Archiwa: News

Uniwersalne rozwiązanie Zero Trust Network Access (ZTNA) jest aktywnie wdrażane w złożonej infrastrukturze przedsiębiorstwa z dobrych powodów… przyspieszając transformację cyfrową, zmniejszając wydatki na IT, łagodząc złożoność zabezpieczeń sieciowych i zmniejszając powierzchnię ataku. Właściwie uniwersalne rozwiązanie ZTNA zapewnia elastyczność, kontrolę i rozszerzalność dla zaawansowanych organizacji o wielopłaszczyznowych środowiskach, wysokich wymaganiach w zakresie bezpieczeństwa i skomplikowanych topologiach sieci.

Niezależnie od tego, czy chodzi o migrację do chmury, przejście do środowiska DevOps o dużej szybkości, czy przejście w kierunku serverless, uniwersalne ZTNA zapewnia adaptacyjną łączność i dostęp do sieci. Oznacza to, że wszyscy użytkownicy, w tym osoby trzecie, mają do dyspozycji takie samo bezpieczne połączenie niezależnie od lokalizacji, co pomaga napędzać innowacje przedsiębiorstwa i szybkość wprowadzania na rynek.

Kolejną istotną zaletą uniwersalnego rozwiązania ZTNA jest znaczna oszczędność kosztów operacyjnych. Dzięki zastosowaniu adaptacyjnego, drobnoziarnistego modelu polityki do nakładania na istniejącą infrastrukturę, organizacje mogą rozpocząć podróż w kierunku Zero Trust bez kosztownego odświeżania technologii. Co więcej, udowodniono, że uniwersalne ZTNA zmniejsza również wydatki na sieć rozległą (WAN), zwłaszcza w odniesieniu do eliminacji obwodów MPLS i umożliwienia ruchu w sieci WiFi w stylu kawiarnianym. Dzięki wdrożeniu Appgate SDP, naszego kompleksowego rozwiązania ZTNA, jeden z naszych dużych globalnych klientów usunął niedawno MPLS z 600 lokalizacji, zmniejszając koszty łączności o 67%, jak podkreślono w raporcie Nemertes Real Economic Value Report z 2023 roku. Jeszcze lepiej? Jest to redukcja kosztów operacyjnych (OpEx).

Więcej korzyści z ZTNA: elastyczna architektura, zmniejszona powierzchnia ataku, lepsza widoczność sieci

Universalne ZTNA zapewnia również większą elastyczność w zakresie topologii sieci i architektury. Starsze rozwiązania, takie jak VPN, utrwalają model perymetryczno-centryczny, w którym istnieje jeden punkt wejścia do sieci korporacyjnej, a użytkownicy polegają na sieciach WAN i tunelach VPN, aby uzyskać dostęp do zasobów rozproszonych w całym przedsiębiorstwie. Model ten staje się jeszcze bardziej skomplikowany w przypadku dostępu do zasobów w chmurze. Jednak uniwersalny ZTNA eliminuje złożoność dzięki ujednoliconemu modelowi zabezpieczeń, który można wdrożyć w środowiskach lokalnych, chmurowych i hybrydowych. Takie podejście zapewnia spójną postawę bezpieczeństwa w całej organizacji i może wyeliminować potrzebę stosowania wielu rozwiązań bezpiecznego dostępu. Na przykład, jak donosi Nemertes, międzynarodowy klient usług IT zmniejszył liczbę narzędzi potrzebnych do zarządzania zdalnym dostępem z trzech do jednego dzięki wdrożeniu naszego uniwersalnego rozwiązania ZTNA.

Kolejną zaletą ZTNA jest zmniejszenie powierzchni ataku w sieci. Wdrażając podejście Zero Trust, organizacje ograniczają dostęp tylko do tych, którzy go wymagają. Zapewnia to, że jeśli atakujący uzyska dostęp do sieci, nie jest w stanie poruszać się na boki i eskalować przywilejów, ponieważ nie miałby niezbędnych do tego poświadczeń. Takie podejście zapewnia również ochronę wrażliwych danych, ponieważ dostęp do nich mają tylko ci, którzy tego wymagają.

