Ivanti 和 F5: 零信任模型下的安全多云访问

过去,员工会使用同一台固定 PC(在现场,通常是在小隔间内)登录单个公司内部网来访问完成工作所需的一切内容。 渐渐地,这一过程发展到包括笔记本电脑和家用电脑,通过企业 VPN 登录以便从家里访问内联网。 当时,IT安全策略仅关注网络: 让用户输入密码才能进入前门,但一旦进入内部,他们通常可以根据需要四处走动。

现在这种方法看上去有些古怪。 当今的综合安全策略远远超出了网络安全的范围,还关注用户、资产和资源。 这种被称为“零信任网络安全”的模型不仅考虑到智能手机和平板电脑等现代设备,还承认当今的员工需要安全访问公司内联网之外的大量内容。 F5 和 Ivanti 携手合作,加强企业所有云应用的零信任网络安全。 其中包括部署在 Azure 或 AWS 等公共云服务上的企业应用,以及 Box、G Suite、Microsoft Office 365 和 Salesforce 等基于云的服务。

保护多云应用

组织需要能够控制所有用户(远程、移动和分布式)和所有应用(本地和多云)的安全访问。 F5 BIG-IP访问策略管理器(APM) 就是这样做的: 它可以保护、简化和集中对应用程序、API 和数据的访问——无论用户及其应用程序位于何处。 BIG-IP APM 可以轻松控制谁有访问权限、可以访问哪些应用以及可以从哪个网络进行访问 - 直至设备级别。 BIG-IP APM 甚至支持从公司网络进行单点登录 (SSO)。 BIG-IP APM 通过提供基于细粒度上下文的验证并保护每个应用程序访问请求,成为许多组织零信任安全模型的重要组成部分。

BIG-IP APM 包括一个可视化策略编辑器 (VPE)图形用户界面,可以轻松创建、编辑和管理身份感知、基于上下文的策略,包括确定哪些用户可以访问哪个云中的哪些应用的策略。

超越密码的安全性

除了验证用户身份之外,零信任移动安全还需要一个能够检查设备姿态和应用程序授权状态的统一端点管理 (UEM) 框架。 这确保只有受信任的用户、设备和应用程序才能从云端访问公司资源。 Ivanti 的零登录通过从移动应用程序和浏览器提供对云服务的条件访问来填补这一角色。 与传统的安全方法不同,零登录(以前称为 MobileIron Access)将用户身份与设备姿态和应用程序状态等独特信息源相关联。 Ivanti 零登录可确保:

  • 业务数据不能存储在不安全的设备上
  • 用户无法连接到非托管应用
  • 未经批准的云服务无法共享信息

除了提供在授予云访问权限之前验证用户、设备、应用程序和网络安全性的条件访问之外,Ivanti Zero Sign-On 还使 IT 组织能够轻松采用通用零登录 (ZSO) 和多因素身份验证 (MFA) 等前沿解决方案。 它们的工作原理如下:

除了提供在授予云访问权限之前验证用户、设备、应用程序和网络安全性的条件访问之外,Ivanti Zero Sign-On 还使 IT 组织能够轻松采用通用零登录 (ZSO) 和多因素身份验证 (MFA) 等前沿解决方案。 它们的工作原理如下:

  • 零登录使移动设备本身成为安全的企业 ID,从而消除了对密码的需要,从而实现了对生产力应用程序和内容的无缝访问。 在一个例子中,一位 Ivanti 客户报告说 ZSO 不仅降低了网络钓鱼攻击的风险,还将平均应用登录时间减少了 70% (从 7 秒减少到 2 秒)。 每个月 100,000 次登录就相当于节省了近 140 个小时的时间。
  • 当设备无法识别或不合规时,多因素身份验证就会介入,使用户能够快速验证其身份并通过推送通知保护其设备。 该技术还可用于通过一键注册快速轻松地设置新设备或用户。 Ivanti 还将 MFA 与 ZSO 合并以实现无密码 MFA ,利用生物识别、证书、设备姿态等多种因素来验证用户身份。
部署

已将 F5 BIG-IP APM 部署为其移动 UEM 平台一部分的 Ivanti 客户可以使用 BIG-IP APM 作为身份提供者 (IDP),同时在委托 IDP(或 IDP 链)模式下部署 Ivanti 零登录。 在这种情况下,BIG-IP APM 充当主要 IDP,但它依赖 Ivanti Zero-Sign-On 来实现其独特的身份验证功能。 例如,当请求进入 Salesforce 和 Office365 等云应用时,这些请求会由 BIG-IP APM 进行身份验证,然后再将请求转发到 Ivanti Zero Sign-On,以检查源设备确实受到管理。 对于非托管设备,Ivanti Zero Sign-On 会将请求交回 BIG-IP APM 以采取纠正措施,例如阻止、添加到拒绝列表等。

在上述部署中,BIG-IP APM 控制流量并实施安全策略。 只有移动端点 SSO 流量会被转发到 Ivanti Zero Sign-On 进行审查。

概括: 适合现代工作流程的零信任安全

随着企业越来越多地采用云服务、移动应用程序和智能设备的组合,IT 需要一种可扩展、集中的方式来应用策略并跟踪、监控和报告合规性。 Ivanti Zero Sign-On 和 BIG-IP APM 协同工作,提供基于标准的方法,保护组织的所有云服务,而无需专有集成。

Ivanti 服务管理解决方案总裁兼首席产品官 Nayaki Nayyar 表示,Ivanti“专为全球公司打造,用于保护和管理移动设备和应用程序”。 “通过与 F5 合作,我们可以为客户提供最佳的员工体验,同时改善应用交付、实施关键的安全策略,并最终提高移动生产力。”

部署 BIG-IP APM 与 Ivanti Zero Sign-On 的集成解决方案可确保只有获得批准的设备上的受信任和管理的用户才能访问公司资源;同时还为 IT 提供跨非托管设备的高水平可见性、控制力和安全性。 这种集成解决方案为最终用户和 IT 经理提供了无缝体验,使员工能够随时随地使用任何设备轻松访问关键数据并做出关键业务决策。

了解更多
挑战
  • 移动应用已成为企业用户访问云服务的主要方式
  • 传统的基于 PC 的安全解决方案不足以保护云中的数据
  • applications可以位于任何地方,并且可以随处访问——这意味着安全性必须涵盖公共云和私有云、移动设备、即服务平台以及本地应用程序和数据
好处
  • 根据设备、应用程序和云状态通过条件授权保护数据
  • 通过无缝 SSO 简化身份验证
  • 加速补救工作流程以确保持续的生产力
  • 维护详细日志以用于审计和合规性报告
  • 采用经过验证的基于标准的方法,支持可扩展、一流的云安全
  • 全面的端到端移动云安全平台不留任何漏洞