visão geral da solução

F5 BIG-IP APM Proxy com reconhecimento de identidade (IAP): O portal para uma arquitetura Zero Trust

Proxy Gateway da F5 para arquitetura de Zero Trust

Proteção de redes privadas virtuais

À medida que o trabalho em casa ou remoto se torna a norma, as organizações devem fornecer acesso seguro e autorizado a aplicativos e recursos, independentemente de onde o aplicativo ou o usuário esteja localizado. Muitas organizações contam com redes privadas virtuais (VPNs) para proteger o acesso de usuários remotos a aplicativos e recursos. Mas, embora as VPNs permitam acesso seguro aos usuários, elas também podem ser difíceis de manejar.

Se um usuário acessa um aplicativo na sua rede via VPN e, em seguida, acessa uma nuvem pública ou um aplicativo de Software como Serviço (SaaS), os dados e o código do aplicativo nativo na nuvem ou SaaS passam pela sua rede e depois para o usuário. Isso pode criar um gargalo na VPN. E isso pode aumentar a latência, afetando negativamente a experiência do usuário e a produtividade. Além disso, VPNs podem ser hackeadas . Houve muitos casos em que uma VPN foi vítima de um ataque man-in-the-middle (MITM) insidioso, principalmente se o usuário estiver acessando recursos e aplicações em um local remoto através de um Wi-Fi público.Isso pode acontecer até mesmo com trabalhadores domésticos, pois o roteador doméstico pode ser infectado, permitindo ataques MitM e roubo de dados. O acesso VPN também usa a abordagem de segurança de “castelo e fosso”, agora ultrapassada: Se o usuário tiver as credenciais corretas, ele poderá acessar qualquer aplicativo e recurso ao qual esteja autorizado na sua rede. Embora conveniente, esse tipo de acesso pode ser desastroso para sua organização. Até mesmo um usuário confiável e conhecido pode, inadvertidamente e sem saber, se tornar uma ameaça interna.

Os invasores podem iniciar ataques de preenchimento de credenciais no login VPN da sua organização para obter acesso à sua rede, aplicativos e dados. Eles podem roubar dados, instalar malware adicional na sua rede, assumir o controle da conta de um usuário e lançar ataques de comprometimento de e-mail comercial (BEC). Eles podem até se mover horizontalmente dentro da sua rede para infectar outros usuários ou roubar mais dados. Pior ainda, eles podem se mover para cima ou para baixo na sua rede e atacar sua cadeia de suprimentos. Pode ser prejudicial para sua organização, usuários e até mesmo seus parceiros e fornecedores.

O avanço de uma arquitetura de Zero Trust

Muitas organizações como a sua estão adotando uma arquitetura Zero Trust . O Zero Trust incentiva a abordagem da segurança como se os invasores já tivessem se infiltrado na sua rede e estivessem à espreita, esperando a oportunidade de lançar o ataque. Uma abordagem Zero Trust à segurança elimina a ideia de um insider confiável dentro de um perímetro de rede definido. Ele pressupõe que haja um perímetro de rede seguro limitado, ou mesmo inexistente, diferentemente da abordagem de segurança de “castelo e fosso” que tem sido empregada há décadas. E com muitos aplicativos migrando para nuvens públicas ou sendo substituídos por aplicativos SaaS , e recursos de rede sendo usurpados por aqueles nas nuvens, uma abordagem Zero Trust é mais relevante e aplicável do que nunca.

O axioma Zero Trust é: “Nunca confie, sempre verifique”. Nunca confie em usuários, mesmo que eles já tenham sido autenticados, autorizados e tenham acesso a aplicativos e recursos. Sempre verifique e analise a identidade do usuário, o tipo e a integridade do dispositivo, a localização, os aplicativos e recursos aos quais o acesso está sendo solicitado e muito mais. E verifique não apenas no momento em que um usuário solicita acesso, mas durante todo o tempo em que ele tem acesso ao aplicativo ou recurso e em cada solicitação e tentativa de acesso subsequente. Uma abordagem Zero Trust significa aplicar direitos de privilégio mínimo ao acesso do usuário; ou seja, permitir que os usuários acessem apenas os aplicativos e recursos aos quais estão autorizados e restringir seu acesso a um único aplicativo ou recurso por vez.

