企业不应该在将第三方用户放在企业内部网络或根本不允许访问企业内部应用程序之间做出选择。当合作伙伴用户连接到网络时,他们将获得完整的网络访问权限,从而扩展网络的攻击面,并创建另一个入侵点。通过分割网络不起作用,而且会导致额外的复杂性。在许多情况下,第三方用户从不受信任网络上的不受信任设备启动连接,如果用户的设备感染了恶意软件并连接到网络,整个网络将处于危险之中,这可能导致数据泄露,损失数百万美元。更不用说对品牌声誉的严重打击。
采用一种现代的方法来确保第三方访问
1、应用程序访问,而不是网络访问:
2、为合作伙伴提供侵入可能最小的安全性
3、IT 赋能
通过零信任架构消除第三方风险
通过零信任架构消除第三方风险
零信任架构在默认情况下采用以用户和应用程序为中心的安全方法。
具有浏览器访问功能的零信任体系结构
-
浏览器访问服务:将流量重定向到IDP进行身份验证无需在设备上安装客户端;
-
PoP网关:保护用户到应用程序的连接实施所有定制的管理策略;
-
应用连接器:位于云和数据中心应用的前端监听对应用程序的访问请求没有入站连接;仅使用由内向外的连接进行响应。
浏览器访问如何轻松实现通过简单的 Web 搜索访问应用程序
-
用户尝试访问企业的内部 Web 应用程序。用户无需登录 VPN 客户端,只需在笔记本电脑、手机或平板电脑上打开任何 Web 浏览器并输入应用程序的 URL 即可;
-
用户连接到零信任安全浏览器访问服务,然后将流量引导到企业的IDP;
-
IDP首先对用户进行身份验证,然后授予SAML证书,然后将用户转发到零信任架构的PoP网关;
-
然后,零信任架构PoP网关接受SAML证书,并应用IT管理员创建的所有特定于个人的策略,使只有允许的web应用程序可访问;
-
零信任架构PoP网关向位于应用程序的应用程序连接器发送调度;
-
离web应用程序最近的连接器接收呼叫,并通过向零信任架构PoP网关发送由内而外的连接作出响应;
-
从用户到零信任架构PoP网关和应用连接器到零信任架构PoP网关的由内到外的连接被连接在一起,形成一个TLS加密的隧道,在授权用户和应用程序之间创建一个安全段,而不允许网络访问。
以数据为核心的下一代网络安全架构——美国国防部零信任战略和参考架构
原文始发于微信公众号(安全方案与实践):零信任架构实践-使用零信任架构保护合作伙伴安全访问
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论