使用 Microsoft Entra ID 探索零信任访问安全性的原因
随着混合云模型已成为常态,现在跨环境保持一致的访问安全变得更加困难。 如果没有传统网络边界,许多传统的安全工具就不再有效,而威胁和攻击者也变得更加老练。 传统的身份验证协议也存在风险,成为一种常见的攻击媒介。 需要进行重大转变才能跟上。
全球各地的组织都在采用零信任原则来保护当今的现代分布式环境。 你的也应该这样吗? 这篇博文将讨论如何以及为何应该考虑使用 F5 和 Microsoft Entra ID(以前称为 Azure Active Directory)实现零信任。
对零信任安全的需求不断增加
零信任在过去几年中获得了显著的发展。 虽然 61% 的组织表示他们迄今已经实施了战略性零信任举措,但几乎所有组织都计划很快实施。1
与假设网络内的一切都值得信赖的传统安全概念不同,零信任遵循“永不信任,始终验证”的原则。 这种方法假设威胁存在于网络外部和内部,要求对试图访问资源的每个用户、设备和应用进行持续验证。
如何保障远程访问
远程工作一直是零信任采用的关键驱动因素,因为需要对现代应用程序和通常对任务至关重要的传统应用程序进行更细粒度的安全访问。 即使实施重返办公室计划,截至 2024 年 5 月,79% 的美国远程工作者仍然处于混合或完全远程办公状态。2 这一现实大大扩大了组织的攻击面,并使验证访问请求变得更加困难。
零信任应用程序访问的一个主要优势是能够使用上下文(而不仅仅是凭证)逐个应用程序地评估请求。
F5 BIG-IP 访问策略管理器 (APM)作为身份感知代理,提供一个中央控制点,用于根据用户身份和上下文单独验证每个访问请求。 这可确保用户只能访问特定的、授权的应用和资源,而不是整个网络,从而消除用户的水平移动并限制攻击面。
上下文还可以帮助识别使用被盗凭证或暴力攻击的登录尝试,以提供额外的保护。 BIG-IP APM 还可以在访问决策中考虑第三方行为分析,以获得更多背景信息。
通过 Microsoft Entra ID 集成简化安全访问
管理对云和本地应用混合的访问可能具有挑战性。 Microsoft Entra ID 为数千个 SaaS应用提供单点登录 (SSO) 和多因素身份验证 (MFA) 功能,并支持零信任策略引擎 Microsoft Entra Conditional Access。 BIG-IP APM 和 Microsoft Entra ID 共同将 SSO 和 MFA 功能扩展到混合云环境产品组合中的每个应用程序,适用于现代、传统和自定义应用。
并非每个应用程序都与传统 SSO 解决方案兼容;旧版应用程序可能使用较旧的身份验证方法。 重复登录未启用 SSO 的应用程序会让用户感到沮丧,并经常导致他们不注意,从而可能成为攻击者的受害者。 它还要求用户为每个应用程序创建密码,这可能导致密码重复使用,为攻击者窃取一组用户凭据并获取更多应用程序的访问权限提供了机会。
为了防止出现此问题,F5 BIG-IP APM 可以充当转换器,以实现对几乎任何应用程序的 SSO 访问。
无论您的应用托管在 Azure、本地还是通过其他云提供商,F5 都可以作为集中式访问前端,提供一致的用户体验。 跨环境的集中管理也需要您的安全团队减少持续的努力。
保护应用免遭攻击
虽然安全访问是零信任安全模型的焦点,但应用安全也应该成为您策略的一部分。 遵循零信任原则,您的应用将被视为位于不受信任的网络上,这些网络容易受到 Web应用和 API 攻击。 因此,您需要保护每个应用和 API 端点,而不仅仅是网络。
F5 提供Web应用防火墙 (WAF)来保护所有应用和应用程序部署,并提供全面的API 安全性,可与 Microsoft Azure 配合使用以防御 OWASP Web App Top 10 和 API Top 10 中的威胁。
将 F5 零信任安全引入 Azure
F5 全面的安全解决方案可与 Azure 以及您的其他混合或多云环境无缝集成,以实施严格的安全策略、简化访问权限管理并保护所有应用中的敏感数据(无论其位于何处)。
访问f5.com/azure了解更多信息。
来源
1. Okta, 《2023 年零信任安全状况》 ,2023 年 10 月
2. 盖洛普,混合工作,2024 年 5 月