Archiwa: News

Ostatnie projekty Narodowego Instytutu Standardów i Technologii (NIST) dotyczące cyberbezpieczeństwa podkreślają ważne aktualizacje dotyczące tego, w jakim kierunku rząd podąża w zakresie technologii i koncentruje się na zwiększeniu bezpieczeństwa przed cyber zagrożeniami. Wynika to z faktu, że głównym celem NIST jest opracowywanie i rozpowszechnianie standardów, które umożliwiają płynne działanie technologii i sprawne funkcjonowanie firm. W grudniu 2022 r. NIST przedstawił aktualizację specjalnej publikacji NIST 800-63-4 ipd (wstępny publiczny projekt), która zawiera szczegółowe wytyczne dotyczące tożsamości cyfrowej, mające na celu wzmocnienie bezpieczeństwa i uwierzytelniania tożsamości cyfrowej, uwzględniając zmiany zarówno w zakresie ryzyka, jak i pojawiających się modeli uwierzytelniania, takich jak odporne na phishing uwierzytelnianie wieloskładnikowe (MFA) i passkey.

Szczegóły projektu wytycznych są ważne, ponieważ mają wpływ na operacje agencji w ogóle. 800-63-4 ipd jasno definiuje, co to znaczy być odpornym na phishing, i pojawia się w czasie, gdy wiele agencji rządowych (zwłaszcza stanowych i lokalnych) jest obleganych przez ataki phishingowe i żądania ransomware. Ważne jest jednak, aby zrozumieć, co oznacza uwierzytelnianie odporne na phishing dla agencji federalnych, stanowych i lokalnych oraz co należy zrobić, aby przestrzegać proponowanych wytycznych.

Co odporność na phishing oznacza dla mnie i mojej agencji?

Podobnie jak w przypadku wszystkich wytycznych i przepisów federalnych, wytyczne NIST będą nadal ewoluować – ale agencje federalne zostały powiadomione przez 800-63-4 ipd, że powinny zwracać szczególną uwagę na to, co liczy się jako technologia odporna na phishing: „zdolność protokołu uwierzytelniania do wykrywania i zapobiegania ujawnianiu tajemnic uwierzytelniania i ważnych danych wyjściowych uwierzytelniacza stronie ufającej oszustowi bez polegania na czujności subskrybenta”. Na wysokim poziomie systemy uwierzytelniania muszą zapobiegać atakom phishingowym, nawet jeśli atakujący może oszukać użytkownika, aby spróbował zalogować się do fałszywej witryny. Terminy zapewnienia zgodności – dla agencji i firm, które z nimi współpracują – będą się szybko zbliżać, więc warto przejrzeć 800-63-4 ipd, aby przeanalizować, co jest najbardziej istotne dla krótkoterminowych planów aktualizacji.

Wytyczne NIST mają pomóc wzmocnić bezpieczeństwo i uwierzytelnianie tożsamości cyfrowej, uwzględniając zmiany zarówno w zakresie ryzyka, jak i nowych modeli uwierzytelniania, takich jak passkey. Zidentyfikowano trzy poziomy pewności uwierzytelniania (AAL), przy czym każdy poziom opiera się na wymaganiach poprzedniego poziomu. AAL3 zapewnia bardzo wysoką pewność, że osoba logująca się do systemu może, poprzez dowód posiadania, udowodnić, że jest tym, za kogo się podaje. Uwierzytelniacze zatwierdzone przez FIPS dla pracowników federalnych są wymagane dla AAL2 (poziom 1) i AAL3 (poziom 2).

Zmienione wytyczne NIST uznają również dwie metody uwierzytelniania odpornego na phishing: wiązanie kanału i wiązanie nazwy weryfikatora. Mówiąc prostym językiem, metody te mają na celu uniemożliwienie oszustowi skutecznego przejęcia lub przechwycenia procesu uwierzytelniania.

