Защита подключений по принципам нулевого доверия Zero trust, часть 3

Коллеги, приветствую!

Этой статьей продолжаю цикл про концепцию и существующие решения организации безопасного доступа к защищённым внутренним ресурсам и сервисам Компаний - концепцию нулевого доверия zero trust.

Сегодня я расскажу об еще одном решении этого класса - NetFoundry.

Принцип работы решения похож на Safe-T из предыдущей статьи, только здесь сделан упор на облачных технологиях и организации высокой скорости и доступности для плохих каналов связи.

Решение NetFoundry появилось в ответ на потребности бизнеса нового времени - когда бизнес растет в том числе географически, и дальнейшие инвестиции в развитие и масштабирование собственной инфраструктуры за счёт собственного оборудования и телекоммуникаций становится слишком дорогим. Возникает необходимость рассмотреть инфраструктуру как сервис, либо использование публичных облаков.

Другая проблема - следствие географического развития - проблемы инфраструктуры удаленных локаций. Поэтому необходимо использовать существующие каналы связи, которые зачастую могут быть ограничены 3G.

В связи с этим основное назначение NetFoundry - предоставление сети, как сервиса (NaaS - Network as a service) с учетом этих потребностей.

NetFoundry решает задачи:

1) Построение программно-определяемого периметра SDN, включающего внутренние защищённые сервисы, сервисы внешних поставщиков, а также ресурсы компании в частных и публичных облаках - в едином защищённом периметре с единой точкой управления - из облака NetFoundry;

2) NetFoundry применима для организации связи с любой системой, комплексом, устройствами пользователей, edge, IoT, IIoT, пограничными системами вычислений;

3) Оптимизация скорости доступа к удаленным системам и сервисам с учётом доступной пропускной способности. В результате прирост производительности может достигать 200-500% по сравнением с организацией доступа через классический VPN.

В результате применения NetFoundry, компания выстраивает себе виртуальную сеть с высоким уровнем защиты подключений, в которую объединены удаленные филиалы, ЦОД, пограничные устройства, другие участники бизнес-экосистемы, сервисы и решения, расположенные в частных облаках.

Безопасность NetFoundry основана на следующих ключевых технологиях:

1) Идентификация, аутентификация и авторизация. Любые попытки доступа блокируются, включая возврат в ответах каких-либо мета-данных, не позволяя хакеру получить какую-либо информацию для планирования атаки. Поддерживается работа с аппаратным корнем доверия. Есть встроенная двунаправленная проверка сертификатов, либо можно использовать инфраструктуру PKI компании;

2) «Экстремальная» микросегментация сервисов (технология NetFoundry AppWANs), когда каждая сессия доступа выделяется в отдельный виртуальный слой, изолированный от других сессий;

3) Невидимость: пограничные элементы инфраструктуры NetFoundry (ZiTi Routers) не отвечают никаким запросам, не связанным с авторизованными в экосистеме NetFoundry. Инициация любых соединения выполняется только через исходящие соединения;

4) Шифрование каналов передачи данных (шифрование проводится для каждой сессии подключения по отдельности). Также есть API, которое можно использовать для встраивания шифрования в уровень приложения или сервиса;

5) Динамическая модель канала связи ZiTi Fabric. Канал связи до приложения, который создается под конкретную сессию, постоянно меняется - в цепочке связи между пользователем и сервисом модули NetFoundry перестраиваются. Одни отключаются, и подключаются новые, постоянно меняя структуру канала для сессии. Модель меняется в соответствии с алгоритмами корректировки и оптимизации скорости подключения;

6) Интеграции: интегрируется с аппаратными корнями доверия, решениями по управлению идентификационными данными пользователей, SIEM решениями. Все реализовано на уровне микросервисов и встроенных механизмов API и SDK. Таким образом, можно построить связанную экосистему безопасности - защищенную производительную сеть компании с виртуальными границами.

Теперь пару слов о том, как обеспечивается высокая скорость связи.

NetFoundry использует механизм подключаемых транспортных уровней - автоматически подбирает те протоколы, которые оптимальны по скорости в каждом конкретном случае подключения, например QUIC (Google).

Спасибо, что дочитали до конца! Если будет интересно, я могу показать принцип работы решения в виртуальном окружении в демонстрационной зоне.

В следующей статье я расскажу о последнем решением, с которым мне удалось работать, от самого известного производителя в области кибербезопасности - Broadcom (Symantec) Secure Access Cloud.