Comply-to-Connect: Schaffen Sie mit F5 die Grundlage für Zero Trust
Die USA Das US-Verteidigungsministerium (DoD) hat mit seinem Comply-to-Connect (C2C)-System einen wichtigen Schritt zur Sicherung eines der weltweit umfangreichsten und sensibelsten Netzwerke, des Department of Defense Information Network (DoDIN), unternommen. Rahmen. DoDIN umfasst über 15.000 nicht klassifizierte, klassifizierte und Cloud-basierte Umgebungen und ist täglich mit fast 800 Millionen Cybersicherheitsvorfällen konfrontiert. C2C ist eine grundlegende Initiative im Rahmen der Zero-Trust-Strategie des US-Verteidigungsministeriums, die umfassende Transparenz und Schutz aller – traditionellen und nicht-traditionellen – Vermögenswerte gewährleisten soll, die mit seinem riesigen Netzwerk verbunden sind.
Durch die Durchsetzung von Zero-Trust-Prinzipien, wie etwa dem Zugriff mit geringsten Privilegien, identifiziert, authentifiziert und bewertet C2C alle Geräte und Benutzer und automatisiert gleichzeitig Sicherheitsfunktionen wie Behebung und kontinuierliche Überwachung. Mit C2C möchte das Verteidigungsministerium den Übergang von der Bereitschaftspolitik auf Basis von Kontrollkästchen zu einem nachhaltigen, automatisierten Ansatz für die Cybersicherheit schaffen. Wie sich in verbesserten Inspektionsergebnissen zur Cyber-Bereitschaft und in der Steigerung der Betriebseffizienz auf Militärstützpunkten widerspiegelt, hat C2C bereits erhebliche Auswirkungen .
C2C ist nicht nur ein Rahmenwerk – es stellt einen grundlegenden Wandel in der Art und Weise dar, wie das US-Verteidigungsministerium seine kritische Infrastruktur verteidigt. Angesichts der weltweit zunehmenden Cyberbedrohungen und der zunehmenden Komplexität der Zugriffsverwaltung in Hybridumgebungen ist C2C heute wichtiger denn je. Es legt den Grundstein für intelligentere und effektivere Sicherheitsmaßnahmen, die auf den Zero-Trust-Prinzipien basieren.
Herausforderungen bei Comply-to-Connect
Bei der Umsetzung von C2C steht das US-Verteidigungsministerium vor zahlreichen Herausforderungen. Ein dringendes Hindernis ist der schiere Umfang und die Komplexität des DoDIN. Für die Verwaltung der Sicherheit in einem so umfangreichen Unternehmensnetzwerk sind fortschrittliche Tools erforderlich, die in der Lage sind, eine breite Palette von Geräten und Systemen zu überwachen, zu automatisieren und zu sichern – darunter industrielle Steuerungssysteme, Logistikplattformen und Betriebstechnologien.
Eine weitere große Herausforderung ist die Zunahme von Zugriffsverletzungen, weshalb vertrauenswürdige Zugriffslösungen unerlässlich sind. Angreifer nutzen zunehmend verschlüsselten Datenverkehr, um schädliche Nutzdaten zu verbergen, wodurch zusätzliche Komplexitätsebenen entstehen.
Um eine schnelle Einführung von C2C im Rahmen des Zero-Trust-Frameworks sicherzustellen, sind schließlich eine nahtlose Integration in vorhandene Systeme, robuste Verschlüsselungsstrategien und eine einheitliche Richtliniendurchsetzung erforderlich. Agenturen müssen diese Hürden überwinden, um die für den Erfolg von Zero Trust erforderliche Transparenz und Sicherheitsautomatisierung zu erreichen.
Wie F5 bei C2C und Zero Trust helfen kann
Die Einführung von Zero Trust erfordert ein umfassendes Ökosystem an Lösungen, die sich mit Gerätesichtbarkeit, sicherem Zugriff und Application befassen – genau das bietet F5. Durch die Nutzung der speziellen Fähigkeiten von F5 können Agenturen die Herausforderungen der C2C-Implementierung bewältigen und gleichzeitig ihre Cybersicherheitslage über eine Reihe potenzieller Einstiegspunkte und Angriffsflächen hinweg verbessern.