Wiązanie kanału odnosi się do kanału komunikacyjnego między urządzeniem uwierzytelniającym (takim jak karta inteligentna) a weryfikatorem. W tradycyjnych sieciach komunikacja ta jest chroniona przez szyfrowany kanał, więc nikt nie jest w stanie jej podsłuchać. Nie jest tak w przypadku sieci WEB, więc standardowa komunikacja internetowa nie jest wystarczająco chroniona, chyba że używany jest wzajemnie uwierzytelniany TLS, co jest powodem wprowadzenia metody wiązania nazwy weryfikatora, którą wykorzystuje standard FIDO2. W przypadku powiązania nazwy weryfikatora proces uwierzytelniania odpowie tylko na wcześniej zarejestrowaną nazwę domeny. Obie metody są odporne na próby naruszenia lub podważenia procesu uwierzytelniania.

Kiedy to wszystko nastąpi? Będzie to proces, ale agencje rządowe, już związane standardem FIPS 140, są zobowiązane do końca roku budżetowego 2024 do przyjęcia wyłącznego stosowania odpornego na phishing uwierzytelniania wieloskładnikowego (MFA). Minimalnym standardem będzie poziom AAL2, ale należy pamiętać, że niektóre starsze procesy uwierzytelniania, takie jak oparte na SMS-ach „hasła jednorazowe” OTP, nie będą spełniać nowych standardów odporności na phishing. Niektóre firmy mogą zdecydować się na całkowite pominięcie AAL2 i przejście na AAL3, aby uzyskać najwyższą ochronę przed atakami phishingowymi.

Jaki będzie miał wpływ na to, czego używam obecnie?

800-630-4 ipd mówi, że prawdziwa odporność na phishing jest osiągana tylko wtedy, gdy wszystkie metody uwierzytelniania są odporne na phishing. Karty inteligentne PIV/CAC obsługują uwierzytelnianie wieloskładnikowe odporne na phishing, ale w przypadkach, w których nie można użyć PIV/CAC, te mechanizmy uwierzytelniania muszą przejść na metodę odporną na phishing, taką jak FIDO2.

Na początku 2023 r. NIST kontynuował serię aktualizacji, które wprowadził dla PIV, wydając wytyczne dotyczące pochodnych poświadczeń PIV (SP 800-157r1) i nowe wytyczne dotyczące federacji weryfikacji tożsamości osobistej (PIV) (SP 800-217). Aktualizacje te są sposobem NIST na integrację nowych metod z ustalonymi podejściami do uwierzytelniania. Wytyczne te, miejmy nadzieję, zapewnią jasność co do tego, jak skutecznie wdrożyć FIDO2.

Agencje mogą strategicznie wdrażać rozwiązania FIDO2 do aplikacji chmurowych i mobilnych, jednocześnie nadal wykorzystując istniejące inwestycje PKI w tradycyjnych sieciach. Z czasem mogą rozszerzyć zasięg FIDO2 o inne przypadki użycia, takie jak logowanie do aplikacji, logowanie do komputera i logowanie zdalne.

Nie płyń pod prąd, pozwól mu zabrać Cię w bezpieczniejsze miejsce

Połączenie nowej cyberstrategii prezydenta Bidena i projektu publikacji SP 800-63-4 ipd jest dobrym sygnałem dla nas wszystkich, którzy chcą chronić to, co mamy – niezależnie od tego, czy są to dane PII, dane „klejnotu koronnego” agencji, czy komunikacja z osobami trzecimi.

Uwierzytelnianie FIDO2 jest istotną częścią większej, elastycznej, odpornej na phishing infrastruktury, która jest obecnie rozwijana. Rozwiązania FIDO2 i PKI mają się wzajemnie uzupełniać, a nie żyć w świecie „albo-albo”. Odporne na phishing rozwiązania AAL3 są już dostępne i są coraz szerzej stosowane. Jeśli agencje federalne będą płynąć z prądem, a nie pod prąd, wzmocnią swoją obronę i znacznie ograniczą ataki phishingowe.

