零信任架构实践-使用零信任架构保护合作伙伴安全访问

admin 2024年10月27日22:04:44评论9 views字数 2068阅读6分53秒阅读模式

零信任架构实践-使用零信任架构保护合作伙伴安全访问

背景

企业不应该在将第三方用户放在企业内部网络或根本不允许访问企业内部应用程序之间做出选择。当合作伙伴用户连接到网络时,他们将获得完整的网络访问权限,从而扩展网络的攻击面,并创建另一个入侵点。通过分割网络不起作用,而且会导致额外的复杂性。在许多情况下,第三方用户从不受信任网络上的不受信任设备启动连接,如果用户的设备感染了恶意软件并连接到网络,整个网络将处于危险之中,这可能导致数据泄露,损失数百万美元。更不用说对品牌声誉的严重打击。

零信任架构实践-使用零信任架构保护合作伙伴安全访问

采用一种现代的方法来确保第三方访问

1、应用程序访问,而不是网络访问:

用户,特别是第三方合作伙伴,永远不应该被放在网络上。合作伙伴只需要访问内部应用程序,那么为什么要引入授予网络访问的不必要风险呢?安全的第三方访问需要建立在“最小的特权的基础”上,即只有授权的用户才能使用微隔离访问特定的应用程序。

2、为合作伙伴提供侵入可能最小的安全性

是的,企业需要保护其内部应用程序免受威胁,但第三方用户需要能够无缝访问它们。IT 不应被迫在一流的安全性或出色的用户体验之间做出选择。第三方访问需要通过快速轻松地访问企业专属应用程序来鼓励强大的合作伙伴关系,同时从不授予对实际网络的访问权限。

3、IT 赋能

IT 部门需要收回对应用程序活动和访问的可见性和控制。“可见性”不应再定义为用户 IP 地址和端口数据,网络分段也不应提供 IT 所需的访问控制级别。可见性需要与上下文相关、信息丰富且实时。IT 部门需要能够控制活动,具体到细粒度的用户、设备和指定应用程序级别。

零信任架构实践-使用零信任架构保护合作伙伴安全访问

通过零信任架构消除第三方风险

通过零信任架构消除第三方风险

现在,随着越来越多的业务集成需要第三方访问,以及威胁不断变得更加先进和激进,来自合作伙伴的风险只会升级。随着以网络为中心的保护合作伙伴访问的方法继续变得越来越不那么安全和有效。

零信任架构在默认情况下采用以用户和应用程序为中心的安全方法。

无论该用户是员工、供应商、承包商还是第三方合作伙伴,零信任架构都可以确保只有经授权的用户才能访问特定的内部应用程序,而无需访问该网络。
IT不再需要担心合作伙伴的网络将面临风险,因为用户从不被放置在网络上;相反,IT可以创建和强制执行细粒度策略,让用户只能通过由内而外的连接访问特定的应用程序。这些连接被完全加密,并按需旋转,以实现应用程序分割。这就意味着不再有享有过度特权的第三方用户了。
有了零信任架构的浏览器访问能力,合作伙伴的访问更加便捷。该功能允许第三方用户自由使用自己的BYOD设备,无缝、安全地访问内部web应用程序,利用任何不需要客户端的web浏览器。

零信任架构实践-使用零信任架构保护合作伙伴安全访问

具有浏览器访问功能的零信任体系结构

  1. 浏览器访问服务:将流量重定向到IDP进行身份验证无需在设备上安装客户端;

  2. PoP网关:保护用户到应用程序的连接实施所有定制的管理策略;

  3. 应用连接器:位于云和数据中心应用的前端监听对应用程序的访问请求没有入站连接;仅使用由内向外的连接进行响应。

零信任架构实践-使用零信任架构保护合作伙伴安全访问

浏览器访问如何轻松实现通过简单的 Web 搜索访问应用程序

第三方用户需要高效工作,需要访问内部应用程序,但没有人愿意下载另一家公司的远程访问客户端来进入他们的网络。使用零信任架构的浏览器访问,您不必这样做。以下是工作原理:
  1. 用户尝试访问企业的内部 Web 应用程序。用户无需登录 VPN 客户端,只需在笔记本电脑、手机或平板电脑上打开任何 Web 浏览器并输入应用程序的 URL 即可;

  2. 用户连接到零信任安全浏览器访问服务,然后将流量引导到企业的IDP;

  3. IDP首先对用户进行身份验证,然后授予SAML证书,然后将用户转发到零信任架构的PoP网关;

  4. 然后,零信任架构PoP网关接受SAML证书,并应用IT管理员创建的所有特定于个人的策略,使只有允许的web应用程序可访问;

  5. 零信任架构PoP网关向位于应用程序的应用程序连接器发送调度;

  6. 离web应用程序最近的连接器接收呼叫,并通过向零信任架构PoP网关发送由内而外的连接作出响应;

  7. 从用户到零信任架构PoP网关和应用连接器到零信任架构PoP网关的由内到外的连接被连接在一起,形成一个TLS加密的隧道,在授权用户和应用程序之间创建一个安全段,而不允许网络访问。

零信任架构实践-使用零信任架构保护合作伙伴安全访问

为什么要选择零信任架构来降低你的合作伙伴的风险呢?

零信任架构实践-使用零信任架构保护合作伙伴安全访问

零信任架构实践-使用零信任架构保护合作伙伴安全访问

往期链接
新一代网络和安全架构设计的思考——以零信任架构为核心的网络安全架构设计
零信任和AI
什么是安全 Web 网关(SWG)?
什么是数据安全态势管理(DSPM)?
NIST网络安全框架2.0: 全面风险管理快速入门指南
什么是 云DLP(数据防泄漏)?
什么是云访问安全代理(CASB) ?
什么是安全接入服务边缘 (SASE) ?
什么是安全服务边缘(SSE)?

高性能计算中心安全性——体系结构、威胁分析和安全态势

以数据为核心的下一代网络安全架构——美国国防部零信任战略和参考架构

NIST 零信任实践标准解析(一)

NIST 零信任实践标准解析(二)

网络安全风险管理和全面风险管理

从零信任发展现状分析零信任架构实现路径

国际零信任厂家介绍

零信任与数据安全

原文始发于微信公众号(安全方案与实践):零信任架构实践-使用零信任架构保护合作伙伴安全访问

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月27日22:04:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   零信任架构实践-使用零信任架构保护合作伙伴安全访问http://cn-sec.com/archives/3320718.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息