资源解决方案指南

以应用程序为中心的世界中的零信任

零信任是一种强大、全面的安全策略,有助于更快、更安全地推动业务发展。 确保公司应用的安全对于防止数据泄露至关重要。 做得好还可以提高业务流程的效率和用户生产力。 零信任安全模型可以提供这种商业价值,但零信任不是一种产品。 相反,它是一种方法和一种准则,可以转化为安全的网络和应用架构。 本质上,它是一个解决方案生态系统,它们共同协作,确保网络内部或外部没有任何用户或设备默认受到信任,并且在获得应用访问权限之前需要进行验证。

近年来,尽管零信任并不是一个新概念,但它受到了广泛关注。 然而,这个概念在今天比以往任何时候都更加相关和重要,特别是当世界各地的公司都在努力解决如何在流行病和其他自然或人为紧急情况下运营和应对的时候。 随着全球各地的组织加速数字化转型计划,零信任成为每个组织都必须更好地理解的一个关键概念。

传统网络边界安全既定的“护城河和城堡”方法 - 只允许已知的、值得信赖的个人跨越“护城河”进入“城堡墙”,允许他们访问他们被授权访问的任何应用或资源 - 已经不再足够了。 随着在本地、多个云环境和软件即服务 (SaaS)应用之间部署或迁移的应用的兴起,以及移动和远程劳动力的不断增长,网络边界几乎消失了。

零信任消除了在定义边界内建立可信网络的想法。 今天,您必须假设攻击者已经在您的网络上,隐藏和潜伏,等待合适的时机发动攻击。 您需要应用最小权限的用户访问并尽可能地仔细审查用户、他们的设备、他们的访问权限等,并从内部和外部控制点获取更多背景信息和可见性。

为了实现零信任,您必须放弃“信任但要验证”的方法,并遵守以下原则:

  • 永远不要相信
  • 始终验证

目前没有任何供应商可以提供实现零信任环境所需的一切。 然而,F5 确实增加了价值并提供了部署全面零信任方法所需的关键组件。 凭借我们强大的应用安全产品组合以及在零信任环境中保护新控制点的能力,F5 为您提供了必要的构建模块,以实现“永不信任,始终验证”的方法来保护当今的应用,同时还为零信任添加了第三个原则“持续监控”。

从 F5 的角度来看,您需要保护以下四个控制点:

  • 访问应用的端点
  • 应用(无论它们是原生云或 SaaS 应用程序,还是经典和自定义应用)
  • 身份服务
  • 网络基础设施

那么,F5 如何帮助保护每个控制点的安全?

  • 对于访问应用的端点,F5 的可信应用访问解决方案为所有应用提供现代身份验证以及集中访问和控制。
  • 对于您的网络基础设施,F5 的应用基础设施安全解决方案可帮助保护您的网络免受攻击和入侵。
  • 对于您的应用,F5 提供应用层安全解决方案,在应用上或附近提供安全性并保护您的应用堆栈(从第 4 层到第 7 层)。
  • 对于身份服务,我们与微软OktaPing等公司建立了深度的合作伙伴关系。 通过将我们的可信应用访问解决方案与这些身份即服务 (IDaaS) 提供商相集成,F5 可帮助您弥合原生云和 SaaS 应用程序以及任务关键型经典和自定义应用之间的身份和身份验证差距,从而为所有用户提供对任何应用的统一、安全的访问体验。

F5 可以利用我们的可信application访问、应用基础设施安全和application层安全解决方案专门帮助您部署零信任模型。  

受信任的application访问

当谈到应用访问时,组织必须假设访问其站点的每个人都是恶意的。 与访问相关的违规行为持续增加,并且短期内没有减弱的迹象。

F5 BIG-IP 访问策略管理器 (APM)可保护、简化和集中对应用程序、API 和数据的访问,无论用户及其应用程序位于何处。 凭借其身份感知代理 (IAP) 功能,BIG-IP APM 部署了基于细粒度上下文和身份感知的零信任模型验证,从而保护每个应用访问请求。 它还在整个应用访问会话期间持续监控每个用户的设备完整性、其位置和其他应用访问参数。

