Защита подключений по принципам нулевого доверия Zero trust, часть 2
Коллеги, приветствую!
Сегодня я продолжаю цикл статей о подходе к защите передачи данных по принципам нулевого доверия (zero trust). В прошлой статье я описал принцип работы концепции. В этой статье я расскажу о реализации подхода zero trust от производителя - Safe-T.
Компания Safe-T была основана в 2013 году, сконцентрирована на разработке и развитии только одно одноименного программного продукта, и за время работы накопила богатый опыт в реализации концепции нулевого доверия, включая запатентованные технологии защиты. В этом году компания пришла на рынок России и СНГ.
Компания возникла в ответ на запрос рынка - получить унифицированное решение для безопасного доступа к ресурсам компании, которое объединяет в себе возможности работы с VPN, организацию программно-определяемого периметра SDP и мультифакторную аутентификацию и при этом поддерживать работу с устаревшими системами заказчиков, которые нельзя вывести безопасно наружу за пределы защищённой корпоративной сети.
Итак, основная задача решения: обеспечить безопасный доступ к внутренним сервисам и системам компании из публичных сетей - для сотрудников, подрядчиков или других систем, организованных в цепочку поставки.
Второе применение системы: выстроить безопасный канал связи между внутренними системами в корпоративной сети и системами заказчика, расположенными во внешних частных облаках или в публичных сервисах типа Amazon, Azure, Google Cloud и других.
Основные функциональные блоки решения:
- SDN - организация программно определяемого периметра;
- VPN - организация безопасного доступа к внутренним сервисам и службам из публичных сетей;
- MFA - мультифакторная авторизация.
Архитектура решения также очень простая - она состоит из трёх виртуальных машин (детальнее могу рассказать голосом, если будет интерес):
1) Управление осуществляется через Access controller, который устанавливается в защищенной корпоративной сети. К нему подключаются внутренние сервисы, AD или IDM решения, привязываются решения для мультифакторной авторизации. Этот же модуль связывается с двумя другими, которые находятся в DMZ зоне, с помощью односторонней связи - требуется только outbound соединение (запатентованная технология защищённого реверсивного доступа). Этот модуль отвечает за предоставление и блокировку доступа к внутренним системам компании;
2) Authentication controller - модуль, который устанавливается в сети DMZ. Сотрудники подключаются к нему и через него проходят процесс аутентификации и мультифакторной авторизации;
3) Access gateway - модуль, который также устанавливается в сети DMZ и отвечает только за организацию обмена данными между сотрудников и сервисом по цепочке: сотрудник - access gateway - access controller - внутренний сервис.
Плюс Safe-T в том, что решение не требует установки агента. Поэтому это очень полезный и удобный способ организации безопасного доступа с личных и мобильных устройств сотрудников, с устройств подрядчиков, и для организации прозрачного доступа к данным и сервисам для топ менеджмента Компаний.
Не всегда компании готовы отказаться от уже существующих VPN решений, поскольку в них вложены значительные инвестиции. В этом случае Safe-T умеет интегрироваться в уже существующие VPN шлюзы. При этом получается двойной уровень защиты: сотрудники компании подключаются к VPN шлюзу привычным для них образом, после чего авторизуются через Safe-T для предоставления доступа к конкретному сервису.
Помимо организации удаленного доступа есть еще несколько интересных примеров применения Safe-T:
- Организация защищённой работы с корпоративной почтой с мультифакторной авторизацей;
- Интеграция с IDM решением для предоставления временного доступа к ресурсам компании на время согласованных работ;
- Сбор данных и управление пограничными edge устройствами.
Решение умеет работать как из облака, так и on-premise вариант, когда все компоненты разворачиваются в инфраструктуре заказчика.
Ключевые компоненты защиты от Safe-T:
- Мультифакторная аутентификация;
- Запатентованная технология реверсивного доступа к ресурсам;
- Физическое разделение уровней доступа к сервису и уровня авторизации и аутентификации;
- Отказ от необходимости использовать уязвимые протоколы передачи данных.
Низкая стоимость дает возможность использовать решение не только enterprise компаниям, но и сегменту SMB.
Преимущества решения:
- Работает с любых устройств без агента;
- Быстро и просто настраивается - за минимальное время разворачивает продуктивная среда, готовая для тысяч одновременных подключений. Делается это на уже существующей инфраструктуре;
- Реализация доступа к ресурсам на уровне конкретного сервиса для одного конкретного пользователя;
- Учетные записи может забирать не только из AD, но и любого IDM решения.
Спасибо, что дочитали до конца! У нас развернута демо-зона Safe-T - можем показать, как решение работает, а также готовы бесплатно провести тестирование решения в вашей инфраструктуре.
Если тема интересна, дайте пожалуйста, обратную связь, и я буду продолжать цикл статей.