Oryginalny tekst ukazał się na blogu naszego partnera, firmy Yubico.

W ciągu zaledwie kilku lat Zero Trust Network Access (ZTNA) stał się najszybciej rozwijającym się segmentem bezpieczeństwa sieci, prognozowanym przez firmę Gartner na wzrost o 36% w ubiegłym roku i kolejne 31% w 2023 roku. Ale czy wiesz, że istnieją dwa różne modele architektury ZTNA? Zaawansowane organizacje, które chcą zabezpieczyć dostęp w złożonych topologiach sieci i objąć wszystkie przypadki użycia, powinny zadać dostawcom jedno proste pytanie: Czy rozwiązanie ZTNA jest kierowane bezpośrednio, czy w chmurze?

Nie ma wątpliwości, że bezpieczeństwo sieci jest trudne do utrzymania. Udane naruszenia cyberbezpieczeństwa dominują w cyklach informacyjnych. Infrastruktury są złożone. Aplikacje i wymagania stale się zmieniają. Powierzchnie ataków zwiększają się z dnia na dzień. Nieustanna globalna konkurencja oznacza, że bezpieczeństwo musi umożliwiać, a nie hamować rozwój strategii cyfrowej transformacji przedsiębiorstw poprzez ich inicjatywy w zakresie chmury, DevOps, CI/CD, IoT, AI, automatyzacji i SaaS.

Organizacje zwróciły się do Zero Trust Network Access, ponieważ udowodniono, że radzi sobie z wyzwaniami, przed którymi stoją przeciążone zespoły IT i bezpieczeństwa, w tym:

• Więcej wektorów ataku, takich jak niezarządzane urządzenia, obciążenia w chmurze, urządzenia IoT/OT, exploity zero-day, pracownicy zdalni i integracje stron trzecich.
• Płaskie topologie sieci wykorzystywane przez podmioty poszukujące zagrożeń nieusankcjonowanych ruchów bocznych.
• Rozwiązania bezpieczeństwa oparte na obwodach z różnymi mechanizmami kontroli, które nie zostały stworzone z myślą o hybrydowych pracownikach i rozproszonej infrastrukturze, a także przestarzałe modele dostępu typu „połącz, a następnie zweryfikuj„, które wprowadzają niepotrzebne ryzyko.
• Nadmiernie uprzywilejowani pracownicy i użytkownicy zewnętrzni z dostępem do większej ilości danych i systemów, niż jest to wymagane do wykonywania ich pracy.
• Żmudne, ręczne i podatne na błędy przydzielanie dostępu użytkownikom i urządzeniom dla heterogenicznych starszych rozwiązań, takich jak VPN, NAC i WAN.

Jednak nie wszystkie rozwiązania dostępu Zero Trust są sobie równe, a organizacje na drodze do bezpieczeństwa Zero Trust nie powinny iść na kompromis podczas budowania idealnej architektury Zero Trust. Porównując modele architektury, bezpośrednio kierowany ZTNA oferuje wyraźne korzyści operacyjne i w zakresie bezpieczeństwa w porównaniu z rozwiązaniami ZTNA kierowanymi w chmurze.

ZTNA routowane w chmurze czy ZTNA routowane bezpośrednio: jaka jest różnica?

Zdecydowana większość rozwiązań ZTNA jest routowana w chmurze, zbudowana na architekturze opartej na proxy, często nazywanej proxy świadomym tożsamości (IAP), która przepuszcza cały ruch przez chmurę dostawcy. Te routowane w chmurze rozwiązania ZTNA są wystarczająco dobre, aby zabezpieczyć zdalne połączenia z aplikacjami internetowymi, ale nie zostały zaprojektowane dla złożonej infrastruktury hybrydowej, ani nie mogą pomieścić wszystkich przypadków użycia.