Wreszcie, uniwersalny dostęp do sieci Zero Trust zapewnia lepszą widoczność aktywności sieciowej. W przypadku tradycyjnych modeli zabezpieczeń skuteczne monitorowanie sieci może stanowić wyzwanie. Jednak dzięki uniwersalnemu ZTNA organizacje mogą zautomatyzować zasady dostępu i monitorowanie w celu zapewnienia zgodności z zasadami organizacyjnymi. Takie podejście zapewnia lepszą widoczność, pozwalając organizacjom na skuteczniejsze wykrywanie i reagowanie na cyberzagrożenia, ponieważ 83% respondentów badania Nemertes odnotowało znaczną redukcję incydentów bezpieczeństwa po wdrożeniu Appgate SDP.

Dzięki takim korzyściom, jak: adaptacyjny, kontekstowy dostęp, elastyczna architektura i zmniejszone koszty ogólne, uniwersalne ZTNA pozwala organizacjom bezpiecznie i szybko korzystać z nowych technologii, wykorzystywać bezpieczeństwo jako przewagę konkurencyjną i zmniejszać koszty operacyjne.

Appgate SDP: Dostęp Zero Trust zaprojektowany domyślnie

Bezpieczeństwo przedsiębiorstwa nie jest łatwe – sieci są rozbudowane, aplikacje i wymagania stale się zmieniają, a wymagania biznesowe często kolidują z wymogami zgodności i bezpieczeństwa.

Appgate SDP, najbardziej wszechstronne w branży uniwersalne rozwiązanie dostępowe Zero Trust, zostało zaprojektowane tak, aby zapewnić elastyczność i kontrolę nad siecią w celu zabezpieczenia całego środowiska, na Twoich warunkach i bez kompromisów. Można je skonfigurować tak, aby spełniało wysokie wymagania w zakresie bezpieczeństwa i zgodności z przepisami, niezależnie od topologii i złożoności sieci. Appgate SDP został zaprojektowany w oparciu o 5 filarów:

• Zamaskowana infrastruktura
• Tożsamość-centryczna
• Dynamiczność i ciągłość działania
• Mikrogranice
• Programowalny i adaptowalny

Filary te zapewniają, że klienci korporacyjni mogą wdrożyć adaptacyjny i skuteczny bezpieczny dostęp między użytkownikami a zasobami oraz między zasobami, zbudowany na zasadzie najmniejszego uprzywilejowania w ramach bezpieczeństwa Zero Trust.

Artykuł powstał na podstawie bloga naszego partnera, firmy Appgate.

Wiele napisano o podstawowych koncepcjach autoryzacji pojedynczych pakietów (SPA), wyrafinowanej formie blokowania portów, która pomaga ukryć porty internetowe, które pozostawione w stanie otwartym są łatwym celem dla aktorów zagrożeń. Przewodnik CSA po specyfikacji Zero Trust Software Defined Perimeter (SDP) podnosi SPA jako kluczową zasadę projektowania architektury. A więc, jeśli chodzi o Zero Trust Network Access (ZTNA), które zbudowane jest na zasadach SDP, co by było, gdyby uproszczona koncepcja SPA mogła być jeszcze lepsza niż jest?

Appgate SDP, nasze uniwersalne rozwiązanie ZTNA zbudowane dla złożonych sieci przedsiębiorstw, posiada zastrzeżony mechanizm TCP/UDP SPA, który wykorzystuje najlepsze z obu opcji protokołu i może zatwierdzić, kto jest w stanie „otworzyć drzwi” do sieci przedsiębiorstwa. A to tylko jeden składnik naszego lepszego „sekretnego sosu SPA”, jeśli tak można powiedzieć.

Zanim zagłębimy się w to, co sprawia, że implementacja SPA w Appgate SDP jest lepsza, można znaleźć informacje na ten temat w poprzednich blogach: Dlaczego drzwi Twojej sieci są wciąż otwarte? oraz Uczyń zasoby niewidocznymi dzięki autoryzacji pojedynczego pakietu.

