelnianie odporne na phishing.
Jakie znaczenie dla agencji rządowych i przedsiębiorstw mają poziomy uwierzytelniania AAL3 w porównaniu z AAL2?
NIST wymaga użycia sprzętowego urządzenia uwierzytelniającego, takiego jak YubiKey, aby spełnić wymagania AAL3 dotyczące dowodu posiadania klucza za pośrednictwem protokołu kryptograficznego w celu zapewnienia, że klucz prywatny nie może zostać eksfiltrowany. Dodatkowo, AAL3 wymaga użycia uwierzytelniania odpornego na phishing. AAL2 pozwala na szeroki zakres podejść MFA i nie wymaga stosowania rozwiązań odpornych na phishing. Uwierzytelnianie MFA odporne na phishing w AAL2 jest zalecane, ale nie wymagane.
Ważne jest, aby podkreślić, że chociaż NIST definiuje standardy poziomu uwierzytelniania, agencje są odpowiedzialne za podjęcie decyzji, który poziom uwierzytelniania muszą spełnić w oparciu o ocenę ryzyka. EO14028 i OMB M-22-09 wymagają, aby wszystkie agencje miały co najmniej AAL2 do użytku rządowego. OMB M-22-09 wymaga w szczególności stosowania uwierzytelniania odpornego na phishing. Uwierzytelniacze AAL3 spełniają wytyczne dotyczące bezpieczeństwa o wysokim wpływie z oceny ryzyka NIST 800-53 przeprowadzonej przez wszystkie agencje federalne i wykonawców rządowych. Ponadto, aby osiągnąć FedRAMP High dla rozwiązań chmurowych, wymagane są uwierzytelniacze AAL3.
Oryginalny tekst ukazał się na blogu naszego partnera, firmy Yubico.
Ostatnie projekty Narodowego Instytutu Standardów i Technologii (NIST) dotyczące cyberbezpieczeństwa podkreślają ważne aktualizacje dotyczące tego, w jakim kierunku rząd podąża w zakresie technologii i koncentruje się na zwiększeniu bezpieczeństwa przed cyber zagrożeniami. Wynika to z faktu, że głównym celem NIST jest opracowywanie i rozpowszechnianie standardów, które umożliwiają płynne działanie technologii i sprawne funkcjonowanie firm. W grudniu 2022 r. NIST przedstawił aktualizację specjalnej publikacji NIST 800-63-4 ipd (wstępny publiczny projekt), która zawiera szczegółowe wytyczne dotyczące tożsamości cyfrowej, mające na celu wzmocnienie bezpieczeństwa i uwierzytelniania tożsamości cyfrowej, uwzględniając zmiany zarówno w zakresie ryzyka, jak i pojawiających się modeli uwierzytelniania, takich jak odporne na phishing uwierzytelnianie wieloskładnikowe (MFA) i passkey.
Szczegóły projektu wytycznych są ważne, ponieważ mają wpływ na operacje agencji w ogóle. 800-63-4 ipd jasno definiuje, co to znaczy być odpornym na phishing, i pojawia się w czasie, gdy wiele agencji rządowych (zwłaszcza stanowych i lokalnych) jest obleganych przez ataki phishingowe i żądania ransomware. Ważne jest jednak, aby zrozumieć, co oznacza uwierzytelnianie odporne na phishing dla agencji federalnych, stanowych i lokalnych oraz co należy zrobić, aby przestrzegać proponowanych wytycznych.
Co odporność na phishing oznacza dla mnie i mojej agencji?