BIG-IP APM 通过单点登录 (SSO) 增强用户体验,无论用户被授权访问任何应用,无论该应用程序托管在何处或需要何种身份验证方法(现代或传统身份验证),从而实现所有应用程序的通用用户体验。 通过使用 IAP,应用及其访问更加安全,有助于实现零信任应用访问。  BIG-IP APM 还为混合环境提供了通用架构,并支持创建和实施通用访问策略,以访问跨多个云的应用。

通过添加Shape Security以及确定不良行为者进行欺诈的能力,F5 现在能够更好地识别好用户并减少用户需要输入密码的次数。  这使用户能够获得更多他们被授权的服务,而无需创建额外的用户名/密码对 - 这是凭证盗窃和撞库攻击攻击、忘记密码、降低您的支持成本和增加您的营业额的主要来源。

应用基础设施安全

虽然网络边界已经缩小,但在可预见的未来它不会消失。 您的网络基础设施在确保本地、数据中心或私有云中的应用程序保持安全和可用以实现零信任方面发挥着重要作用。 可能严重影响您的网络、用户和数据的一个危险是隐藏在加密流量中的威胁。 

加密现已成为新常态。 现在大多数网页加载都已加密。 虽然这对于保护隐私很有好处,但它却使攻击者能够使用加密流量来隐藏恶意软件和其他恶意负载,以绕过安全控制。 今天,您必须假设您传入的加密流量中隐藏着恶意软件。 您还必须假设您的出站加密流量包含正在被泄露的敏感数据,或者正在与准备发动更多或更大规模攻击的恶意命令和控制服务器进行通信。

F5 SSL Orchestrator解决了试图访问您的网络的加密流量危险。 它通过揭露隐藏在加密流量中的恶意软件来消除安全盲点并阻止被盗数据的泄露。 它是用于协调入站和出站加密流量的专用解决方案。  它可以创建动态安全服务链,利用其上下文感知策略引擎和基于策略的流量控制,使您能够摆脱手动菊花链式连接安全堆栈中的解决方案的困境。 它还确保智能旁路,以防止您违反行业和政府隐私合规法规。 SSL Orchestrator 监控、负载平衡并确保您现有的安全解决方案的健康状况。 它还集中加密控制,节省管理员的时间和精力。

application层安全

事实是,任何组织中的应用都存在漏洞。 到目前为止,应用仍然是攻击的首要目标。 攻击者知道应用对您的企业有多重要,并且他们会积极尝试破坏您的应用程序,因为每个应用程序都可能成为您宝贵的知识产权和数据的后门(或前门)。 作为任何零信任策略的一部分,持续保护您的应用程序至关重要。

F5 在零信任架构中保护您的应用堆栈。 我们的 Web应用防火墙 (WAF) 解决方案,例如Advanced WAF(API 安全 - 新一代 WAF)Essential App ProtectSilverline WAF可防止常见漏洞和攻击,例如 OWASP Top 10 或 SQL/PHP 注入。 此外,基于 F5 领先的 WAF 技术构建并在我们的 NGINX Plus 软件上运行的NGINX App Protect是一款适用于现代应用环境的轻量级、高性能 WAF。

我们的 WAF 解决方案还可以通过我们的行为分析功能防御第 7 层 DoS 攻击,持续监控您的应用的运行状况。 F5 还提供凭证保护,以防止攻击者未授权访问您的用户帐户。 此外,随着 API 的使用日益增多,F5 可以保护它们并确保您的应用免受 API 攻击。

F5 使用 WAF 和 API 安全解决方案保护您的应用漏洞,同时我们还使用 Shape Security 解决方案保护您的业务逻辑免遭欺诈和滥用。

此外,F5 还提供我们的安全产品以适应您组织的零信任部署策略 - 自我管理、即服务或通过 Silverline 和 Shape Security 提供完全托管的服务。