Wady ZTNA routowanego w chmurze:

• Ruch sieciowy wymuszany przez chmurę dostawcy
• Protokół sieciowy i ograniczenia zasobów lokalnych
• Przepustowość, skala, opóźnienia i ograniczenia sieciowe
• Niejawne zaufanie dostawcy do chmury typu multi-tenant
• Ukryte lub zmienne koszty

Z drugiej strony, bezpośrednio kierowany model architektury ZTNA, który oferuje bardzo niewielu dostawców, pozwala uniknąć pułapek związanych z chmurą dostawcy, daje kontrolę nad tym, jak dane przechodzą przez sieć, zabezpiecza wszystkie połączenia między użytkownikami a zasobami i zasobami a zasobami i może obsługiwać wszystkie przypadki użycia w przedsiębiorstwie, a nie tylko podstawowy dostęp zdalny.

Zalety bezpośredniego routingu ZTNA:

• Pełna kontrola nad ruchem sieciowym
• Uniwersalna kontrola dostępu dla wszystkich użytkowników, urządzeń i obciążeń
• Bezpośredni dostęp o niskich opóźnieniach i wysokiej dostępności
• Elastyczne opcje wdrażania dla prawdziwej architektury Zero Trust
• Przewidywalne ceny

Nasze wiodące w branży rozwiązanie dostępowe Zero Trust Appgate SDP jest jednym z niewielu bezpośrednio kierowanych rozwiązań ZTNA dostępnych obecnie na rynku i zostało stworzone w oparciu o rygorystyczne wytyczne Cloud Security Alliance Zero Trust dotyczące zdefiniowanego programowo obwodu. Elastyczność, rozszerzalność i możliwości integracji Appgate SDP wspierają unikalną, idealną architekturę Zero Trust każdej organizacji i zapewniają zespołom IT i bezpieczeństwa kontrolę nad tym, w jaki sposób dane przechodzą przez sieć. Może być stosowany we wszystkich przypadkach użycia w przedsiębiorstwie na drodze do adaptacyjnego bezpieczeństwa Zero Trust, które dla wielu powinno przebiegać w następujący sposób:

1. Myśl na dużą skalę: Bezpośrednio kierowany dostęp Zero Trust umożliwia przekształcenie sieci, wycofanie starszego sprzętu i osiągnięcie idealnego stanu adaptacyjnego Zero Trust.
2. Zacznij od małych kroków: idealnego stanu nie da się zbudować w jeden dzień. Najpierw zajmij się przypadkami użycia ZTNA, które pozwolą wyeliminować bezpośrednie ryzyko i udowodnić wartość dla firmy.
3. Szybkie skalowanie: Szybko wdrażaj uniwersalne ZTNA w całym środowisku, aby zastąpić starsze narzędzia i zintegrować się z sąsiednimi systemami w celu dalszego dojrzewania i automatyzacji zasad dostępu.

Dodatkowo, unikalna architektura Appgate SDP z bezpośrednim trasowaniem zapewnia zaawansowanym organizacjom elastyczność, kontrolę i rozszerzalność wymaganą do zabezpieczenia całego środowiska, wzmocnienia ochrony, przekształcenia sieci oraz uzyskania wymiernego zwrotu z inwestycji i wartości dla biznesu.

Udowodniony zwrot z inwestycji dzięki Appgate SDP z bezpośrednim routowaniem ZTNA

Organizacje czerpią realne korzyści z wdrożenia uniwersalnego, bezpośrednio kierowanego ZTNA. Niezależne badanie analityczne Nemertes z 2023 r. określa ilościowo usprawnienia operacyjne i bezpieczeństwa zidentyfikowane zarówno przez komercyjnych, jak i federalnych klientów Appgate SDP:

• 83% odnotowało znaczną redukcję liczby incydentów bezpieczeństwa
• Średnie skrócenie czasu modyfikacji uprawnień dostępu o 87%.
• Ogólna średnia redukcja o 32% czasu poświęcanego przez personel na zarządzanie dostępem
• Ogólny średni spadek o 55% liczby narzędzi bezpieczeństwa potrzebnych do zarządzania dostępem lokalnym.
• 67% spadek kosztów łączności zgłoszony przez globalnego integratora systemów
• 6% spadek wydatków brutto na IT zgłoszony przez firmę zajmującą się oprogramowaniem i usługami IT