1.Endpunkte: Vertrauenswürdiger App-Zugriff mit F5 BIG-IP Access Policy Manager (APM)
Die Zugriffskontrolle ist eine entscheidende Säule von Zero Trust. BIG-IP APM vereinfacht und zentralisiert den Zugriff auf Applications, APIs und Daten in Cloud- und lokalen Umgebungen. Es bietet moderne Authentifizierung, Single Sign-On (SSO) und ein konsistentes Benutzererlebnis – alles innerhalb eines stärkeren Sicherheitsrahmens, der von F5 BIG-IP Identity Aware Proxy (IAP) unterstützt wird. Für Bundesbehörden verbessert BIG-IP APM die Zugriffsvalidierung durch die Anzeige benutzerdefinierter Warnbanner, die Unterstützung starker Anmeldeinformationen und die Abfrage von Benutzerattributen, um den Zugriff mit geringsten Berechtigungen durchzusetzen.
Darüber hinaus bietet BIG-IP APM erweiterte Client-Integritätsprüfungen, stellt die Endpunktkonformität mit staatlichen Sicherheitsstandards wie dem Host Based Security System (HBSS) sicher und überprüft die Verwendung von Government Furnished Equipment (GFE). Dieser umfassende Ansatz ermöglicht es den Behörden, sich vor unberechtigter Zugriff zu schützen und die Endpunktsicherheit zu verbessern, ein entscheidender Aspekt der C2C-Initiative 1.
Der Identity Aware Proxy (IAP) wurde entwickelt, um den Bedarf an VPNs zu reduzieren, indem er einen Zero-Trust-App-Zugriff ermöglicht. Es fungiert als Reverse-Proxy und kann Browsererweiterungen enthalten, ist ansonsten aber ohne Client. IAP ermöglicht Ihnen die Zugriffskontrolle auf granularer Ebene für alle Applications und unterstützt sowohl verwaltete als auch nicht verwaltete Geräte. Dabei geht es nicht nur um Layer-7-ACLs, sondern um eine Granulare Kontrolle , die mit externen Tools integriert werden kann, um den Zugriff kontextabhängig zu gewähren oder zu verweigern.
IAP schlägt außerdem eine Brücke zwischen modernen und älteren Authentifizierungsmethoden und unterstützt Multi-Faktor-Authentifizierung (MFA) und SSO für klassische Authentifizierung (z. B. headerbasiert), OAuth 2.0, SAML 2.0 und FIDO2 (U2F). Es bietet erstklassigen SSL-, VPN- und Zero-Trust-App-Zugriff pro App und ist somit eine zentrale Oberfläche für die Verwaltung aller Apps. Die Integration mit dem Compliance Retrieval Service von Microsoft (Microsoft Intune MDM) und die Unterstützung der Microsoft Graph API erweitern die Funktionen zusätzlich.
2.Identitätsdienste und Integrationspartnerschaften
Zero Trust basiert auf der Identitätsüberprüfung und F5-Lösungen lassen sich nahtlos in vertrauenswürdige Anbieter wie Microsoft, Okta und Ping integrieren. Diese Partnerschaft stärkt die Identitätsdienste für unternehmenskritische Applications, SaaS-Plattformen und Cloud-basierte Dienste und bietet ein einheitliches und sicheres Benutzererlebnis. Durch die Überbrückung von Identitätslücken in unterschiedlichen Umgebungen stellt F5 sicher, dass Agenturen starke, skalierbare Zero-Trust-Funktionen aufrechterhalten.
F5 BIG-IP lässt sich in führende Lösungen für Mobile Device Management (MDM) und Enterprise Mobility Management (EMM) integrieren, darunter VMware Horizon ONE (AirWatch), Microsoft Intune und IBM MaaS360.
