Защита подключений по принципам нулевого доверия Zero trust, часть 2

Защита подключений по принципам нулевого доверия Zero trust, часть 2

Коллеги, приветствую!


Сегодня я продолжаю цикл статей о подходе к защите передачи данных по принципам нулевого доверия (zero trust). В прошлой статье я описал принцип работы концепции. В этой статье я расскажу о реализации подхода zero trust от производителя - Safe-T.

Компания Safe-T была основана в 2013 году, сконцентрирована на разработке и развитии только одно одноименного программного продукта, и за время работы накопила богатый опыт в реализации концепции нулевого доверия, включая запатентованные технологии защиты. В этом году компания пришла на рынок России и СНГ.

Компания возникла в ответ на запрос рынка - получить унифицированное решение для безопасного доступа к ресурсам компании, которое объединяет в себе возможности работы с VPN, организацию программно-определяемого периметра SDP и мультифакторную аутентификацию и при этом поддерживать работу с устаревшими системами заказчиков, которые нельзя вывести безопасно наружу за пределы защищённой корпоративной сети.

Итак, основная задача решения: обеспечить безопасный доступ к внутренним сервисам и системам компании из публичных сетей - для сотрудников, подрядчиков или других систем, организованных в цепочку поставки.

Второе применение системы: выстроить безопасный канал связи между внутренними системами в корпоративной сети и системами заказчика, расположенными во внешних частных облаках или в публичных сервисах типа Amazon, Azure, Google Cloud и других.


No alt text provided for this image

Основные функциональные блоки решения:

  1. SDN - организация программно определяемого периметра;
  2. VPN - организация безопасного доступа к внутренним сервисам и службам из публичных сетей;
  3. MFA - мультифакторная авторизация.


Архитектура решения также очень простая - она состоит из трёх виртуальных машин (детальнее могу рассказать голосом, если будет интерес):

1) Управление осуществляется через Access controller, который устанавливается в защищенной корпоративной сети. К нему подключаются внутренние сервисы, AD или IDM решения, привязываются решения для мультифакторной авторизации. Этот же модуль связывается с двумя другими, которые находятся в DMZ зоне, с помощью односторонней связи - требуется только outbound соединение (запатентованная технология защищённого реверсивного доступа). Этот модуль отвечает за предоставление и блокировку доступа к внутренним системам компании;

2) Authentication controller - модуль, который устанавливается в сети DMZ. Сотрудники подключаются к нему и через него проходят процесс аутентификации и мультифакторной авторизации;

3) Access gateway - модуль, который также устанавливается в сети DMZ и отвечает только за организацию обмена данными между сотрудников и сервисом по цепочке: сотрудник - access gateway - access controller - внутренний сервис.


Плюс Safe-T в том, что решение не требует установки агента. Поэтому это очень полезный и удобный способ организации безопасного доступа с личных и мобильных устройств сотрудников, с устройств подрядчиков, и для организации прозрачного доступа к данным и сервисам для топ менеджмента Компаний.

Не всегда компании готовы отказаться от уже существующих VPN решений, поскольку в них вложены значительные инвестиции. В этом случае Safe-T умеет интегрироваться в уже существующие VPN шлюзы. При этом получается двойной уровень защиты: сотрудники компании подключаются к VPN шлюзу привычным для них образом, после чего авторизуются через Safe-T для предоставления доступа к конкретному сервису.

Помимо организации удаленного доступа есть еще несколько интересных примеров применения Safe-T:

  1. Организация защищённой работы с корпоративной почтой с мультифакторной авторизацей;
  2. Интеграция с IDM решением для предоставления временного доступа к ресурсам компании на время согласованных работ;
  3. Сбор данных и управление пограничными edge устройствами.


Решение умеет работать как из облака, так и on-premise вариант, когда все компоненты разворачиваются в инфраструктуре заказчика.

Ключевые компоненты защиты от Safe-T:

  • Мультифакторная аутентификация;
  • Запатентованная технология реверсивного доступа к ресурсам;
  • Физическое разделение уровней доступа к сервису и уровня авторизации и аутентификации;
  • Отказ от необходимости использовать уязвимые протоколы передачи данных.


Низкая стоимость дает возможность использовать решение не только enterprise компаниям, но и сегменту SMB.


Преимущества решения:

  • Работает с любых устройств без агента;
  • Быстро и просто настраивается - за минимальное время разворачивает продуктивная среда, готовая для тысяч одновременных подключений. Делается это на уже существующей инфраструктуре;
  • Реализация доступа к ресурсам на уровне конкретного сервиса для одного конкретного пользователя;
  • Учетные записи может забирать не только из AD, но и любого IDM решения.


Спасибо, что дочитали до конца! У нас развернута демо-зона Safe-T - можем показать, как решение работает, а также готовы бесплатно провести тестирование решения в вашей инфраструктуре.


Если тема интересна, дайте пожалуйста, обратную связь, и я буду продолжать цикл статей.

Чтобы просмотреть или добавить комментарий, выполните вход

Другие статьи участника Александр Иванов