Podobnie jak w przypadku wszystkich wytycznych i przepisów federalnych, wytyczne NIST będą nadal ewoluować – ale agencje federalne zostały powiadomione przez 800-63-4 ipd, że powinny zwracać szczególną uwagę na to, co liczy się jako technologia odporna na phishing: „zdolność protokołu uwierzytelniania do wykrywania i zapobiegania ujawnianiu tajemnic uwierzytelniania i ważnych danych wyjściowych uwierzytelniacza stronie ufającej oszustowi bez polegania na czujności subskrybenta”. Na wysokim poziomie systemy uwierzytelniania muszą zapobiegać atakom phishingowym, nawet jeśli atakujący może oszukać użytkownika, aby spróbował zalogować się do fałszywej witryny. Terminy zapewnienia zgodności – dla agencji i firm, które z nimi współpracują – będą się szybko zbliżać, więc warto przejrzeć 800-63-4 ipd, aby przeanalizować, co jest najbardziej istotne dla krótkoterminowych planów aktualizacji.
Wytyczne NIST mają pomóc wzmocnić bezpieczeństwo i uwierzytelnianie tożsamości cyfrowej, uwzględniając zmiany zarówno w zakresie ryzyka, jak i nowych modeli uwierzytelniania, takich jak passkey. Zidentyfikowano trzy poziomy pewności uwierzytelniania (AAL), przy czym każdy poziom opiera się na wymaganiach poprzedniego poziomu. AAL3 zapewnia bardzo wysoką pewność, że osoba logująca się do systemu może, poprzez dowód posiadania, udowodnić, że jest tym, za kogo się podaje. Uwierzytelniacze zatwierdzone przez FIPS dla pracowników federalnych są wymagane dla AAL2 (poziom 1) i AAL3 (poziom 2).
Zmienione wytyczne NIST uznają również dwie metody uwierzytelniania odpornego na phishing: wiązanie kanału i wiązanie nazwy weryfikatora. Mówiąc prostym językiem, metody te mają na celu uniemożliwienie oszustowi skutecznego przejęcia lub przechwycenia procesu uwierzytelniania.
Wiązanie kanału odnosi się do kanału komunikacyjnego między urządzeniem uwierzytelniającym (takim jak karta inteligentna) a weryfikatorem. W tradycyjnych sieciach komunikacja ta jest chroniona przez szyfrowany kanał, więc nikt nie jest w stanie jej podsłuchać. Nie jest tak w przypadku sieci WEB, więc standardowa komunikacja internetowa nie jest wystarczająco chroniona, chyba że używany jest wzajemnie uwierzytelniany TLS, co jest powodem wprowadzenia metody wiązania nazwy weryfikatora, którą wykorzystuje standard FIDO2. W przypadku powiązania nazwy weryfikatora proces uwierzytelniania odpowie tylko na wcześniej zarejestrowaną nazwę domeny. Obie metody są odporne na próby naruszenia lub podważenia procesu uwierzytelniania.
Kiedy to wszystko nastąpi? Będzie to proces, ale agencje rządowe, już związane standardem FIPS 140, są zobowiązane do końca roku budżetowego 2024 do przyjęcia wyłącznego stosowania odpornego na phishing uwierzytelniania wieloskładnikowego (MFA). Minimalnym standardem będzie poziom AAL2, ale należy pamiętać, że niektóre starsze procesy uwierzytelniania, takie jak oparte na SMS-ach „hasła jednorazowe” OTP, nie będą spełniać nowych standardów odporności na phishing. Niektóre firmy mogą zdecydować się na całkowite pominięcie AAL2 i przejście na AAL3, aby uzyskać najwyższą ochronę przed atakami phishingowymi.
Jaki będzie miał wpływ na to, czego używam obecnie?
800-630-4 ipd mówi, że prawdziwa odporność na phishing jest osiągana tylko wtedy, gdy wszystkie metody uwierzytelniania są odporne na phishing. Karty inteligentne PIV/CAC obsługują uwierzytelnianie wieloskładnikowe odporne na phishing, ale w przypadkach, w których nie można użyć PIV/CAC, te mechanizmy uwierzytelniania muszą przejść na metodę odporną na phishing, taką jak FIDO2.
