Viele Organisationen wie Ihre führen eine Zero-Trust-Architektur ein. Zero Trust empfiehlt, die Sicherheit so anzugehen, als hätten Angreifer Ihr Netzwerk bereits infiltriert und würden lauern und auf die Gelegenheit warten, ihren Angriff zu starten. Ein Zero-Trust-Sicherheitsansatz eliminiert die Vorstellung eines vertrauenswürdigen Insiders innerhalb eines definierten Netzwerkperimeter. Dabei wird davon ausgegangen, dass ein begrenzter oder gar kein sicherer Netzwerkperimeter vorhanden ist – im Gegensatz zum seit Jahrzehnten praktizierten Sicherheitsansatz „Burg und Graben“. Und da viele Anwendungen in öffentliche Clouds migriert oder durch SaaS-Anwendungen ersetzt werden und Netzwerkressourcen von denen in den Clouds usurpiert werden, ist ein Zero-Trust-Ansatz relevanter und anwendbarer denn je.

Das Zero-Trust-Axiom lautet: „Vertraue nie, überprüfe immer.“ Vertrauen Sie niemals Benutzern, auch wenn diese bereits authentifiziert und autorisiert wurden und ihnen Zugriff auf Anwendungen und Ressourcen gewährt wurde. Überprüfen und prüfen Sie stets die Benutzeridentität, den Gerätetyp und die Geräteintegrität, den Standort, die Anwendungen und Ressourcen, auf die zugegriffen werden soll, usw. Führen Sie die Überprüfung nicht nur zu dem Zeitpunkt durch, an dem ein Benutzer den Zugriff anfordert, sondern während der gesamten Zeit, in der er Zugriff auf die Anwendung oder Ressource hat, sowie bei jeder nachfolgenden Zugriffsanforderung und jedem nachfolgenden Zugriffsversuch. Bei einem Zero-Trust-Ansatz werden für den Benutzerzugriff die geringsten Privilegien angewendet. Dies bedeutet, dass Benutzern nur der Zugriff auf die Anwendungen und Ressourcen gestattet wird, für die sie eine Berechtigung haben, und ihr Zugriff auf jeweils nur eine Anwendung oder Ressource beschränkt wird.

Die Kernprinzipien einer Zero-Trust-Architektur sind Identität und Kontext. Stellen Sie immer sicher, dass ein Benutzer der ist, für den er sich ausgibt, indem Sie eine vertrauenswürdige, überprüfbare Identitätsquelle nutzen. Und stellen Sie sicher, dass nur der richtige Benutzer zur richtigen Zeit, mit dem richtigen Gerät, mit der richtigen Konfiguration und vom richtigen Ort aus sicher auf die richtige App zugreift.

Identitäts- und Kontextbewusstsein sind auch das, was Identity Aware Proxy (IAP) ermöglicht und liefert. Identity Aware Proxy bietet sicheren Zugriff auf bestimmte Anwendungen und nutzt dazu einen feinkörnigen Ansatz zur Benutzerauthentifizierung und -autorisierung. IAP ermöglicht den Anwendungszugriff nur auf Anforderung und unterscheidet sich damit deutlich vom umfassenden Zugriffsansatz von VPNs, die sitzungsbasierten Zugriff bieten. Der Unterschied besteht darin, dass Benutzer auf bestimmte Anwendungen oder Ressourcen beschränkt werden, für die sie eine Zugriffsberechtigung haben, und dass den Benutzern der Zugriff auf alle Anwendungen oder Ressourcen ermöglicht wird, für die sie eine Zugriffsberechtigung haben. Durch die Zentralisierung der Autorisierung können Zugriffskontrollen auf Anwendungsebene erstellt werden.

Der Kontext ist bei IAP von entscheidender Bedeutung. Es ermöglicht die Erstellung und Durchsetzung detaillierter Anwendungszugriffsrichtlinien auf Grundlage kontextbezogener Attribute, wie etwa Benutzeridentität, Geräteintegrität und Benutzerstandort, um nur einige zu nennen. IAP basiert auf Zugriffskontrollen auf Anwendungsebene und nicht auf auf Netzwerkebene auferlegten Regeln. Konfigurierte Richtlinien spiegeln die Absicht und den Kontext von Benutzern und Anwendungen wider, nicht Ports und IP-Adressen. Schließlich erfordert IAP eine starke Basis vertrauenswürdiger Identitäten, um Benutzer und ihre Geräte zu verifizieren und strikt durchzusetzen, auf welche Daten sie zugreifen dürfen.

Identity Aware Proxy ist der Hauptbestandteil von F5 BIG-IP Access Policy Manager (APM). BIG-IP APM und F5 Access Guard bieten Identity Aware Proxy und verwenden für jede Zugriffsanforderung eine Zero-Trust-Modellvalidierung. Es ermöglicht authentifizierten und autorisierten sicheren Zugriff auf bestimmte Anwendungen und nutzt den erstklassigen Zugriffsproxy von F5. BIG-IP APM zentralisiert Benutzeridentität und -autorisierung. Die Autorisierung basiert auf dem Prinzip des geringstprivilegierten Zugriffs. Mit seinem IAP-Ansatz ist BIG-IP APM in der Lage, Anwendungszugriffsanforderungen zu prüfen, zu beenden und zu autorisieren. Die für Zero Trust erforderliche Kontextsensitivität erfordert die Entwicklung und Durchsetzung äußerst granularer Autorisierungsrichtlinien. BIG-IP APM bietet genau das durch seine IAP-Unterstützung. Innerhalb von BIG-IP APM können Richtlinien erstellt werden, um die Benutzeridentität zu verifizieren, die Eignung und Haltung des Geräts zu prüfen und die Benutzerautorisierung zu validieren.