Teraz przyjrzyjmy się najważniejszym cechom implementacji SPA wbudowanej w Appgate SDP:

Izolowana dystrybucja kluczy: Appgate SDP stosuje ogólny ochronny system dystrybucji kluczy, który wykorzystuje określone klucze dla każdej interakcji. Istnieją klucze używane przez Klientów do interakcji z Kontrolerami, a klucze te są unikalne w stosunku do kluczy używanych do komunikacji z Bramami w ramach danej witryny. Podobnie, interakcje pomiędzy Kontrolerami, Bramami i innymi urządzeniami są chronione unikalnymi kluczami SPA.

Ochrona przed spoofingiem (przydział klucza zmiennego): Kolejną ważną zaletą podejścia Appgate SDP SPA w stosunku do typowej implementacji SPA jest fakt, że nie wykorzystuje ono statycznych kluczy dla żądań autoryzacji. W przypadku kluczy statycznych zły aktor może sfałszować pakiet SPA i uzyskać dostęp do danego zasobu krytycznego. Implementacja SPA w Appgate SDP wykorzystuje klucz zmienny, co oznacza, że w ciągu kilku sekund generowany jest nowy klucz, a sfałszowany pakiet SPA otrzymuje odmowę dostępu, ponieważ klucz sfałszowany jest przestarzały.

Ochrona przed replikacją: Każda informacja SPA jest również spreparowana w specjalny sposób, aby złośliwi użytkownicy nie mogli go odtworzyć, powtórzyć lub wykonać innych działań, które mogłyby zagrozić każdej interakcji autoryzacyjnej.

A jeśli chodzi o klientów, to właśnie korzyści „uczynienia zasobów niewidocznymi” wynikające z autoryzacji pojedynczego pakietu i naszej solidnej implementacji są przez nich wymieniane jako jeden z głównych powodów, dla których kochają Appgate SDP.

Aby zapoznać się z podstawami SPA i pełną listą tego, co sprawia, że nasza implementacja SPA jest wyjątkowa, przeczytaj dokument, który obejmuje dodatkowe korzyści, w tym pełną weryfikację autoryzacji, ochronę użytkowników za Bramami NAT i zapewnione dostarczanie SPA wraz z diagramami przepływu SPA dla osób o zaawansowanych umiejętnościach. A czy wiesz, że SPA pomaga również chronić przed atakami DDoS? Sprawdź nasz dokument na ten temat tutaj.

Oryginalny wpis znajduje się na stronie producenta, firmy Appgate.

Zarządzanie dostępem uprzywilejowanym jest krytycznym elementem zarządzania tożsamością w strategii redukcji ryzyka cybernetycznego. Zagrożenia często dotyczą kont z nadmiernymi uprawnieniami w celu uzyskania nieautoryzowanego dostępu, przeniesienia wrażliwych danych, prowadzenia złośliwych działań lub innych form złośliwego zachowania. Stosując skuteczne narzędzia zarządzania uprawnieniami, organizacje mogą znacząco zmniejszyć powierzchnię ataku i ograniczyć potencjalne szkody wynikające z naruszenia bezpieczeństwa lub zagrożeń wewnętrznych. Polityki wspierające zasadę najmniejszego uprzywilejowania i ograniczające dostęp do uprzywilejowanych zasobów mogą pomóc w ograniczeniu ryzyka wystąpienia incydentów bezpieczeństwa oraz zachować poufność, integralność i dostępność krytycznych danych i zasobów.

Azure Active Directory (AAD) Privileged Identity Management (PIM) ułatwia zarządzanie uprzywilejowanym dostępem do Azure AD i zasobów Azure poprzez wymuszenie modelu bezpieczeństwa Zero Standing Privilege (ZSP). Model ten przyznaje użytkownikom podwyższone uprawnienia dostępu tylko w razie potrzeby i na określony czas, zamiast zapewniać stały dostęp. Dzięki PIM organizacje mogą przyznać dostęp Just-in-Time (JIT) do uprzywilejowanych ról, przypisać tymczasowe lub ograniczone czasowo role oraz wymagać wieloczynnikowego uwierzytelniania przy podnoszeniu roli. Kontrole te pomagają organizacjom zmniejszyć powierzchnię ataku i zapobiec nieautoryzowanemu dostępowi do wrażliwych danych i zasobów, poprawiając tym samym ogólną postawę bezpieczeństwa.

