Réseau Zero + Access de Safe-T: déploiement par étapes – Serveur d’impression

Par Safe-T Safe-T fournit une solution sécurisée d’accès aux applications et aux fichiers avec 1) une architecture qui implémente l’accès sans confiance, 2) un canal sécurisé propriétaire permettant aux utilisateurs d’accéder à distance à des fichiers sensibles partagés et 3) des analyses de comportement des utilisateurs. Le logiciel de contrôle d’accès de Safe-T s’appelle: Safe-T Zero +. Les directives sur les meilleures pratiques exigent des organisations qu’elles mettent en œuvre un déploiement par étapes. Cela permet à votre organisation de migrer progressivement vers une architecture réseau Zéro confiance. En mettant en œuvre Zero + de Safe-T par étapes, vous bénéficiez des avantages suivants:

Votre organisation apprend à utiliser le nouveau système progressivement. Les informations acquises lors des premières phases de déploiement peuvent être appliquées au reste du processus. Votre organisation réduit ses risques, car tout problème susceptible de survenir ne concerne qu'un petit groupe d'utilisateurs. Le fardeau de la mise en œuvre administrative informatique est limité. Le coût de la période d'évaluation du logiciel est limité.

Vue d'ensemble: les défis de la sécurité réseau Cette section décrit le contexte contextuel des problèmes informatiques existants que le modèle Zero + de Safe-T peut résoudre. Périmètre de sécurité: La plupart des centres de données implémentent un modèle de périmètre de sécurité qui établit des zones de confiance en fonction de plages d'adresses IP. Ils déploient des pare-feu dos à dos en créant une zone démilitarisée qui sépare leur réseau interne de confiance de l’Internet non approuvé externe. Ce type de périmètre fixe ne reflète plus avec précision la topologie typique des utilisateurs et des serveurs. Zones de confiance: Un pirate informatique qui s'infiltre dans le pare-feu interne d'une entreprise se trouve à l'intérieur de ce qui est considéré comme une zone de confiance. Le pirate informatique peut alors se déplacer latéralement pour voler des informations d'identification et les utiliser pour capturer et exfiltrer de précieuses ressources numériques. Applications Cloud: Les entreprises déploient de plus en plus d'applications Web et de données sur des clouds publics tels qu'Amazon Web Services et Microsoft Azure. Ces clouds publics sont situés dans des emplacements géographiques éloignés des pare-feu et du réseau de périmètre de confiance d’une organisation. Travailleurs mobiles: La taille et la complexité des réseaux d'entreprise augmentent. Les employés, les sous-traitants et les partenaires utilisent des ordinateurs portables et d'autres périphériques mobiles hors site dans des emplacements extérieurs au réseau de périmètre approuvé. VPN: L'utilisation de VPN pour accéder à un réseau interne peut créer une vulnérabilité si un administrateur accorde des autorisations trop larges aux utilisateurs. Les VPN sont souvent configurés pour permettre aux utilisateurs d'accéder au réseau interne comme si l'utilisateur était sur site dans un bureau de l'entreprise. Malware: L’utilisation des VPN pose un grave problème, car ils créent un risque élevé que des logiciels malveillants se trouvant sur le périphérique d’un utilisateur puissent se propager à un réseau interne. Qu'est-ce qu'un accès réseau sans confiance? Voici les principes clés d'un réseau Zero Trust: Ne rien faire confiance: Les utilisateurs et le trafic réseau ne sont pas approuvés jusqu'à ce qu'ils soient vérifiés. Les utilisateurs situés à l'intérieur ou à l'extérieur du réseau de l'entreprise ne doivent jamais être approuvés par défaut. Visibilité: Les serveurs principaux ne sont pas visibles pour les utilisateurs non authentifiés. Authentification: Les flux de travail d'authentification pour un utilisateur ou un groupe doivent inclure des données contextuelles telles que l'ID de périphérique, l'emplacement géographique et l'heure et le jour auxquels l'utilisateur demande l'accès. Granularité: Zéro confiance prend en charge la micro-segmentation du réseau en isolant les ressources informatiques pour limiter les menaces. Il implémente également une stratégie de moindre privilège en appliquant des contrôles qui permettent aux utilisateurs d'accéder uniquement aux ressources nécessaires à l'exécution de leurs tâches. Journaux: Tout le trafic interne et externe est enregistré pour détecter les événements malveillants ou anormaux. Composants principaux La Cloud Security Alliance est le principal promoteur des normes et de la recherche SDP. Le groupe de travail de l'ASC sur SDP a mis au point un cadre de sécurité pouvant être déployé pour protéger les applications contre les attaques réseau. Les architectures SDP proposées par différents fournisseurs peuvent prendre en charge différentes caractéristiques. L’architecture SDP de Safe-T est conçue pour implémenter de manière substantielle les fonctionnalités essentielles définies par l’architecture CSA. Zero + de Safe-T est construit à l’aide de ces composants principaux: Contrôleur d'accès Safe-T Access Controller est le moteur de contrôle centralisé et d’application des règles du système SDP. Access Controller est conçu pour fonctionner en tant que courtier de confiance en régissant le flux de processus entre les utilisateurs finaux et les services principaux. Access Controller est responsable de la gestion de l'authentification et de l'autorisation de l'utilisateur final. Passerelle d'accès Safe-T Access Gateway agit en tant que serveur frontal de tous les services principaux publiés sur un réseau non approuvé (Internet, par exemple). Passerelle d'authentification Safe-T La passerelle d'authentification présente à l'utilisateur final, dans un navigateur Web sans client, un flux de travaux d'authentification préconfiguré fourni par Access Controller. Le flux de travail d'authentification est un ensemble d'étapes d'authentification personnalisables telles que: captcha, nom d'utilisateur / mot de passe, No-Post, OTP. Si l'utilisateur réussit à s'authentifier, la passerelle d'authentification affiche des liens permettant à l'utilisateur de se connecter aux services principaux autorisés. Les services backend non autorisés ne sont pas visibles pour l'utilisateur final. Comme le dit Safe-T: Si vous ne pouvez pas être vu, vous ne pouvez pas être piraté®. Périmètre logiciel de Safe-T L'image suivante montre l'architecture de base du Safe-T SDP. Périmètre défini par logiciel Safe-T