Appgate SDP, najbardziej wszechstronne w branży uniwersalne rozwiązanie dostępu Zero Trust, można skonfigurować tak, aby spełniało rygorystyczne wymagania dotyczące bezpieczeństwa i zgodności, niezależnie od topologii sieci lub złożoności, i jest zbudowane na sześciu podstawowych założeniach projektowych:

• Ukryta infrastruktura: Zaawansowana forma autoryzacji pojedynczych pakietów (SPA) sprawia, że sieć jest niewidoczna, a żadne porty nie są odsłonięte, ponieważ hakerzy nie mogą atakować tego, czego nie widzą.
• Kontrola dostępu oparta na atrybutach: Bezpieczeństwo skoncentrowane na tożsamości, które dostosowuje dostęp w oparciu o użytkownika, urządzenie, aplikację i ryzyko kontekstowe, budując wielowymiarowy profil tożsamości przed przyznaniem dostępu.
• Najmniej uprzywilejowany dostęp: Tworzy „segmenty jednego” w czasie rzeczywistym, oparte na sesjach mikro firewalle lub granice przy użyciu opatentowanej technologii multi-tunneling w celu mikrosegmentacji użytkowników, obciążeń i zasobów oraz ograniczenia ruchu bocznego wewnątrz sieci.
• Dynamiczność i ciągłość: Ciągłość jest podstawowym założeniem Zero Trust, ale korzyści operacyjne są realizowane poprzez dodanie dynamicznych uprawnień na żywo, które automatycznie modyfikują dostęp w czasie zbliżonym do rzeczywistego w oparciu o kontekst i ryzyko, dzięki czemu zagrożenia bezpieczeństwa są automatycznie blokowane.
• Elastyczność i zwinność: Rozszerzalna, w 100% oparta na API technologia usprawnia i integruje się ze stosem technologii, dzięki czemu można wbudować zabezpieczenia bezpośrednio w strukturę procesów biznesowych i przepływów pracy.
• Wydajność i skalowalność: Bezstanowa i rozproszona architektura pozwala na niemal nieograniczone skalowanie poziome i wydajność.

Artykuł powstał na bazie bloga naszego partnera, firmy Appgate.

15 czerwca będziemy obecni wspólnie z Yubico na Security Masters Summit w siedzibie Microsoft Polska.

Link do wydarzenia znajduje się tutaj.

O godzinie 12:30 nasz kolega Rafał Rosłaniec ma prelekcję na temat: „Passwordless w rozwiązaniach Microsoft„.

Serdecznie zapraszamy na wydarzenie.

Rozumiejąc potrzeby mniejszych organizacji i przedsiębiorstw stawiających na chmurę, uruchomiliśmy naszą natywną usługę w chmurze do zarządzania rozszerzeniami Scirge Endpoint Browser Extensions. Tworzenie widoczności dla aplikacji i kont Shadow IT jest teraz osiągalne w ciągu kilku minut. Ocena i uruchomienie Scirge Central Management Server w chmurze sprawia, że wdrożenia w małych firmach są wykonalne, a dużym organizacjom pozwala wykorzystać nieograniczoną skalowanność.

Jako dodatkowy bonus oferujemy dwie godziny bezpłatnych konsultacji wdrożeniowych i wsparcia dla wszystkich samodzielnie zarządzanych wdrożeń, aby pomóc w wykonaniu pierwszych kroków. Wbudowane przewodniki i obszerna dokumentacja są dostępne dla wszystkich ekspertów, a podstawową konfigurację z alertami dla najbardziej krytycznych zdarzeń można skonfigurować w ciągu kilku minut.

