解决方案概述
F5 BIG-IP APM 身份感知代理 (IAP): 零信任架构之门
保护虚拟专用网络
随着在家或远程工作成为常态,组织必须提供对应用和资源的安全、授权的访问,无论应用或用户位于何处。 许多组织依靠虚拟专用网络 (VPN) 来保护远程用户对应用和资源的访问。 不过,尽管 VPN 能够实现安全的用户访问,但它们也可能不太实用。
如果用户通过 VPN 访问您网络上的应用,然后访问公共云或软件即服务 (SaaS)应用,则原生云或 SaaS 应用程序的数据和代码将通过您的网络传递,然后再传递给用户。 这会在 VPN 内部造成瓶颈。 这会增加延迟,对用户体验和生产力产生负面影响。 此外, VPN 还容易受到黑客攻击。 在许多情况下,VPN 都会成为阴险的中间人 (MitM) 攻击的受害者,特别是当用户通过公共 Wi-Fi 访问远程位置的资源和应用时。 这种事情甚至可能发生在家办公的人身上,因为他们家里的路由器可能被感染,从而引发中间人攻击和数据盗窃。 VPN 访问也使用了现已过时的“城堡和护城河”安全方法: 如果用户具有正确的凭证,他们就能够访问网络内他们被授权的任何应用和资源。 虽然很方便,但这种访问方式可能会给您的组织带来灾难性的后果。 即使是值得信赖的、已知的用户也可能不知不觉地成为内部威胁。
攻击者可以对您组织的 VPN 登录发起撞库攻击攻击,以访问您的网络、应用和数据。 他们可以窃取数据、在您的网络上植入其他恶意软件、接管用户帐户并发起商业电子邮件泄露 (BEC) 攻击。 它们甚至可以在您的网络内水平移动以感染其他用户或窃取更多数据。 更糟糕的是,它们可以在您的网络内上游或下游移动并攻击您的供应链。 这可能会对您的组织、用户甚至您的合作伙伴和供应商造成损害。
零信任架构的进步
许多像您这样的组织正在采用零信任架构。 零信任鼓励以这样的方式对待安全性,就好像攻击者已经渗透到您的网络并且潜伏着,等待机会发动攻击。 零信任安全方法消除了在定义的网络边界内存在可信内部人员的想法。 它假设安全网络边界有限,甚至没有安全边界,这与几十年来一直采用的“城堡和护城河”安全方法不同。 随着许多应用迁移到公共云或被 SaaS应用取代,以及网络资源被云中的资源所侵占,零信任方法比以往任何时候都更加相关和适用。
零信任的公理是“永不信任,始终验证”。 永远不要相信用户,即使他们已经通过身份验证、授权并被授予访问应用和资源的权限。 始终验证并审查用户身份、设备类型和完整性、位置、请求访问的应用和资源等。 不仅在用户请求访问时进行验证,而且在用户访问应用或资源的整个过程中以及每次后续访问请求和尝试时进行验证。 零信任方法意味着对用户访问应用最小特权;也就是说,只允许用户访问他们被授权的应用和资源,并且限制他们一次只能访问一个应用或资源。
零信任架构的核心原则是身份和背景。 始终利用可信、可验证的身份来源确保用户是其所声称的身份。 并确保只有正确的用户才能在正确的时间、使用正确的设备、以正确的配置从正确的地点安全地访问正确的应用程序。
身份识别代理: 零信任之门
身份感知和上下文感知也是身份感知代理 (IAP) 所支持和提供的功能。 身份感知代理利用细粒度的用户身份验证和授权方法提供对特定应用的安全访问。 IAP 仅支持按请求应用访问,这与应用基于会话的访问的 VPN 的广泛访问方法有很大不同。 区别在于,限制用户访问他们被授权访问的特定应用或资源,与允许他们访问他们被授权访问的每个应用或资源。 集中授权可以创建应用程序级的访问控制。
背景在 IAP 中至关重要。 它能够根据上下文属性(例如用户身份、设备完整性和用户位置等)创建和实施细粒度的应用访问策略。 IAP 依赖于应用程序级访问控制,而不是网络层强加的规则。 配置的策略反映用户和应用的意图和背景,而不是端口和 IP 地址。 最后,IAP 需要强大的可信身份根源来验证用户及其设备,并严格执行他们被授权访问的内容。
什么是身份识别代理?