Aby jeszcze bardziej zwiększyć bezpieczeństwo, organizacje mogą egzekwować stosowanie sprzętowych kluczy bezpieczeństwa, takich jak klucze Yubikey, w celu aktywacji podwyższania uprawnień za pomocą PIM, w oparciu o dostęp warunkowy z wykorzystaniem mocnych stron uwierzytelniania i kontekstu uwierzytelniania. Funkcja Authentication Strengths może teraz umożliwić organizacjom granularne egzekwowanie silnego, odpornego na phishing uwierzytelniania wieloczynnikowego (MFA) w oparciu o odpowiednie modele zagrożeń, takie jak wymaganie kluczy Yubikey przy użyciu FIDO2 lub uwierzytelniania opartego na certyfikatach (CBA). Takie podejście zapewnia większą kontrolę w zakresie wzmacniania postawy bezpieczeństwa organizacji.

Uwierzytelnianie etapowe to środek bezpieczeństwa, który wymaga od użytkowników dodatkowej weryfikacji podczas uzyskiwania dostępu do ważnych zasobów lub wykonywania wrażliwych zadań. Może ono obejmować takie elementy jak uwierzytelnianie wieloczynnikowe, w którym użytkownicy muszą podać dodatkowe informacje poza swoimi zwykłymi danymi uwierzytelniającymi do logowania. Dzięki warunkowemu dostępowi do uwierzytelniania kontekstowego organizacje mogą egzekwować silne środki bezpieczeństwa w przypadku wrażliwych zadań, takie jak wymóg korzystania z klucza sprzętowego, takiego jak Yubikey. Dzięki zastosowaniu kontekstowego egzekwowania zasad, organizacje mogą zapewnić, że wrażliwe operacje są zawsze weryfikowane przy użyciu najsilniejszych możliwych metod uwierzytelniania.

Tożsamość jest teraz płaszczyzną kontrolną, a włączenie MFA jest pojedynczym, najbardziej kluczowym krokiem, jaki organizacje mogą podjąć w celu zabezpieczenia swoich użytkowników. Uprzywilejowane tożsamości wymagają ściślejszej kontroli, ponieważ są bardziej podatne na ataki związane z tożsamością, które mogą zagrozić informacjom, zakłócić działanie i spowodować utratę reputacji. Dlatego kluczowe znaczenie ma wdrożenie rozwiązań, które mogą bezpiecznie zarządzać i monitorować dostęp uprzywilejowany w całym środowisku cyfrowym.

Dzięki funkcjom Azure PIM, Conditional Access Authentication Context i Authentication Strengths organizacje mogą zabezpieczyć podnoszenie uprawnień poprzez zapewnienie dostępu JIT i wymuszenie MFA w celu aktywacji dowolnej uprzywilejowanej roli za pomocą kluczy Yubikey.

Aby uzyskać dodatkowe informacje na temat zarządzania dostępem uprzywilejowanym i jego znaczenia dla Twojej firmy, sprawdź naszą stronę tutaj. Aby zobaczyć krok po kroku, jak połączyć rozwiązanie Azure PIM z kluczem YubiKey, obejrzyj nasz film poniżej.

Oryginalny wpis znajduje się na stronie producenta, firmy Yubico.

Zero Trust to podróż, a nie cel. Jest to sposób myślenia lub filozofia, a nie technologia, którą można kupić. Końcowym celem tej podróży jest dojrzałość programu bezpieczeństwa od dorozumianego zaufania do adaptacyjnego, zwinnego systemu Zero Trust zbudowanego na dostępie o najmniejszych uprawnieniach.

Korzyści są ogromne… organizacja może wprowadzać innowacje i rozwijać się, jednocześnie poprawiając bezpieczeństwo i obniżając ryzyko. Model dojrzałości Zero Trust może pomóc w identyfikacji i ustaleniu priorytetów i wskaźników umożliwiających osiągnięcie celów związanych z Zero Trust. Prześledź ścieżki dojrzałości, aby zrozumieć każdy etap i kroki, które możesz podjąć, aby rozwinąć swoją strategię bezpieczeństwa.

