Überdenken Sie Ihre Zugriffsstrategie, denken Sie über Corp hinaus

Vor Jahren erklärte Forrester das alte Sicherheitsmantra „Vertrauen ist gut, Kontrolle ist besser“ für tot und prägte den Begriff „Zero Trust“. Das Argument war, dass wir allem auf der Grundlage einer anfänglichen erfolgreichen Authentifizierung vertrauten, danach aber nie eine wirkliche Überprüfung durchführten. Wie üblich durchlaufen Schlagworte wie diese einen Hype-Zyklus, der mit großer Aufregung beginnt und oft kurzfristig nicht zu viel Aktion führt. Zero Trust und seine Ableger (die Anwendung ist der neue Perimeter usw.) finden mittlerweile in realen Architekturen und Implementierungen Anklang. Google, ein großer Befürworter dieser Sicherheitsstrategie, hat bei deren Umsetzung große Fortschritte gemacht und war sogar so freundlich, den Umsetzungsprozess öffentlich zu machen. Sie haben es BeyondCorp genannt.

Google hat vor Kurzem einen Blog -Beitrag veröffentlicht, um für seine vierte Forschungsarbeit zu diesem Thema zu werben. Darin wird beschrieben, wie das Unternehmen während des langen Migrationsprozesses seine Produktivität aufrechterhielt. Um die BeyondCorp-Architektur zusammenzufassen: Es gibt keinen Unterschied mehr zwischen Vor-Ort-Zugriff und Remote-Zugriff … es geht nur noch um Zugriff. Alle Authentifizierungs- und Zugriffsanforderungen folgen unabhängig vom Standort oder Gerät des Benutzers demselben Pfad durch ein zentrales Zugriffs-Gateway. Allerdings können Authentifizierungsaufforderungen und Zugriffsentscheidungen aufgrund einer Reihe von Risikofaktoren unterschiedlich ausfallen. Das Gateway bietet Authentifizierungsaufforderungen, ermöglicht aber auch eine feinkörnige, attributbasierte Zugriffskontrolle auf der Grundlage eines Risikoprofils. Dies sorgt für Konsistenz und Einfachheit für die Benutzer, was äußerst wertvoll ist, um die Wahrscheinlichkeit erfolgreicher Angriffe zu verringern (wie ich in früheren Schriften beschrieben habe).

Zur Veranschaulichung: Wenn ein Benutzer versucht, eine Verbindung mit der Webanwendung seines Unternehmens herzustellen, die nur Unternehmensankündigungen enthält, die auch öffentlich sein könnten (geringes Risiko), und versucht, die Verbindung von seinem Schreibtisch im Büro oder seinem vom Unternehmen bereitgestellten Laptop aus herzustellen (geringes Risiko), dann entscheide ich mich als Sicherheitsadministrator vielleicht dafür, für den Zugriff nur Benutzernamen und Kennwort anzufordern. Nehmen wir jedoch an, dass der Benutzer von einem Ort in Russland (hohes Risiko) und von einem unbekannten Gerät (hohes Risiko) aus versucht, eine Verbindung zu einer Finanzanwendung (hohes Risiko) herzustellen. Ich als Sicherheitsadministrator habe möglicherweise eine Richtlinie für mein Zugriffs-Gateway, die dies als zu riskant erachtet und den Zugriff verweigert oder den Benutzer zumindest auffordert, seine Identität mithilfe eines zweiten oder sogar dritten Faktors zu bestätigen. Darüber hinaus kann ich mithilfe einer feinkörnigen, attributbasierten Zugriffskontrolle entscheiden, Zugriffsanforderungen, die diesem Risikoniveau entsprechen, eine abgespeckte Form des Zugriffs zu erteilen, beispielsweise schreibgeschützten Zugriff statt Lesen/Schreiben.

Kommt Ihnen das bekannt vor? Wenn Sie einen IDaaS-Dienst wie den der F5-Partner Microsoft Azure AD, Ping oder Okta verwenden, tun Sie dies bis zu einem gewissen Grad bereits. Das BeyondCorp-Modell besteht zwar aus weiteren Komponenten, das Zugangs-Gateway ist jedoch zweifellos der Kern der gesamten Architektur. Google bietet seinen „Identity-Aware Proxy“ (IAP) jetzt auch anderen Unternehmen zur Nutzung an, allerdings nicht ohne Einschränkungen. Abgesehen davon, dass dies nur mit Apps auf der Google Compute Platform (GCP) genutzt werden kann, bemerkten einige Kunden Herausforderungen hinsichtlich der Granularität und Flexibilität der Zugriffskontrolle, wünschten sich eine konfigurierbare Sitzungsdauer, pro Anwendungsrichtlinien statt pro GCP, und die Möglichkeit einer flexiblen, schrittweisen Authentifizierung mit einem zweiten Faktor.

Nicht zufällig bietet F5 eine Zugriffslösung an, die diese und weitere Funktionen bietet. Und es funktioniert für ALLE Ihre Umgebungen und nicht nur für Apps, die sich innerhalb von GCP befinden. Ob vollständig in der Cloud oder auf hybride Weise, F5 bietet eine sichere, zentralisierte und skalierbare Zugriffslösung, die zu jeder Architektur passt. Weitere Informationen finden Sie unter f5.com/apm .