身份感知代理是 F5 BIG-IP 访问策略管理器 (APM) 中的首要任务。 BIG-IP APM 和 F5 Access Guard 提供身份感知代理,对每个访问请求使用零信任模型验证。 它利用 F5 一流的访问代理,为特定应用提供经过身份验证和授权的安全访问。 BIG-IP APM 集中用户身份和授权。 授权基于最小特权访问原则。 通过其 IAP 方法,BIG-IP APM 能够检查、终止和授权应用访问请求。 零信任所需的情境感知迫使人们制定和实施极其精细的授权策略。 BIG-IP APM 通过其 IAP 支持实现了这一点。 可以创建 BIG-IP APM 内的策略来验证用户身份、检查设备的适当性和姿态以及验证用户授权。
您还可以创建策略来:
- 确认应用的完整性和敏感性
- 确认时间和日期的可访问性
- 如果用户的位置被视为不正确、不适当或不安全,则限制或停止访问
- 如果用户的位置或设备的敏感性质或请求访问的应用或文件需要,则请求其他形式的身份验证,包括多因素身份验证 (MFA)
- 整合来自用户和实体行为分析 (UEBA) 以及其他 API 驱动的风险源的数据
图 1: 身份和上下文验证对于授予最安全的远程访问至关重要。
为了确保设备合适且安全,并且在用户通过身份验证并授权其应用访问之前,BIG-IP APM 会通过 BIG-IP APM 中包含的 F5 Access Guard 检查其设备的安全态势。 但是,BIG-IP APM 和 F5 Access Guard 不仅仅是在身份验证时检查设备完整性。 相反,它们提供持续不断的设备态势检查,确保用户设备不仅满足而且在用户应用访问期间持续遵守端点安全策略。 如果 BIG-IP APM 感知到设备完整性发生任何变化,它可能会限制或停止用户的应用访问,从而限制或消除潜在攻击,防止其发动。
Identity Aware Proxy 还简化了远程或在家办公人员的应用访问,并更好地启用和保护了组织的应用可访问性。 由于 VPN 访问允许用户访问他们被授权的任何应用或资源,因此它不遵循零信任模型。 但是,Identity Aware Proxy 允许用户直接请求访问特定的应用并获得加密保护。 这大大减少了您对 VPN 的需求,节省了组织的时间和成本,同时提供了更安全的替代方案。
零信任的身份桥梁
然而,真正的零信任安全方法要求确保用户被授权访问的所有应用的安全,包括非公共云原生的应用或以软件即服务 (SaaS) 形式提供的应用程序。 这甚至必须包括可能不或不能与基于云的身份一起使用的经典或自定义应用,例如身份即服务 (IDaaS)。 许多此类应用仍保留在本地、数据中心或私有云中。 大多数此类应用还支持经典的身份验证方法,例如 Kerberos、基于标头的身份验证方法或其他方法。 它们无法支持现代身份验证和授权协议,如安全断言标记语言 (SAML)、OpenID Connect (OIDC) 和 OAuth。 它们无法支持身份联合、单点登录 (SSO) 甚至 MFA。
BIG-IP APM 解决了这个问题。 BIG-IP APM 与 Microsoft(Azure Active Directory)、Okta 等 IDaaS 提供商密切合作,弥合了现代和传统身份验证之间的身份差距。 BIG-IP APM 能够确保经典和自定义应用能够支持身份联合和 SSO。 这不仅可以增强您的用户体验,通过集中访问控制简化应用访问,而且还确保了安全、可信的身份来源。 通过为所有应用启用 MFA,BIG-IP APM 可保护所有应用免受不当访问,并启用另一层安全性以确保适当的应用访问。 BIG-IP APM 是一个单一的集中控制点,用于管理和保护用户对应用的访问,无论它们托管在何处。
图 2: BIG-IP APM 是一个单一的集中控制点,用于保护和管理用户对应用的访问,无论它们托管在何处。
结论
F5 BIG-IP APM 通过对身份感知代理的支持,实现零信任应用访问的部署。 BIG-IP APM 提供每个请求的应用访问,同时保护和管理对所有应用的访问,无论其位置、身份验证和授权方法如何。 它提供与 F5 同义的可扩展性和可靠性,并利用 F5 业界领先的全代理架构。
具有身份感知代理的 BIG-IP APM 可降低基础设施成本、提高应用安全性并增强用户和管理体验。