Podróż „Zero Trust” ma wpływ na pięć kluczowych obszarów opisanych poniżej, które są zgodne z definicjami stworzonymi przez Agencję Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA). Dojrzałość odzwierciedla przechodzenie z jednej fazy do następnej w ramach filarów:

·      Tożsamości: Użytkownicy lub podmioty uwierzytelnione przez dostawcę tożsamości i jednoznacznie określone przez zestaw atrybutów.

·      Urządzenia: Sprzęt, który łączy się z siecią, w tym internet rzeczy (IoT), telefony komórkowe, laptopy, serwery i inne.

·      Sieci/otoczenie: Każde otwarte medium komunikacyjne używane w wewnętrznej sieci przedsiębiorstw, sieci bezprzewodowe, publiczne/prywatne, publiczne/prywatne sieci w chmurze oraz Internet.

·      Aplikacje/obciążenia: Cały stos aplikacji, niezależnie od tego, czy są obsługiwane w chmurze lub wewnątrz sieci organizacji, od warstwy aplikacji poprzez hypervisor lub samodzielne komponenty przetwarzania.

·      Dane: Informacje przesyłane na urządzeniach, w aplikacjach i sieciach które muszą być zabezpieczone, skategoryzowane, sklasyfikowane i zaszyfrowane w stanie spoczynku jak i w tranzycie.

Więcej można przeczytać, pobierając dokument w postaci PDF ze strony producenta.

Ostra konkurencja na rynkach globalnych napędza „szybsze, inteligentniejsze, lepsze” inicjatywy transformacji cyfrowej zbudowane na AI i uczeniu maszynowym, IoT, analityce danych i przyjęciu chmury. Ale rozbieżna mozaika starszych narzędzi bezpieczeństwa może znacznie utrudnić produktywność. Dlatego organizacje wdrażają system Zero Trust Network Access (ZTNA), który łatwo skaluje się wraz z planami rozwoju przedsiębiorstwa i zapewnia szybki, bezpieczny dostęp na żądanie dla pracowników i stron trzecich do zasobów, których potrzebują do wykonywania pracy.

Korzyści w zakresie bezpieczeństwa, działalności operacyjnej i biznesowej związane z Zero Trust Network Access są powszechnie znane, ponieważ przyspieszone przyjęcie ZTNA sprawia, że jest to najszybciej rozwijający się segment bezpieczeństwa sieciowego, zgodnie z prognozą Gartnera na rok 2023 dotyczącą wydatków na bezpieczeństwo i zarządzanie ryzykiem na świecie.

Jednak nie wszystkie rozwiązania dostępu Zero Trust są jednakowe, dlatego przy ocenie dostawców ZTNA istotne jest zbadanie ich wysokiej wydajności i możliwości skalowania z kilku bardzo ważnych powodów związanych z wydajnością i bezpieczeństwem przedsiębiorstwa:

• Doświadczenie użytkownika: Kompleksowe ZTNA ma zapewnić bezproblemowe doświadczenie użytkownikom, niezależnie od ich lokalizacji lub urządzenia. Użytkownicy powinni mieć możliwość szybkiego i łatwego dostępu do zasobów bez doświadczania jakichkolwiek opóźnień lub przerw. Wysoka wydajność jest niezbędna, aby zapewnić, że zasoby są dostarczane w czasie rzeczywistym, a użytkownicy mogą pracować wydajnie.
• Ciągłość biznesowa: Dostępność 24/7 zapewnia, że użytkownicy znajdujący się w dowolnym miejscu mogą uzyskać dostęp do zasobów rozproszonych wszędzie, kiedy tylko ich potrzebują. Wszelkie przestoje lub przerwy mogą mieć poważne konsekwencje dla działalności biznesowej i produktywności. Wysoka dostępność i skalowalność są niezbędne, aby zapewnić, że rozwiązanie może obsługiwać duże ilości ruchu i użytkowników, bez doświadczania problemów z wydajnością lub przestojów.
• Bezpieczeństwo: Rozwiązania ZTNA polegają na egzekwowaniu zasad w czasie rzeczywistym i kontekstowych kontrolach dostępu w celu zapewnienia, że dostęp do zasobów mają tylko uprawnieni użytkownicy i urządzenia. Wymaga to wysokowydajnego przetwarzania danych, ruchu i zachowania użytkowników w celu identyfikacji zagrożeń oraz szybkiego i dokładnego egzekwowania zasad. Skalowalność jest również niezbędna, aby zapewnić, że rozwiązanie może obsługiwać duże ilości ruchu i użytkowników bez uszczerbku dla bezpieczeństwa.