Na początku 2023 r. NIST kontynuował serię aktualizacji, które wprowadził dla PIV, wydając wytyczne dotyczące pochodnych poświadczeń PIV (SP 800-157r1) i nowe wytyczne dotyczące federacji weryfikacji tożsamości osobistej (PIV) (SP 800-217). Aktualizacje te są sposobem NIST na integrację nowych metod z ustalonymi podejściami do uwierzytelniania. Wytyczne te, miejmy nadzieję, zapewnią jasność co do tego, jak skutecznie wdrożyć FIDO2.
Agencje mogą strategicznie wdrażać rozwiązania FIDO2 do aplikacji chmurowych i mobilnych, jednocześnie nadal wykorzystując istniejące inwestycje PKI w tradycyjnych sieciach. Z czasem mogą rozszerzyć zasięg FIDO2 o inne przypadki użycia, takie jak logowanie do aplikacji, logowanie do komputera i logowanie zdalne.
Nie płyń pod prąd, pozwól mu zabrać Cię w bezpieczniejsze miejsce
Połączenie nowej cyberstrategii prezydenta Bidena i projektu publikacji SP 800-63-4 ipd jest dobrym sygnałem dla nas wszystkich, którzy chcą chronić to, co mamy – niezależnie od tego, czy są to dane PII, dane „klejnotu koronnego” agencji, czy komunikacja z osobami trzecimi.
Uwierzytelnianie FIDO2 jest istotną częścią większej, elastycznej, odpornej na phishing infrastruktury, która jest obecnie rozwijana. Rozwiązania FIDO2 i PKI mają się wzajemnie uzupełniać, a nie żyć w świecie „albo-albo”. Odporne na phishing rozwiązania AAL3 są już dostępne i są coraz szerzej stosowane. Jeśli agencje federalne będą płynąć z prądem, a nie pod prąd, wzmocnią swoją obronę i znacznie ograniczą ataki phishingowe.
Oryginalny tekst ukazał się na blogu naszego partnera, firmy Yubico.
W ciągu zaledwie kilku lat Zero Trust Network Access (ZTNA) stał się najszybciej rozwijającym się segmentem bezpieczeństwa sieci, prognozowanym przez firmę Gartner na wzrost o 36% w ubiegłym roku i kolejne 31% w 2023 roku. Ale czy wiesz, że istnieją dwa różne modele architektury ZTNA? Zaawansowane organizacje, które chcą zabezpieczyć dostęp w złożonych topologiach sieci i objąć wszystkie przypadki użycia, powinny zadać dostawcom jedno proste pytanie: Czy rozwiązanie ZTNA jest kierowane bezpośrednio, czy w chmurze?
Nie ma wątpliwości, że bezpieczeństwo sieci jest trudne do utrzymania. Udane naruszenia cyberbezpieczeństwa dominują w cyklach informacyjnych. Infrastruktury są złożone. Aplikacje i wymagania stale się zmieniają. Powierzchnie ataków zwiększają się z dnia na dzień. Nieustanna globalna konkurencja oznacza, że bezpieczeństwo musi umożliwiać, a nie hamować rozwój strategii cyfrowej transformacji przedsiębiorstw poprzez ich inicjatywy w zakresie chmury, DevOps, CI/CD, IoT, AI, automatyzacji i SaaS.
Organizacje zwróciły się do Zero Trust Network Access, ponieważ udowodniono, że radzi sobie z wyzwaniami, przed którymi stoją przeciążone zespoły IT i bezpieczeństwa, w tym:
Więcej wektorów ataku, takich jak niezarządzane urządzenia, obciążenia w chmurze, urządzenia IoT/OT, exploity zero-day, pracownicy zdalni i integracje stron trzecich.
Płaskie topologie sieci wykorzystywane przez podmioty poszukujące zagrożeń nieusankcjonowanych ruchów bocznych.
Rozwiązania bezpieczeństwa oparte na obwodach z różnymi mechanizmami kontroli, które nie zostały stworzone z myślą o hybrydowych pracownikach i rozproszonej infrastrukturze, a także przestarzałe modele dostępu typu „połącz, a następnie zweryfikuj„, które wprowadzają niepotrzebne ryzyko.