Os princípios básicos de uma arquitetura Zero Trust são identidade e contexto. Sempre garanta que o usuário é quem ele diz ser, utilizando uma fonte de identidade confiável e verificável. E garanta que somente o usuário certo acesse com segurança o aplicativo certo, na hora certa, com o dispositivo certo, com a configuração certa, no lugar certo.

Proxy com reconhecimento de identidade: O gateway para Zero Trust

A conscientização de identidade e contexto também é o que o Identity Aware Proxy (IAP) permite e entrega. O Identity Aware Proxy fornece acesso seguro a aplicativos específicos, aproveitando uma abordagem detalhada para autenticação e autorização do usuário. O IAP permite apenas acesso ao aplicativo por solicitação, o que é muito diferente da abordagem de acesso amplo das VPNs, que aplicam acesso baseado em sessão. A diferença está entre limitar o acesso do usuário a um aplicativo ou recurso específico ao qual ele tem autorização de acesso e permitir que ele acesse todos os aplicativos ou recursos aos quais ele tem autorização de acesso. A centralização da autorização permite que controles de acesso no nível do aplicativo sejam criados.

O contexto é vital no IAP. Ele permite a criação e a aplicação de políticas granulares de acesso a aplicativos com base em atributos contextuais, como identidade do usuário, integridade do dispositivo e localização do usuário, para citar apenas alguns. O IAP depende de controles de acesso no nível do aplicativo, não de regras impostas na camada de rede. As políticas configuradas refletem a intenção e o contexto do usuário e do aplicativo, não portas e endereços IP. Por fim, o IAP exige uma raiz forte de identidade confiável para verificar usuários e seus dispositivos e para impor rigorosamente o que eles estão autorizados a acessar.

O que é Identity-Aware Proxy?

O Identity Aware Proxy é o principal no F5 BIG-IP Access Policy Manager (APM). O BIG-IP APM e o F5 Access Guard fornecem Identity Aware Proxy, usando uma validação de modelo Zero Trust para cada solicitação de acesso. Fornecendo acesso seguro autenticado e autorizado a aplicativos específicos, ele aproveita o melhor proxy de acesso da categoria da F5. O BIG-IP APM centraliza a identidade e a autorização do usuário. A autorização é baseada nos princípios de acesso menos privilegiado. Com sua abordagem IAP, o BIG-IP APM é capaz de examinar, encerrar e autorizar solicitações de acesso a aplicativos. A conscientização do contexto necessária para o Zero Trust obriga o desenvolvimento e a aplicação de políticas de autorização extremamente granulares. O BIG-IP APM, por meio de seu suporte IAP, oferece exatamente isso. Políticas dentro do BIG-IP APM podem ser criadas para verificar a identidade do usuário, verificar a adequação e a postura do dispositivo e validar a autorização do usuário.

Você também pode criar políticas para:

  • Confirmar a integridade e a sensibilidade da aplicação
  • Confirmar a acessibilidade de hora e data
  • Limitar ou interromper o acesso se a localização do usuário for considerada incorreta, inadequada ou insegura
  • Solicitar formas adicionais de autenticação — incluindo autenticação multifator (MFA) — se a localização do usuário ou a natureza confidencial do dispositivo ou a aplicação ou arquivos para os quais o acesso está sendo solicitado o justificar
  • Integrar dados de análise de comportamento de usuário e entidade (UEBA) e outras fontes de risco baseadas em API


Figura 1: Validações de identidade e contexto são vitais para garantir o acesso remoto mais seguro.