Wraz z wersją 4.0 dodajemy również model MSP, który umożliwia dostawcom usług zarządzanych wzbogacenie swojego portfolio o proste rozwiązanie do tworzenia podstaw widoczności chmury dla swoich klientów. Dostępność wersji MSP zależy od naszego kanału. Jeśli jesteś dostawcą usług zarządzanych, zapytaj o nią na stronie msp@scirge.com.

Dla tych firm, które podlegają ścisłym regulacjom dotyczącym korzystania z chmury lub preferują rozwiązania bezpieczeństwa na miejscu, nadal oferujemy Scirge zarządzane za pośrednictwem wirtualnego urządzenia, które można wdrożyć w siedzibie lub w chmurze prywatnej.

Dlaczego widoczność w chmurze jest najwyższym priorytetem w 2023 roku?

Dzięki sztucznej inteligencji umożliwiającej startupom i przedsiębiorcom uruchamianie usług SaaS szybciej niż kiedykolwiek, konkurencja wśród usług online będzie ostrzejsza niż kiedykolwiek. Umożliwia to organizacjom eksperymentowanie i czerpanie najlepszych korzyści z chmury w oparciu o indywidualną inicjatywę i zwinne jednostki biznesowe. Minusem jest oczywiście zawsze bezpieczeństwo i zgodność z przepisami. Szybko rozwijające się firmy bardziej niż o cokolwiek innego martwią się o trakcję użytkowników i przychody, więc spodziewaj się gwałtownego wzrostu wsparcia, integracji i funkcji bezpieczeństwa w ramach tych nadchodzących usług.

Scirge ma unikalne podejście do ustanawiania kontroli nad niezatwierdzonymi usługami w chmurze. Skupiamy się na odkrywaniu ukrytych narzędzi do zarządzania, które są jednocześnie potencjalnymi perełkami i lukami w zabezpieczeniach. Aby napędzać zmiany kulturowe, przekazujemy również pracownikom odpowiednie informacje zwrotne na temat zagrożeń, z którymi mają do czynienia.

W końcu, umożliwienie naszym pracownikom znalezienie najbardziej dopasowanych narzędzi jest jedynym sposobem na zdobycie przewagi przez nowoczesną firmę, o ile jest to zgodne z celami strategicznymi i jest widoczne dla decydentów w celu zatwierdzenia i standaryzacji. Shadow IT nie jest więc problemem, ale ogromną szansą dla firm na kumulację i operacjonalizację ich najlepiej działających narzędzi cyfrowych, dostawców i zasobów. Uzyskanie widoczności przy jednoczesnym umożliwieniu pracownikom zabłyśnięcia.

Kliknij tutaj aby wypróbować rozwiązanie Shadow IT firmy Scirge.

Na podstawie informacji ze strony naszego partnera, firmy Scirge.

Zero Trust jest strategią bezpieczeństwa jest jedną z wielu różnych architektur, z których mogą korzystać przedsiębiorstwa w oparciu o ich specyficzne środowiska biznesowe, sieciowe i technologiczne. Ważne jest, aby architekci bezpieczeństwa dobrze rozumieli swoją obecną architekturę korporacyjną, aby podejmować świadome decyzje dotyczące niezbędnych zmian w inicjatywach Zero Trust.

Uważamy, że architektura korporacyjna ma szeroki zakres, w tym aplikacje, metody dostępu i przepływy danych, a także podstawową infrastrukturę sieciową i topologię sieci. Topologię sieci definiujemy jako logiczne spojrzenie na urządzenia i systemy oraz sposób ich wzajemnego połączenia. Sieci korporacyjne są zazwyczaj złożone, z wieloma współzależnymi częściami, takimi jak DNS, zarządzanie adresami IP i routing w sieciach LAN, WAN, chmurze i segmentach SD-WAN. Mogą również obejmować nowsze typy sieci, zwłaszcza środowiska IaaS.