Zur Implementierung stellt F5 APIs und Konfigurationsoptionen bereit, die eine detaillierte Integration mit diesen MDM-Plattformen ermöglichen und sicherstellen, dass nur konforme und verwaltete Geräte über die Identity Aware Proxy-Funktionalität auf Unternehmensressourcen zugreifen können. Die F5-Integration bietet:
- Beurteilung der Geräteposition durch Überprüfung des Gerätekonformitätsstatus der MDM-Lösungen, bevor Zugriff auf Ressourcen gewährt wird
- Überprüfung der Registrierung mobiler Geräte in Echtzeit
- Durchsetzung der von den MDM-Plattformen bereitgestellten Zugriffsrichtlinien
- Durchgängige Richtlinien- und Verwaltungskontrollen
Bei der Integration mit MDMs wie AirWatch, MaaS360 oder Intune stellt der Edge-Client eine VPN-Verbindung mit BIG-IP APM her und das Endpunktverwaltungssystem verwaltet und sendet Gerätedetails an BIG-IP APM.
3.Applications: Layer-7-Sicherheit für unternehmenskritische Apps
Da Unternehmen Hunderte von Applications verwalten, ist die Sicherheit auf Anwendungsebene wichtiger denn je. F5 bietet erweiterte Web Application Firewall (WAF) -Lösungen, die vor einer Reihe von Bedrohungen schützen, darunter Distributed Denial-of-Service (DDoS)-Angriffe auf Layer 7, API-Angriffe und auf Anmeldeinformationen basierende Exploits. Um sicherzustellen, dass Apps funktionsfähig und sicher bleiben, werden kontinuierlich Verhaltensanalysen durchgeführt. Dadurch werden die Zero-Trust-Strategien der Behörden unterstützt, indem sowohl unternehmenskritische als auch Cloud-basierte Applications gesichert werden.
4.Netzwerkinfrastruktur: Sichern des verschlüsselten Datenverkehrs
Da sich SSL/TLS-Verschlüsselung zum Standard entwickelt, wird sie häufig von böswilligen Akteuren genutzt, um ihre Angriffe zu verschleiern. Um diesem Problem zu begegnen, bietet F5 SSL-Sichtbarkeitslösungen an, die den Datenverkehr entschlüsseln/verschlüsseln, blinde Flecken beseitigen und eine richtlinienbasierte Orchestrierung über die gesamte Sicherheitskette hinweg anwenden. Durch die Sicherung des ein- und ausgehenden verschlüsselten Datenverkehrs ermöglicht F5 Behörden eine bessere Sichtbarkeit und verhindert gleichzeitig, dass Bedrohungen die Sicherheitskontrollen umgehen – ganz im Einklang mit den Zielen von C2C und Zero Trust.
Der Weg nach vorn
Mit C2C als Grundlage unternimmt das US-Verteidigungsministerium große Schritte in Richtung eines Zero-Trust-Ökosystems und strebt eine möglichst baldige vollständige Implementierung an. Doch um die Vision von Zero Trust umzusetzen, sind nicht nur Sorgfalt, sondern auch die richtigen Tools und das richtige Fachwissen erforderlich. F5 ist einzigartig aufgestellt, um Agenturen bei der Bewältigung dieses transformativen Wandels zu unterstützen, indem es skalierbare, sichere Lösungen für Endpunkte, Netzwerke und Applications anbietet.
Ob es um die Abwehr von Zugriffsverletzungen, die Verwaltung von verschlüsseltem Datenverkehr oder die Absicherung von Applications geht – die Lösungen von F5 sind auf die betrieblichen Anforderungen von Bundesbehörden abgestimmt. Durch eine Partnerschaft mit F5 können Agenturen C2C-Herausforderungen bewältigen und ihren Weg hin zu einer widerstandsfähigen Zero-Trust-Umgebung beschleunigen, die sowohl die heutigen Netzwerke als auch die unternehmenskritischen Systeme von morgen sichert.
Erfahren Sie mehr darüber, wie F5-Lösungen beim Zero Trust helfen können .