Zero Trust – a hálózatbiztonsági megközelítés [2]

Ez az írás egy több részes sorozat 3. része, az előző és következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
1. rész:  Zero Trust és ami mögötte van
2. rész: Zero Trust – a hálózatbiztonsági megközelítés [1]
4. rész: Zero Trust – a hálózatbiztonsági megközelítés [3]

A mai írásomban folytatom a Zero Trust hálózatbiztonsági megközelítését használó megoldások bemutatását. Korábban a gyártókat két csoportra bontottam: a régi hálózatbiztonsági szereplőkre és az új játékosokra.

Az új szereplők

A hálózatbiztonsági megközelítésben újabb szereplőnek számít a Unisys, Okta, Illumio és a Cyxtera. Az általam korábban is hivatkozott Forrester elemzés szerint mind a négy gyártó elkelő helyen szerepel a Zero Trust megoldások között – az Illumio és az Okta az egész elemzés legjobb pontszámait kapták (a korábban bemutatott Cisco és Palo Alto Networks megoldások mellett):

Vendor	SUM	Network security	Data securtiy	Workload security	People/workforce security	Device security	Visibility and analytics	Automation and orchestration	Manageability and usability	APIs
Unisys	3,70	5,00	3,00	3,00	3,00	3,00	5,00	5,00	5,00	3,00
Okta	3,56	5,00	1,00	3,00	5,00	3,00	3,00	5,00	5,00	3,00
Illumio	3,84	3,00	3,00	5,00	3,00	3,00	5,00	5,00	5,00	5,00
Cyxtera	3,14	5,00	1,00	5,00	3,00	3,00	3,00	3,00	3,00	3,00

Forrás: Forrester Wave: Zero Trust eXtended Exosystem Platform Providers Scorecard, Q4 2019

A mai írásom témája az Okta megoldása lesz.

Okta – védelem hálózati és identitás alapon

Az Okta Zero Trust megközelítése az alábbi hat elemből áll:

• Single Sign-On
• User Lifecycle Management
• Multi-Factor Authentication
• Advanced Server Access
• API Access Management
• Access Gateway

Az első három elem kifejezetten az identitás védelméről, valamint a megszemélyesítéses támadások elhárításáról szól. Az Okta olvasatában helyes IAM (Identity and Access Management) stratégia nélkül nem lehet korszerű védelemről beszélni – és ebben a legtöbb IT Security szakértő egyetért.

Az Advanced Server Access korlátozza az erőforrásokhoz (Windows vagy Linux szerverek, felhőben vagy hagyományos infrastruktúrán) való SSH/RDP távoli hozzáférést a Just-in-Time Access filozófiájának megvalósításával. A megoldás – hasonlóan például az SSH PrivX vagy a Cloudflare Access-hez – rövid életű tanúsítványokat (ephemeral certificates) hoz létre az azonosítás után és az erőforrások ezekben bíznak csak meg.

Az API Access Management lehetőséget ad arra, hogy a szolgáltatásainkat valamilyen API kapcsolaton keresztül elérő felhasználók vagy folyamatok azonosítását biztonságosan valósítsuk meg. Az OAuth2.0 szabványra építve biztonságos SSO-t biztosít, valamint központosított API adminisztrációt tesz lehetővé.

Az Access Gateway biztonságos elérést ad a belső webes alkalmazások felé; lényegében bármilyen alkalmazáshoz illeszthető, amely a már jól bevált intranetes azonosítási technikák valamelyikét (Kerberos, IWA, Header-Based) használja. Emellett kész integrációja van számos üzleti alkalmazáshoz: Microsoft, Oracle, IBM vagy SAP rendszerekhez is könnyen kapcsolódik.

Összefoglalás

Látható a fentiekből, hogy az Okta-nál nagyon komolyan veszik azt, hogy különböző megoldásokat integráljanak, és a gyártó nagyon jó irányba fejleszti a korábban csak identitás-menedzsmentre fókuszált portfólióját. Ha az Okta megoldásait jól használjuk, akkor nagyon közel kerülünk az elvárt nulla-bizalmi szinthez. Mivel az IT Security ezen területén sem beszélhetünk mindenre jó (silver bullet) megoldásról, az Okta további integrációt biztosít a vezető Network Security, CASB, UEM és Analytics gyártók megoldásaihoz is.

A következőkben haladok tovább a többi gyártón, jövő héten az Illumio megoldását tekintem át.