Organizace provozující kritické aplikace v infrastruktuře Oracle Cloud (OCI) musí chránit nejcitlivější data – záznamy o zákaznících, finanční transakce nebo data o zdravotní péči uložená v databázi Oracle. Tyto organizace čelí neustálé výzvě v oblasti prevence neoprávněného přístupu a ochrany kritických dat. Jejich poslání je jasné: zajistit, aby data zůstala zabezpečena proti jakémukoli pokusu o získání přístupu. To je výzva, která nedává CISO spát v noci.
A zde přichází na řadu Zero Trust Packet Routing (ZPR). ZPR, spuštěný v loňském roce, nabízí jednoduchý a lidsky čitelný způsob, jak definovat a vynucovat robustní hranice důvěryhodnosti. Na rozdíl od složitých a chybám náchylných pravidel IP adres vám ZPR umožňuje kontrolovat, které úlohy mohou komunikovat, kudy data tečou a které služby jsou dosažitelné – a přitom vše ostatní ve výchozím nastavení blokuje. Stručně řečeno, ZPR proměňuje síťový záměr v vynutitelné kontroly nulové důvěryhodnosti, které pomáhají chránit vaše nejdůležitější úlohy.
V této nejnovější verzi ZPR vylepšuje podporu pro komplexní podnikové úlohy tím, že umožňuje nasazení více VCN, rozšiřuje pokrytí pro služby, jako jsou MySQL a Oracle Functions, zlepšuje přehled prostřednictvím Network Path Analyzer (NPA) a bezproblémově integruje zásady Private Service Access (PSA) a IAM Deny Policy. Tyto aktualizace pomáhají předcházet bočnímu pohybu napříč sítěmi, blokují únik dat a zmírňují rizika spojená s ohrožením přihlašovacích údajů. Společně poskytují organizacím ucelený rámec nulové důvěryhodnosti, který je navržen tak, aby zabezpečil kritické úlohy, zjednodušil správu a podpořil dodržování předpisů ve složitých prostředích.
Budování silnějších bariér proti bočnímu pohybu
V moderních cloudových nasazeních se pracovní úlohy často rozprostírají přes několik virtuálních cloudových sítí (VCN). Tato architektura sice posiluje izolaci, ale zároveň zvyšuje provozní složitost, což ztěžuje konzistentní vynucování zabezpečení v celém prostředí.
Zásady ZPR pro různé VCN sjednocují zabezpečení napříč těmito VCN a překonávají tak tradiční skupiny síťového zabezpečení nebo směrovací tabulky. Díky jediné, lidsky čitelné zásadě můžete vynutit jasné hranice důvěryhodnosti napříč úrovněmi: front-endové servery vystavené internetu mohou komunikovat pouze se službami střední úrovně prostřednictvím zabezpečených protokolů, jako je HTTPS, zatímco pouze služby střední úrovně se mohou dostat k databázím back-endu, které obsahují citlivá data o zákaznících.
Pokud útočník naruší front-endový uzel, ZPR mu zabrání v obejití těchto hranic. Nemůže se laterálně pohybovat mezi úrovněmi ani procházet prostředími s více VCN, aby se dostal k databázi, čímž efektivně zastaví laterální pohyb dříve, než ohrozí kritické systémy.
Tento jednotný přístup nejen posiluje vynucování nulové důvěryhodnosti, ale také zjednodušuje správu zásad. Místo žonglování se samostatnými pravidly pro každou VCN nebo vrstvu se celou architekturu vaší aplikace řídí jedinou zásadou, čímž se snižuje složitost a vynucuje dodržování bezpečnostních pravidel. Odstraňováním bezpečnostních mezer napříč distribuovanými úlohami pomáhá ZPR udržovat vaše prostředí bezpečné a provoz efektivní.
Zavírání dveří úniku dat
Také chcete zajistit, aby v případě, že se útočník dostane do vaší sítě, nemohl odcizit data – zejména citlivé informace o zákaznících, záznamy o transakcích nebo regulační zprávy, které musí subjekty, jako jsou finanční instituce, chránit.
Pro tyto zákazníky to znamená, že zálohy databází, výpisy z účtu nebo zprávy o shodě s předpisy jsou vždy omezeny na soukromé, autorizované cesty. ZPR ve spojení s Private Service Access (PSA) pomáhá zajistit, aby citlivá data, jako jsou zprávy v Object Storage nebo zálohy databází, nikdy nedostala na veřejný internet. PSA směruje provoz do služeb OCI, jako je Object Storage nebo Functions, soukromě, zatímco zásady ZPR založené na atributech umožňují připojení pouze důvěryhodným úlohám.