Sie können auch Richtlinien für Folgendes erstellen:

• Bestätigen Sie die Integrität und Vertraulichkeit der Anwendung
• Bestätigen Sie die Erreichbarkeit mit Uhrzeit und Datum
• Beschränken oder unterbinden Sie den Zugriff, wenn der Standort des Benutzers als falsch, unangemessen oder unsicher erachtet wird.
• Fordern Sie zusätzliche Formen der Authentifizierung an – einschließlich der Multi-Faktor-Authentifizierung (MFA) –, wenn der Standort des Benutzers oder die Sensibilität des Geräts oder der Anwendung oder Dateien, auf die zugegriffen werden soll, dies rechtfertigen.
• Integrieren Sie Daten aus der Benutzer- und Entitätsverhaltensanalyse (UEBA) und anderen API-gesteuerten Risikoquellen

Um sicherzustellen, dass ein Gerät geeignet und sicher ist und bevor der Benutzer authentifiziert und sein Anwendungszugriff autorisiert werden kann, überprüft BIG-IP APM die Sicherheitslage des Geräts über F5 Access Guard, das in BIG-IP APM enthalten ist. BIG-IP APM und F5 Access Guard gehen jedoch über die einfache Überprüfung der Geräteintegrität bei der Authentifizierung hinaus. Stattdessen führen sie kontinuierliche, fortlaufende Überprüfungen der Geräteposition durch und stellen so sicher, dass die Benutzergeräte die Endpunktsicherheitsrichtlinien während des gesamten Anwendungszugriffs des Benutzers nicht nur erfüllen, sondern auch kontinuierlich einhalten. Und wenn BIG-IP APM eine Änderung der Geräteintegrität erkennt, kann es den Anwendungszugriff des Benutzers einschränken oder stoppen und so potenzielle Angriffe begrenzen oder eliminieren, bevor sie gestartet werden können.

Identity Aware Proxy vereinfacht außerdem den Anwendungszugriff für Remote- oder Heimmitarbeiter und ermöglicht und sichert den Anwendungszugriff für Ihr Unternehmen besser. Da Benutzer über den VPN-Zugriff auf alle Anwendungen oder Ressourcen zugreifen können, für die sie eine Autorisierung besitzen, entspricht dieser Zugriff nicht dem Zero-Trust-Modell. Identity Aware Proxy ermöglicht es Benutzern jedoch, direkt Zugriff auf eine bestimmte Anwendung anzufordern und über Verschlüsselungsschutz zu verfügen. Dadurch wird Ihr Bedarf an VPNs erheblich reduziert, Ihr Unternehmen spart Zeit und Kosten und erhält zugleich eine sicherere Alternative.

Ein echter Zero-Trust-Sicherheitsansatz erfordert allerdings, dass der Zugriff auf alle Anwendungen, für die ein Benutzer autorisiert sein könnte, gesichert wird. Dies gilt auch für Anwendungen, die nicht nativ in der öffentlichen Cloud enthalten sind oder als Software-as-a-Service (SaaS) angeboten werden. Dies muss auch klassische oder benutzerdefinierte Anwendungen umfassen, die möglicherweise nicht mit Cloud-basierter Identität funktionieren oder nicht funktionieren können, wie etwa Identity-as-a-Service (IDaaS). Viele dieser Anwendungen verbleiben vor Ort, in einem Rechenzentrum oder in einer privaten Cloud. Die meisten dieser Anwendungen unterstützen auch klassische Authentifizierungsmethoden wie Kerberos, Header-basiert oder andere. Sie können moderne Authentifizierungs- und Autorisierungsprotokolle wie Secure Assertion Markup Language (SAML) oder OpenID Connect (OIDC) und OAuth nicht unterstützen. Sie unterstützen weder Identitätsföderation, Single Sign-On (SSO) noch MFA.

BIG-IP APM löst dieses Problem. BIG-IP APM arbeitet eng mit IDaaS-Anbietern wie Microsoft (Azure Active Directory), Okta und anderen zusammen und schließt die Identitätslücke zwischen moderner und klassischer Authentifizierung. BIG-IP APM kann sicherstellen, dass klassische und benutzerdefinierte Anwendungen Identitätsföderation und SSO unterstützen können. Dies verbessert nicht nur Ihr Benutzererlebnis, indem es den Anwendungszugriff durch Zentralisierung der Zugriffskontrolle vereinfacht, sondern gewährleistet auch, dass eine sichere, vertrauenswürdige Identitätsquelle vorhanden ist. Durch die Aktivierung von MFA für alle Anwendungen schützt BIG-IP APM alle Anwendungen vor unangemessenem Zugriff und aktiviert eine weitere Sicherheitsebene, um einen angemessenen Anwendungszugriff zu gewährleisten. BIG-IP APM ist ein einzelner, zentralisierter Kontrollpunkt zum Verwalten und Sichern des Benutzerzugriffs auf Anwendungen, unabhängig davon, wo diese gehostet werden.

F5 BIG-IP APM ermöglicht durch seine Unterstützung für Identity Aware Proxy die Bereitstellung eines Zero Trust-Anwendungszugriffs. BIG-IP APM ermöglicht anforderungsbezogenen Anwendungszugriff und sichert und verwaltet gleichzeitig den Zugriff auf alle Anwendungen, unabhängig von ihrem Standort sowie den Authentifizierungs- und Autorisierungsmethoden. Es bietet die für F5 typische Skalierbarkeit und Zuverlässigkeit und nutzt die branchenführende Vollproxy-Architektur von F5.

BIG-IP APM mit Identity Aware Proxy reduziert die Infrastrukturkosten, erhöht die Anwendungssicherheit und verbessert Ihr Benutzer- und Verwaltungserlebnis.