Ez az írás egy több részes sorozat 3. része, az előző és következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
1. rész: Zero Trust és ami mögötte van
2. rész: Zero Trust – a hálózatbiztonsági megközelítés [1]
4. rész: Zero Trust – a hálózatbiztonsági megközelítés [3]
A mai írásomban folytatom a Zero Trust hálózatbiztonsági megközelítését használó megoldások bemutatását. Korábban a gyártókat két csoportra bontottam: a régi hálózatbiztonsági szereplőkre és az új játékosokra.
Az új szereplők
A hálózatbiztonsági megközelítésben újabb szereplőnek számít a Unisys, Okta, Illumio és a Cyxtera. Az általam korábban is hivatkozott Forrester elemzés szerint mind a négy gyártó elkelő helyen szerepel a Zero Trust megoldások között – az Illumio és az Okta az egész elemzés legjobb pontszámait kapták (a korábban bemutatott Cisco és Palo Alto Networks megoldások mellett):
Vendor | SUM | Network security | Data securtiy | Workload security | People/workforce security | Device security | Visibility and analytics | Automation and orchestration | Manageability and usability | APIs |
Unisys | 3,70 | 5,00 | 3,00 | 3,00 | 3,00 | 3,00 | 5,00 | 5,00 | 5,00 | 3,00 |
Okta | 3,56 | 5,00 | 1,00 | 3,00 | 5,00 | 3,00 | 3,00 | 5,00 | 5,00 | 3,00 |
Illumio | 3,84 | 3,00 | 3,00 | 5,00 | 3,00 | 3,00 | 5,00 | 5,00 | 5,00 | 5,00 |
Cyxtera | 3,14 | 5,00 | 1,00 | 5,00 | 3,00 | 3,00 | 3,00 | 3,00 | 3,00 | 3,00 |
A mai írásom témája az Okta megoldása lesz.
Okta – védelem hálózati és identitás alapon
Az Okta Zero Trust megközelítése az alábbi hat elemből áll:
- Single Sign-On
- User Lifecycle Management
- Multi-Factor Authentication
- Advanced Server Access
- API Access Management
- Access Gateway
Az első három elem kifejezetten az identitás védelméről, valamint a megszemélyesítéses támadások elhárításáról szól. Az Okta olvasatában helyes IAM (Identity and Access Management) stratégia nélkül nem lehet korszerű védelemről beszélni – és ebben a legtöbb IT Security szakértő egyetért.
Az Advanced Server Access korlátozza az erőforrásokhoz (Windows vagy Linux szerverek, felhőben vagy hagyományos infrastruktúrán) való SSH/RDP távoli hozzáférést a Just-in-Time Access filozófiájának megvalósításával. A megoldás – hasonlóan például az SSH PrivX vagy a Cloudflare Access-hez – rövid életű tanúsítványokat (ephemeral certificates) hoz létre az azonosítás után és az erőforrások ezekben bíznak csak meg.
Az API Access Management lehetőséget ad arra, hogy a szolgáltatásainkat valamilyen API kapcsolaton keresztül elérő felhasználók vagy folyamatok azonosítását biztonságosan valósítsuk meg. Az OAuth2.0 szabványra építve biztonságos SSO-t biztosít, valamint központosított API adminisztrációt tesz lehetővé.
Az Access Gateway biztonságos elérést ad a belső webes alkalmazások felé; lényegében bármilyen alkalmazáshoz illeszthető, amely a már jól bevált intranetes azonosítási technikák valamelyikét (Kerberos, IWA, Header-Based) használja. Emellett kész integrációja van számos üzleti alkalmazáshoz: Microsoft, Oracle, IBM vagy SAP rendszerekhez is könnyen kapcsolódik.
Összefoglalás
Látható a fentiekből, hogy az Okta-nál nagyon komolyan veszik azt, hogy különböző megoldásokat integráljanak, és a gyártó nagyon jó irányba fejleszti a korábban csak identitás-menedzsmentre fókuszált portfólióját. Ha az Okta megoldásait jól használjuk, akkor nagyon közel kerülünk az elvárt nulla-bizalmi szinthez. Mivel az IT Security ezen területén sem beszélhetünk mindenre jó (silver bullet) megoldásról, az Okta további integrációt biztosít a vezető Network Security, CASB, UEM és Analytics gyártók megoldásaihoz is.
A következőkben haladok tovább a többi gyártón, jövő héten az Illumio megoldását tekintem át.
Kerékfy Miklós 
4 című bejegyzés “Zero Trust – a hálózatbiztonsági megközelítés [2]” gondolatot, hozzászólást tartalmaz