Projekt Zero Trust Network Access (ZTNA) wymaga dobrego zrozumienia swojej sieci; gdzie działają prywatne zasoby przedsiębiorstwa; co jest z czym połączone (tj. jego topologia) i jak działają te współzależne systemy. ZTNA wymaga przemyślanych zmian w sposobie, w jaki użytkownicy uzyskują dostęp do zasobów w sieci, a także zmian w samej sieci. Korzyści płynące z ZTNA są znaczące, ale muszą być wdrażane w oparciu o dobrze opracowaną strategię.

Jakie są dwa podstawowe modele topologii sieci Zero Trust?

Istnieją dwa podstawowe modele topologii sieci Zero Trust, które nazywamy rutowalnymi w chmurze i rutowalnymi bezpośrednio. Firma Gartner określa je jako inicjowane przez usługi i inicjowane przez punkty końcowe, podczas gdy inni analitycy używają terminów „software-defined perimeter” i „identity-aware proxies”. Są one przedstawione na poniższych diagramach, gdzie używamy standardowych terminów Zero Trust: Policy Decision Point (PDP) do reprezentowania płaszczyzny sterowania i Policy Enforcement Point (PEP) do reprezentowania płaszczyzny danych. Należy również pamiętać, że w tej dyskusji skupiamy się tylko na dostępie użytkowników do prywatnych zasobów przedsiębiorstwa. Nie analizujemy dostępu użytkowników do publicznych zasobów sieciowych.

W obu przypadkach płaszczyzna sterowania znajduje się w infrastrukturze chmury bezpieczeństwa dostawcy. W ten sposób dostawcy dostarczają to jako usługę, zapewniając klientom zarządzanie, monitorowanie i aktualizacje, upraszczając w ten sposób operacje i zmniejszając złożoność.

Modele topologii sieci rutowanej w chmurze a modele sieci rutowanej bezpośrednio

W modelu rutowanym w chmurze, chmura dostawcy działa jako scentralizowane miejsce, w którym połączenia „spotykają się w środku”. Użytkownicy zdalni łączą się z najbliższym PEP dostawcy, aby kontrolować swój dostęp sieciowy do prywatnych zasobów przedsiębiorstwa. Zasoby, które mogą być aplikacjami biznesowymi lub danymi, mogą być uruchomione w lokalnym centrum danych, środowisku chmury IaaS lub w obu. Oprogramowanie konektora dostawcy działa obok zasobów i ustanawia połączenie wychodzące z najbliższym PEP w chmurze dostawcy. Ponieważ konektor nawiązuje połączenie wychodzące, zazwyczaj upraszcza wdrażanie, ale często ogranicza przypadki użycia do zdalnego dostępu użytkownika tylko do aplikacji internetowych.

Konsekwencje modelu rutingu w chmurze są takie, że cały ruch użytkownika musi przechodzić przez chmurę dostawcy, potencjalnie przez wiele przeskoków, ponieważ użytkownik i zasób przedsiębiorstwa łączą się z różnymi PEP dostawcy. Zwiększa to opóźnienia i wymaga od przedsiębiorstwa zaufania do dostawcy w zakresie tego ruchu. Sprawia to również, że architektura rutowana w chmurze jest nieodpowiednia dla użytkowników lokalnych uzyskujących dostęp do zasobów lokalnych. W takim przypadku ruch użytkownika jest kierowany w górę przez chmurę dostawcy i z powrotem do lokalizacji użytkownika, dlatego model ten jest często używany tylko do zdalnego dostępu, a nie do dostępu uniwersalnego. (Aby być uczciwym, niektórzy dostawcy wykorzystujący to podejście dodali lokalny routing dla użytkowników lokalnych, aby uniknąć tego problemu). Kolejną wadą jest brak możliwości obsługi wszystkich protokołów sieciowych lub połączeń inicjowanych przez serwer. Może obsługiwać aplikacje internetowe, ale boryka się z aplikacjami, które wymagają innych protokołów TCP, UDP lub ICMP, lub wymagają połączenia zainicjowanego z urządzeniem użytkownika, takim jak VOIP lub oprogramowanie do zdalnego sterowania IT.

