BLOG

Proteção do perímetro de identidade

Miniatura F5
F5
Publicado em 25 de julho de 2018

Hoje em dia, você simplesmente não consegue cavar um fosso seguro ao redor do seu castelo. Há um amplo consenso de que o modelo de segurança de perímetro de rede “castelo e fosso” não é eficaz. Você provavelmente já ouviu falar sobre o perímetro de identidade e a confiança zero, mas o que eles realmente significam aqui no mundo real? Também enfrentamos outros desafios, como autorizar o acesso às APIs de forma consistente e segura, para que os profissionais de segurança possam testar e auditar.  

O que é o Perímetro de Identidade? 

O perímetro de identidade visa proteger quem pode acessar o quê e tem três partes principais. Primeiro, precisamos da capacidade de identificar nossos usuários com segurança – é aqui que o Multifactor é útil. Em segundo lugar, precisamos estender essa identidade aos aplicativos – é aqui que usamos a federação. Terceiro, também devemos exigir que essa identidade seja usada para acesso a tudo, para que tenhamos um único ponto de controle e capacidade de inspecionar o dispositivo – é aqui que um proxy de acesso é útil. O relatório do F5 Labs Lições Aprendidas em Uma Década de Violações de Dados nos mostrou que 33% das violações inicialmente tinham como alvo identidades. Está claro que temos trabalho a fazer. 

Por que o Access Proxy é essencial 

A metodologia BeyondCorp do Google identifica um proxy de acesso como a função que impõe o ponto único de controle. Isso o torna uma parte crítica de uma arquitetura de confiança zero. Embora alguns fornecedores tenham soluções de proxy de acesso, a maioria é limitada em quais nuvens elas podem ser implantadas, de quais fornecedores de identidade elas podem consumir ou quais controles elas podem aplicar.  

“Um proxy de acesso é uma parte essencial da adoção de uma arquitetura Zero Trust e estende os benefícios do investimento em IDaaS. A combinação do F5 e do Okta aprimora ambas as ofertas para melhorar a segurança e a experiência do usuário onde quer que seus aplicativos sejam implantados.”
- Chuck Fontana, vice-presidente de integração e parcerias estratégicas da Okta

Autenticação quebrada e controle de acesso quebrado são problemas comuns e graves o suficiente em aplicativos da web para figurar no OWASP Top 10. As ameaças são tão comuns que o bypass de autenticação é muito utilizado em bibliotecas de scripts de ataque, como mostra o relatório de proteção de aplicativos de 2018 do F5 Labs . Os proxies de acesso fornecem um método consistente de implementação de controles de acesso e requisitos de autenticação necessários na frente dos aplicativos. Isso elimina a necessidade de confiar que todo desenvolvedor de aplicativos é um especialista em autenticação (improvável). Passamos muito tempo falando sobre “tempo de colocação no mercado”, mas “tempo de garantia” é igualmente importante. 

APIs – a porta de entrada para seus dados 

Ao implementar controles de autorização de API diretamente em seu aplicativo, cada linguagem e estrutura precisa ser implementada de forma um pouco diferente. Isso torna muito desafiador avaliar e determinar a eficácia dos controles e aumenta significativamente a quantidade de controles de segurança que precisam ser corrigidos, testados e mantidos. Uma única solução que funcione em todas as nuvens e seja implantada da mesma forma, independentemente da linguagem do aplicativo, é essencial para proteger APIs com sucesso. 

Qual é a abordagem da F5? 

A F5 está lançando o Access Manager para ajudar os clientes a resolver esses problemas. Algumas características principais são: 

  • IDaaS e integração de federação – O suporte a SAML, OAuth e OpenID Connect permite que o Access Manager estenda sua identidade para proteger mais aplicativos e manter um único ponto de controle. Os principais fornecedores de IDaaS, como Okta e Azure AD, são suportados por meio de configuração guiada. O Access Manager também pode atuar como um provedor de identidade ou servidor de autorização, fornecendo uma solução completa.

  • Autorização de API – O Access Manager fornece uma maneira segura e consistente de implementar controles de autorização para sua API com suporte para OAuth, OpenID Connect, Certificate Auth e muito mais.

  • Proteção de credenciais – Os ataques à identidade não param na borda do data center, então sua proteção também não deve parar. O Access Manager estende a proteção de identidade ao navegador do usuário criptografando as credenciais conforme o usuário as insere, mesmo antes do envio com o F5 DataSafe.

  • Controles de política granulares – O Access Manager inclui um criador de política visual que ajuda você a controlar riscos criando controles granulares por aplicativo, usuário ou dispositivo.

  • Configuração guiada – Destile tarefas complexas em etapas fáceis com orientação clara. Isso permite que as equipes de segurança implementem rapidamente uma arquitetura de confiança zero, protejam uma API, estendam o alcance de sua solução IDaaS ou concedam acesso a um aplicativo. 

PERSPECTIVA

À medida que a F5 olha para o futuro, podemos ver que novos modelos baseados em risco de autenticação de usuários são necessários para proteger a identidade de maneiras que eram impossíveis há apenas alguns anos. É claro que integrar um proxy e métodos consistentes de proteção de autenticação e autorização são essenciais. Aguarde em breve novas maneiras de proteger o perímetro de identidade.