Nadmiernie uprzywilejowani pracownicy i użytkownicy zewnętrzni z dostępem do większej ilości danych i systemów, niż jest to wymagane do wykonywania ich pracy.
Żmudne, ręczne i podatne na błędy przydzielanie dostępu użytkownikom i urządzeniom dla heterogenicznych starszych rozwiązań, takich jak VPN, NAC i WAN.
Jednak nie wszystkie rozwiązania dostępu Zero Trust są sobie równe, a organizacje na drodze do bezpieczeństwa Zero Trust nie powinny iść na kompromis podczas budowania idealnej architektury Zero Trust. Porównując modele architektury, bezpośrednio kierowany ZTNA oferuje wyraźne korzyści operacyjne i w zakresie bezpieczeństwa w porównaniu z rozwiązaniami ZTNA kierowanymi w chmurze.
ZTNA routowane w chmurze czy ZTNA routowane bezpośrednio: jaka jest różnica?
Zdecydowana większość rozwiązań ZTNA jest routowana w chmurze, zbudowana na architekturze opartej na proxy, często nazywanej proxy świadomym tożsamości (IAP), która przepuszcza cały ruch przez chmurę dostawcy. Te routowane w chmurze rozwiązania ZTNA są wystarczająco dobre, aby zabezpieczyć zdalne połączenia z aplikacjami internetowymi, ale nie zostały zaprojektowane dla złożonej infrastruktury hybrydowej, ani nie mogą pomieścić wszystkich przypadków użycia.
Wady ZTNA routowanego w chmurze:
Ruch sieciowy wymuszany przez chmurę dostawcy
Protokół sieciowy i ograniczenia zasobów lokalnych
Przepustowość, skala, opóźnienia i ograniczenia sieciowe
Niejawne zaufanie dostawcy do chmury typu multi-tenant
Ukryte lub zmienne koszty
Z drugiej strony, bezpośrednio kierowany model architektury ZTNA, który oferuje bardzo niewielu dostawców, pozwala uniknąć pułapek związanych z chmurą dostawcy, daje kontrolę nad tym, jak dane przechodzą przez sieć, zabezpiecza wszystkie połączenia między użytkownikami a zasobami i zasobami a zasobami i może obsługiwać wszystkie przypadki użycia w przedsiębiorstwie, a nie tylko podstawowy dostęp zdalny.
Zalety bezpośredniego routingu ZTNA:
Pełna kontrola nad ruchem sieciowym
Uniwersalna kontrola dostępu dla wszystkich użytkowników, urządzeń i obciążeń
Bezpośredni dostęp o niskich opóźnieniach i wysokiej dostępności
Elastyczne opcje wdrażania dla prawdziwej architektury Zero Trust
Przewidywalne ceny
Nasze wiodące w branży rozwiązanie dostępowe Zero Trust Appgate SDP jest jednym z niewielu bezpośrednio kierowanych rozwiązań ZTNA dostępnych obecnie na rynku i zostało stworzone w oparciu o rygorystyczne wytyczne Cloud Security Alliance Zero Trust dotyczące zdefiniowanego programowo obwodu. Elastyczność, rozszerzalność i możliwości integracji Appgate SDP wspierają unikalną, idealną architekturę Zero Trust każdej organizacji i zapewniają zespołom IT i bezpieczeństwa kontrolę nad tym, w jaki sposób dane przechodzą przez sieć. Może być stosowany we wszystkich przypadkach użycia w przedsiębiorstwie na drodze do adaptacyjnego bezpieczeństwa Zero Trust, które dla wielu powinno przebiegać w następujący sposób:
Myśl na dużą skalę: Bezpośrednio kierowany dostęp Zero Trust umożliwia przekształcenie sieci, wycofanie starszego sprzętu i osiągnięcie idealnego stanu adaptacyjnego Zero Trust.
Zacznij od małych kroków: idealnego stanu nie da się zbudować w jeden dzień. Najpierw zajmij się przypadkami użycia ZTNA, które pozwolą wyeliminować bezpośrednie ryzyko i udowodnić wartość dla firmy.
