Hoje em dia, você simplesmente não consegue cavar um fosso seguro ao redor do seu castelo. Há um amplo consenso de que o modelo de segurança de perímetro de rede “castelo e fosso” não é eficaz. Você provavelmente já ouviu falar sobre o perímetro de identidade e a confiança zero, mas o que eles realmente significam aqui no mundo real? Também enfrentamos outros desafios, como autorizar o acesso às APIs de forma consistente e segura, para que os profissionais de segurança possam testar e auditar.
O perímetro de identidade visa proteger quem pode acessar o quê e tem três partes principais. Primeiro, precisamos da capacidade de identificar nossos usuários com segurança – é aqui que o Multifactor é útil. Em segundo lugar, precisamos estender essa identidade aos aplicativos – é aqui que usamos a federação. Terceiro, também devemos exigir que essa identidade seja usada para acesso a tudo, para que tenhamos um único ponto de controle e capacidade de inspecionar o dispositivo – é aqui que um proxy de acesso é útil. O relatório do F5 Labs Lições Aprendidas em Uma Década de Violações de Dados nos mostrou que 33% das violações inicialmente tinham como alvo identidades. Está claro que temos trabalho a fazer.
A metodologia BeyondCorp do Google identifica um proxy de acesso como a função que impõe o ponto único de controle. Isso o torna uma parte crítica de uma arquitetura de confiança zero. Embora alguns fornecedores tenham soluções de proxy de acesso, a maioria é limitada em quais nuvens elas podem ser implantadas, de quais fornecedores de identidade elas podem consumir ou quais controles elas podem aplicar.
Autenticação quebrada e controle de acesso quebrado são problemas comuns e graves o suficiente em aplicativos da web para figurar no OWASP Top 10. As ameaças são tão comuns que o bypass de autenticação é muito utilizado em bibliotecas de scripts de ataque, como mostra o relatório de proteção de aplicativos de 2018 do F5 Labs . Os proxies de acesso fornecem um método consistente de implementação de controles de acesso e requisitos de autenticação necessários na frente dos aplicativos. Isso elimina a necessidade de confiar que todo desenvolvedor de aplicativos é um especialista em autenticação (improvável). Passamos muito tempo falando sobre “tempo de colocação no mercado”, mas “tempo de garantia” é igualmente importante.
Ao implementar controles de autorização de API diretamente em seu aplicativo, cada linguagem e estrutura precisa ser implementada de forma um pouco diferente. Isso torna muito desafiador avaliar e determinar a eficácia dos controles e aumenta significativamente a quantidade de controles de segurança que precisam ser corrigidos, testados e mantidos. Uma única solução que funcione em todas as nuvens e seja implantada da mesma forma, independentemente da linguagem do aplicativo, é essencial para proteger APIs com sucesso.
A F5 está lançando o Access Manager para ajudar os clientes a resolver esses problemas. Algumas características principais são:
IDaaS e integração de federação – O suporte a SAML, OAuth e OpenID Connect permite que o Access Manager estenda sua identidade para proteger mais aplicativos e manter um único ponto de controle. Os principais fornecedores de IDaaS, como Okta e Azure AD, são suportados por meio de configuração guiada. O Access Manager também pode atuar como um provedor de identidade ou servidor de autorização, fornecendo uma solução completa.
Autorização de API – O Access Manager fornece uma maneira segura e consistente de implementar controles de autorização para sua API com suporte para OAuth, OpenID Connect, Certificate Auth e muito mais.
Proteção de credenciais – Os ataques à identidade não param na borda do data center, então sua proteção também não deve parar. O Access Manager estende a proteção de identidade ao navegador do usuário criptografando as credenciais conforme o usuário as insere, mesmo antes do envio com o F5 DataSafe.
Controles de política granulares – O Access Manager inclui um criador de política visual que ajuda você a controlar riscos criando controles granulares por aplicativo, usuário ou dispositivo.
Configuração guiada – Destile tarefas complexas em etapas fáceis com orientação clara. Isso permite que as equipes de segurança implementem rapidamente uma arquitetura de confiança zero, protejam uma API, estendam o alcance de sua solução IDaaS ou concedam acesso a um aplicativo.
À medida que a F5 olha para o futuro, podemos ver que novos modelos baseados em risco de autenticação de usuários são necessários para proteger a identidade de maneiras que eram impossíveis há apenas alguns anos. É claro que integrar um proxy e métodos consistentes de proteção de autenticação e autorização são essenciais. Aguarde em breve novas maneiras de proteger o perímetro de identidade.