Porównajmy to z modelem bezpośredniego rutingu. W tej architekturze chmura dostawcy jest używana tylko jako płaszczyzna sterowania. Płaszczyzna danych nigdy nie jest widoczna ani dostępna dla dostawcy, ponieważ przedsiębiorstwa wdrażają PEP dostawcy w swoich środowiskach, aby działały wraz z ich zasobami. Po uwierzytelnieniu użytkownicy uzyskują token bezpieczeństwa, który umożliwia im bezpieczne nawiązywanie połączeń bezpośrednio z PEP – stąd nazwa direct-routed. Ruch sieciowy przepływa między urządzeniem użytkownika a zasobem za pośrednictwem PEP. Minimalizuje to przeskoki sieciowe i zmniejsza opóźnienia. Ponadto routing ruchu jest kontrolowany przez przedsiębiorstwo, umożliwiając mu na przykład zarządzanie wymaganiami dotyczącymi rezydencji danych.

Model bezpośredniego rutingu obsługuje wszystkie protokoły sieciowe (internetowe, inne niż internetowe, dowolne protokoły TCP, UDP i ICMP) i płynnie obsługuje połączenia inicjowane przez serwer. Obsługuje również uniwersalną koncepcję ZTNA, ponieważ użytkownicy lokalni uzyskujący dostęp do zasobów lokalnych będą mieli ruch sieciowy pozostający całkowicie w lokalnej sieci korporacyjnej. Ponieważ PEP musi zostać wdrożony tam, gdzie znajdują się zasoby, zwykle wymagane są pewne zmiany w zaporze sieciowej. Ta architektura jest bardziej odpowiednia do obsługi najbardziej złożonych i wyrafinowanych środowisk korporacyjnych.

Dlaczego Appgate?

W Appgate mocno wierzymy w uniwersalne ZTNA i wybór klienta. W związku z tym zaprojektowaliśmy naszą natywną, dostarczaną w chmurze platformę Zero Trust dla modelu bezpośredniego rutingu oraz do obsługi wszystkich protokołów sieciowych i typów połączeń. Umożliwia to naszym klientom definiowanie całościowych zasad dostępu mających zastosowanie do wszystkich użytkowników na wszystkich urządzeniach, we wszystkich sieciach i środowiskach korporacyjnych. I akceptujemy fakt, że niektórzy użytkownicy mogą mieć agenta uruchomionego na swoim urządzeniu, podczas gdy inni nie mogą.

Bezpieczeństwo w przedsiębiorstwie jest trudne – sieci są złożone, aplikacje i wymagania stale się zmieniają, a wymagania biznesowe często kolidują z potrzebami w zakresie zgodności i bezpieczeństwa. Wierzymy, że dostęp Zero Trust jest lepszym sposobem na osiągnięcie celów związanych z bezpieczeństwem i biznesem oraz że potrzebujesz architektury, która będzie Cię wspierać, a nie ograniczać.

W tym celu Appgate SDP, najbardziej kompleksowe rozwiązanie ZTNA w branży, jest potężnym, niezwykle elastycznym rozwiązaniem, które można skonfigurować tak, aby spełniało dokładne wymagania bezpieczeństwa i zgodności, niezależnie od topologii sieci lub złożoności. Pięć filarów, na których opiera się konstrukcja systemu Appgate SDP to:

• Ukryta infrastruktura
• Zorientowanie na tożsamość
• Dynamiczność i ciągłość
• Mikro granice
• Progamowalność i adaptowalność

Filary te zapewniają, że klienci korporacyjni mogą wdrożyć platformę Zero Trust, która jest bezpieczna, adaptacyjna i skuteczna oraz która wykorzystuje wszystkie zalety modelu bezpośredniego routingu.

Na podstawie bloga naszego partnera, firmy Appgate: https://www.appgate.com/blog/zero-trust-network-topology-and-why-it-matters