Szybkie skalowanie: Szybko wdrażaj uniwersalne ZTNA w całym środowisku, aby zastąpić starsze narzędzia i zintegrować się z sąsiednimi systemami w celu dalszego dojrzewania i automatyzacji zasad dostępu.
Dodatkowo, unikalna architektura Appgate SDP z bezpośrednim trasowaniem zapewnia zaawansowanym organizacjom elastyczność, kontrolę i rozszerzalność wymaganą do zabezpieczenia całego środowiska, wzmocnienia ochrony, przekształcenia sieci oraz uzyskania wymiernego zwrotu z inwestycji i wartości dla biznesu.
Udowodniony zwrot z inwestycji dzięki Appgate SDP z bezpośrednim routowaniem ZTNA
Organizacje czerpią realne korzyści z wdrożenia uniwersalnego, bezpośrednio kierowanego ZTNA. Niezależne badanie analityczne Nemertes z 2023 r. określa ilościowo usprawnienia operacyjne i bezpieczeństwa zidentyfikowane zarówno przez komercyjnych, jak i federalnych klientów Appgate SDP:
83% odnotowało znaczną redukcję liczby incydentów bezpieczeństwa
Średnie skrócenie czasu modyfikacji uprawnień dostępu o 87%.
Ogólna średnia redukcja o 32% czasu poświęcanego przez personel na zarządzanie dostępem
Ogólny średni spadek o 55% liczby narzędzi bezpieczeństwa potrzebnych do zarządzania dostępem lokalnym.
67% spadek kosztów łączności zgłoszony przez globalnego integratora systemów
6% spadek wydatków brutto na IT zgłoszony przez firmę zajmującą się oprogramowaniem i usługami IT
Appgate SDP, najbardziej wszechstronne w branży uniwersalne rozwiązanie dostępu Zero Trust, można skonfigurować tak, aby spełniało rygorystyczne wymagania dotyczące bezpieczeństwa i zgodności, niezależnie od topologii sieci lub złożoności, i jest zbudowane na sześciu podstawowych założeniach projektowych:
Ukryta infrastruktura: Zaawansowana forma autoryzacji pojedynczych pakietów (SPA) sprawia, że sieć jest niewidoczna, a żadne porty nie są odsłonięte, ponieważ hakerzy nie mogą atakować tego, czego nie widzą.
Kontrola dostępu oparta na atrybutach: Bezpieczeństwo skoncentrowane na tożsamości, które dostosowuje dostęp w oparciu o użytkownika, urządzenie, aplikację i ryzyko kontekstowe, budując wielowymiarowy profil tożsamości przed przyznaniem dostępu.
Najmniej uprzywilejowany dostęp: Tworzy „segmenty jednego” w czasie rzeczywistym, oparte na sesjach mikro firewalle lub granice przy użyciu opatentowanej technologii multi-tunneling w celu mikrosegmentacji użytkowników, obciążeń i zasobów oraz ograniczenia ruchu bocznego wewnątrz sieci.
Dynamiczność i ciągłość: Ciągłość jest podstawowym założeniem Zero Trust, ale korzyści operacyjne są realizowane poprzez dodanie dynamicznych uprawnień na żywo, które automatycznie modyfikują dostęp w czasie zbliżonym do rzeczywistego w oparciu o kontekst i ryzyko, dzięki czemu zagrożenia bezpieczeństwa są automatycznie blokowane.
Elastyczność i zwinność: Rozszerzalna, w 100% oparta na API technologia usprawnia i integruje się ze stosem technologii, dzięki czemu można wbudować zabezpieczenia bezpośrednio w strukturę procesów biznesowych i przepływów pracy.
Wydajność i skalowalność: Bezstanowa i rozproszona architektura pozwala na niemal nieograniczone skalowanie poziome i wydajność.
Artykuł powstał na bazie bloga naszego partnera, firmy Appgate.