I když útočník pronikne do vaší sítě, nemůže data odnést do externích klientských sítí, protože ZPR a PSA vynucují pouze soukromé, autorizované cesty. Tato bezproblémová integrace poskytuje robustní ochranu bez provozních nákladů. Udržováním datových toků v rámci vašich hranic důvěryhodnosti ZPR a PSA chrání citlivé informace a zajišťují soulad s bezpečnostními předpisy, takže vaše bezpečnostní strategie se dá škálovat stejně snadno jako vaše cloudové prostředí.
Neutralizace rizika krádeže přihlašovacích údajů
I přes silnou ochranu proti laterálnímu pohybu a úniku dat se útočníci často snaží o nejjednodušší cestu: kompromitaci přihlašovacích údajů. Phishing, únik hesel nebo zneužití interními osobami by mohly předat platné přihlašovací údaje nesprávné osobě. Pro našeho příkladného zákazníka by to mohlo znamenat, že někdo získá přístup k úlohě, která zpracovává platby nebo ukládá citlivá data o účtech.
Zásady IAM Deny fungují jako další vrstva obrany. Vynucují ochranná opatření na úrovni klienta, která blokují přístup z nedůvěryhodných cest – i když jsou přihlašovací údaje platné. Můžete například odepřít přístup veřejnému koncovému bodu k úložištím objektů nebo kritickým úlohám, což pomáhá zajistit, aby citlivá data byla dostupná pouze prostřednictvím přístupu k privátním službám. To znamená, že pro naši finanční instituci zůstávají záznamy o zákaznících, platební systémy a databáze pro dodržování předpisů chráněny, i když jsou přihlašovací údaje ohroženy.
Zabezpečení většího množství cloudové stopy
Součástí modernizace vašich úloh je i možnost využívat celou škálu cloudových nabídek – bez kompromisů v oblasti zabezpečení. S tím, jak se vaše prostředí OCI rozrůstá o rozmanité služby, jako je MySQL pro transakční databáze a Oracle Functions pro analýzu v reálném čase, ZPR rozšiřuje své zabezpečení založené na atributech i na tyto kritické služby a nabízí konzistentní vynucování nulové důvěryhodnosti v rámci vašeho rozšiřujícího se cloudového zázemí.
Toto rozšířené krytí vám pomůže zabezpečit celé vaše cloudové prostředí ve světě, kde je bezpečnost prvořadá, a přímo se navazuje na základ nulové důvěryhodnosti stanovený politikami cross-VCN a PSA. Vaše finanční instituce může chránit své prostředí – ať už se jedná o výpočetní techniku, databáze nebo bezserverové funkce – se stejnými přísnými standardy a zároveň zachovat jednoduchou a škálovatelnou správu.
Jasný přehled s analyzátorem síťových cest
Architektura s nulovou důvěrou je jen tak silná, jako je vaše schopnost ji ověřit. Integrace ZPR s Network Path Analyzer (NPA) poskytuje jasný přehled o provozních cestách, což usnadňuje ověřování zásad nebo řešení problémů s blokovanými připojeními. Pokud je legitimní provoz zastaven, NPA přesně identifikuje problém, aniž by ohrozila bezpečnost, a zachovává tak hranice vaší důvěryhodnosti. Tato viditelnost doplňuje robustní ovládací prvky ZPR, které vám umožňují udržovat bezpečné a efektivní prostředí s jistotou.
Zajišťování zabezpečení s nulovou důvěrou a jistotou
Díky těmto vylepšením ZPR chrání pracovní zátěže a data již od návrhu. Hranice důvěryhodnosti napříč VCN, soukromé cesty PSA a ochranné zábrany v rámci celého nájemnictví s politikami IAM Deny poskytují vícevrstvou a vymahatelnou kontrolu. Rozšířené pokrytí služeb a viditelnost analyzátoru síťových cest usnadňují správu a ověřování politik, což vám poskytuje přehlednost, kontrolu a klid.
Tato verze transformuje vaše prostředí OCI na odolný cloud s nulovou důvěrou, který obsahuje rizika na každé úrovni a zároveň umožňuje vašim týmům soustředit se na inovace, nikoli na hašení požárů.
Více informací: oracle.com/cloud/networking/zero-trust-packet-routing nebo nás rovnou kontaktujte.
Zdroj: Oracle