Para garantir que um dispositivo seja apropriado e seguro, e antes que o usuário possa ser autenticado e seu acesso ao aplicativo autorizado, o BIG-IP APM verifica a postura de segurança do dispositivo por meio do F5 Access Guard, que está incluído no BIG-IP APM. No entanto, o BIG-IP APM e o F5 Access Guard vão além de simplesmente verificar a integridade do dispositivo na autenticação. Em vez disso, eles fornecem verificações contínuas e constantes da postura do dispositivo, garantindo que os dispositivos do usuário não apenas atendam, mas sigam continuamente as políticas de segurança de endpoint durante todo o acesso do usuário ao aplicativo. E se o BIG-IP APM detectar qualquer alteração na integridade do dispositivo, ele pode limitar ou interromper o acesso do usuário ao aplicativo, limitando ou eliminando ataques potenciais antes que eles sejam lançados.

O Identity Aware Proxy também simplifica o acesso a aplicativos para trabalhadores remotos ou em casa e habilita e protege melhor a acessibilidade de aplicativos para sua organização. Como o acesso VPN permite que os usuários acessem qualquer aplicativo ou recurso ao qual estejam autorizados, ele não adere a um modelo Zero Trust. No entanto, o Identity Aware Proxy permite que os usuários solicitem acesso a um aplicativo específico diretamente e tenham proteção de criptografia. Isso reduz significativamente sua necessidade de VPNs, economizando tempo e custos para sua organização, ao mesmo tempo em que oferece uma alternativa mais segura.

Uma ponte de identidade para Zero Trust

No entanto, uma verdadeira abordagem de segurança Zero Trust exige que o acesso a todos os aplicativos aos quais um usuário pode ser autorizado seja protegido, incluindo aplicativos que não são nativos da nuvem pública ou oferecidos como Software como Serviço (SaaS). Isso deve incluir até mesmo aplicativos clássicos ou personalizados que podem não funcionar com identidade baseada em nuvem, como Identidade como Serviço (IDaaS). Muitos desses aplicativos permanecem no local, em um data center ou em uma nuvem privada. A maioria desses aplicativos também oferece suporte a métodos de autenticação clássicos, como Kerberos, baseados em cabeçalho ou outros. Eles não conseguem oferecer suporte a protocolos modernos de autenticação e autorização, como Secure Assertion Markup Language (SAML) ou OpenID Connect (OIDC) e OAuth. Eles não podem oferecer suporte à federação de identidade, logon único (SSO) ou mesmo MFA.

O BIG-IP APM resolve esse problema. O BIG-IP APM, trabalhando em estreita colaboração com provedores de IDaaS, incluindo Microsoft (Azure Active Directory), Okta e outros, preenche a lacuna de identidade entre a autenticação moderna e a clássica. O BIG-IP APM é capaz de garantir que aplicativos clássicos e personalizados possam oferecer suporte à federação de identidade e SSO. Isso não apenas melhora a experiência do usuário, simplificando o acesso ao aplicativo ao centralizar o controle de acesso, mas também garante que uma fonte de identidade segura e confiável esteja em vigor. Ao habilitar o MFA para todos os aplicativos, o BIG-IP APM protege todos os aplicativos contra acesso inapropriado e habilita outra camada de segurança para garantir o acesso apropriado aos aplicativos. O BIG-IP APM é um ponto de controle único e centralizado para gerenciar e proteger o acesso do usuário aos aplicativos, onde quer que estejam hospedados.


Figura 2: O BIG-IP APM é um ponto de controle único e centralizado para proteger e gerenciar o acesso dos usuários aos aplicativos, onde quer que estejam hospedados.

Conclusão

O F5 BIG-IP APM, por meio de seu suporte ao Identity Aware Proxy, permite a implantação de acesso a aplicativos Zero Trust. O BIG-IP APM fornece acesso a aplicativos por solicitação, ao mesmo tempo em que protege e gerencia o acesso a todos os aplicativos, independentemente de sua localização e métodos de autenticação e autorização. Ele oferece a escalabilidade e a confiabilidade sinônimas do F5 e aproveita a arquitetura de proxy completo líder do setor do F5.

O BIG-IP APM com Identity-Aware Proxy reduz os custos de infraestrutura, aumenta a segurança de aplicações e aprimora as experiências de usuário e administrativa.