Dlaczego Appgate SDP?

Appgate SDP, najbardziej kompleksowe rozwiązanie ZTNA w branży, oferuje kilka punktów różnicujących. Na przykład, jego bramy działają całkowicie niezależnie od siebie, co pozwala na skalowanie ich do dowolnej liczby w witrynie. A rozproszona natura witryn zapewnia dodatkową korzyść w postaci wyeliminowania punktów węzłowych sieci VPN o ograniczonej przepustowości.

Ta zdecentralizowana architektura pozwala użytkownikom łączyć się bezpośrednio z dotychczasowymi zasobami, zwirtualizowanymi obciążeniami lub instancjami w chmurze. Pomaga to w przezwyciężeniu wad wydajności sieci, których niektóre organizacje doświadczają w przypadku rozwiązań innych producentów, noszących oznaczenie ZTNA, ale nie spełniających oczekiwań, ponieważ nadal opierają się na scentralizowanym routingu hostowanym w chmurze lub pojedynczym punkcie węzłowym.

Gdy bramy Appgate SDP są wdrażane na fizycznym sprzęcie, wykazano, że przewyższają one VPN nawet 10-krotnie. Nasze urządzenie Ax-G5 z kartą sieciową 10Gb (NIC) może zapewnić przepustowość ponad 9Gb/s i nadal mieć 50% pojemności vCPU dostępnej dla innych zadań!

Z takim poziomem wydajności dostępnym teraz na niedrogim urządzeniu fizycznym, zespoły sieciowe przedsiębiorstw mogą praktycznie rozważyć rezygnację z wykorzystania tradycyjnie zarządzanych od dziesięcioleci sieci, scentralizowanej architektury VPN, masywnych urządzeń sprzętowych i pojedynczych punktów przecięcia, które aktorzy zagrożeń mogą wykorzystać do uzyskania dostępu do sieci.

Jednak nie wszystkie przedsiębiorstwa chcą korzystać z fizycznych urządzeń – zamiast tego wolą używać hiperwizorów, które normalnie dzieliłyby czasowo wszystkie NIC pomiędzy maszyny wirtualne. Takie podejście wiąże się z kosztem zmniejszenia prędkości sieci i dużego obciążenia procesora.

Bramy Appgate SDP zostały tak zaprojektowane, aby w pełni wykorzystać standard sprzętowy Single Root I/O Virtualization (SR-IOV) z 2007 roku, który umożliwia urządzeniom PCI Express, takim jak NIC, pojawienie się na magistrali PCI Express wielu wirtualnych NIC. Te NIC replikują zwykłe zasoby sprzętowe pozwalając bramom Appgate SDP działać bardziej jak na fizycznych urządzeniach.

Chociaż nie daje to takiej samej wydajności w zakresie wykorzystania CPU, SR-IOV umożliwia osiągnięcie dowolnej przepustowości sieci – w tym przypadku prawie 25Gb/s z trzema VM Gateways na jednym hoście:

Poprzez staranne planowanie rozmieszczenia wirtualnych bram Appgate SDP, możliwe jest całkowicie osiągnięcie przepustowości 100Gb/s, jeśli byłoby to wymagane! Można to zrobić przy użyciu tylko trzech dość skromnych (około $10K) hostów VM, każdy wyposażony w kartę 40Gbe NIC.

Tak więc, teraz, gdy scena jest już ustawiona dla szerszego przyjęcia kompleksowego dostępu do sieci Zero Trust … niech rozpocznie się wydajność.

Aby uzyskać więcej szczegółów na temat skali i wydajności Appgate SDP, przeczytaj przewodnik techniczny.

Na podstawie bloga Appgate.