F5 Edge 客户端 7.2.1: 提高网络和 Webapplication访问的安全性并简化用户体验
F5 最近发布了新版本的 F5 Edge Client(v7.2.1)。 对于那些不熟悉 F5 Edge Client 的人来说,它是一个 SSL VPN 客户端,用于为在家或远程位置工作的员工提供对企业网络的访问。 它与BIG-IP 访问策略管理器 (APM)一起使用,这是 F5 的安全、高度可扩展的访问权限管理代理解决方案,可为应用和 API 提供集中访问控制,并且在配置为身份感知代理 (IAP) 时还可实现零信任应用访问。 F5 Edge Client 可确保家庭和远程工作人员的远程访问安全。 F5 Edge Client 可在 Apple macOS 和 Microsoft Windows 上使用。 (F5 还为 Apple iOS、Google Android 和 Chrome OS 平台提供 SSL VPN 客户端 - F5 Access 客户端。 F5 Access 客户端可分别从 Apple App Store、Google Play Store 和 Chrome Web Store 下载。)
旧版本的 F5 Edge Client 支持数据报传输层安全性 (DTLS) 版本 1.0,用于远程连接、保护和隧道传输延迟敏感应用。
F5 Edge Client 7.2.1 现支持 DTLS 1.2,这使得企业和政府机构及部门能够满足新的合规性要求,并停止使用存在许多安全限制的 DTLS 1.0。 DTLS 1.2 允许客户端/服务器应用进行通信,而不必担心窃听、篡改或消息伪造。
此版本的另一个新功能允许基于名称的分割隧道配置与 DNS 负载平衡的服务一起工作。 即使后续名称解析导致不同的 IP 地址,这也允许持续的长寿命连接(例如流媒体服务使用的连接)。
组织部署 BIG-IP APM 来为其用户(员工、承包商和其他人)提供对其网络的远程访问,并提供对企业应用的安全远程访问。 为了减少摩擦并提高用户的灵活性,组织必须提供对 Web应用及其网络的无缝访问,而无需用户多次登录。 鉴于冠状病毒大流行导致被迫在家或远程办公的用户数量激增,这一点尤为重要。
F5 Edge Client 7.2.1 最令人兴奋的新功能是它能够在 Web 和远程访问应用之间提供单点登录 (SSO)。
F5 Edge Client 7.2.1 使用开放身份验证 (OAuth) 授权代码流从 OAuth 授权服务器获取访问令牌。 然后使用该访问令牌对 BIG-IP APM 进行身份验证,以获得对组织企业网络的安全远程访问。 F5 Edge Client 7.2.1 可与任何兼容的 OAuth 授权服务器配合使用,并通过 Azure AD、Okta、Google 和 Ping Identity 授权服务器的验证。
通过利用 OAuth 授权代码流,新版本的 F5 Edge Client 将身份验证委托给用户的外部浏览器。 由于用户身份验证是通过外部浏览器执行的,F5 Edge Client 现在可以支持组织授权服务器可能支持的所有新型现代身份验证方法,包括:
- 使用生物识别技术(例如指纹扫描或面部识别或 PIN)从已注册的 Microsoft Windows 设备进行无密码身份验证。
- 2第二因素身份验证器,例如 Yubico 的 YubiKey,符合通用第二因素 (U2F)规范。 U2F 设备可以通过基于网络的注册流程进行注册,而无需任何客户端软件或驱动程序。
- 通过使用第三方或内置身份验证器,可以从任何 Windows 或 macOS 设备进行FIDO2身份验证,而无需额外的驱动程序或客户端软件来启用这些身份验证器。
F5 Edge Client 7.2.1 通过在浏览器中执行身份验证和利用 FIDO2 身份验证,使企业能够实现多种优势,例如增强的安全性、提高的可用性和便利性、增强的最终用户隐私以及可扩展性。
FIDO2 加密登录凭据永远不会离开用户的设备,也不会存储在服务器上。 因此,这消除了与网络钓鱼、所有形式的密码盗窃和重放攻击相关的风险。
用户可以使用简单的内置方法(例如设备上的指纹读取器或摄像头)或利用易于使用的 FIDO 安全密钥来解锁加密登录凭据。 用户可以选择最适合其需求并符合其组织政策的设备。 此外,由于身份验证上下文在浏览器中维护,因此用户在使用 F5 Edge Client 连接到其组织的网络后尝试访问 Web应用时无需再次登录。
由于 FIDO 加密密钥对于每个站点都是唯一的,因此它们不能用于跨站点跟踪用户,从而增强了用户隐私。 此外,生物特征数据在使用时永远不会离开用户的设备。
最后,可以通过基于 Web 的工作流程注册并启用 FIDO 2 身份验证器。 这使得部署可以非常轻松地扩展。
BIG-IP Edge Client 作为独立包提供,可安装在运行 13.1.0 或更高版本的 BIG-IP APM 上。 有关 F5 Edge Client 最新版本 (v7.2.1) 的更多信息,请参阅发行说明、兼容性矩阵和管理指南。