隨選技術線上研討會:利用負載平衡器建構更強大的零信任基礎

網路威脅從不挑對象。無論您經營的是小型企業還是大型企業,您的關鍵業務應用程式都持續受到網路罪犯的攻擊。大多數組織面臨的挑戰並不是缺乏安全工具,而是未能充分發揮其現有基礎架構中已經內建的安全功能。

在整個網路技術棧(Network stack)中,您的負載平衡器(Load balancers)處於最核心、最關鍵的位置之一。它們直接介於使用者與應用程式之間,負責終止 TLS/SSL 連線,並且能在每個請求到達您的後端系統之前進行檢查。這意味著它不僅僅是一個確保可用性(Availability)的工具,更是一個潛在的安全資產,而大多數組織都極度低估並未充分利用它。

在近期的一場線上研討會中,Progress 產品團隊資深經理 Kurt Jung 闡述了 Progress Kemp LoadMaster 負載平衡解決方案如何在提供「零信任(Zero-Trust)」網路安全模型中發揮不可或缺的作用。Kurt 在應用程式交付與安全領域擁有數十年的經驗,經常協助各組織將負載平衡基礎架構轉化為實用的安全資產。他的演講涵蓋了利用 LoadMaster 解決方案協助打造零信任網路安全模型的必備核心主題。

觀看完整線上研討會錄影

如果您想直接從線上研討會錄影中獲取完整資訊,請觀賞以下錄影(中文字幕):

若想了解內容摘要,請繼續閱讀下文。


線上研討會核心要點:建構多層防禦

Kurt 在開場時先讓與會者了解 LoadMaster 解決方案是什麼,以及它如何融入更廣泛的基礎架構藍圖中。他指出,LoadMaster 負載平衡解決方案可作為硬體設備(Hardware appliance)、虛擬機器(Virtual machine)或雲端託管實例(Cloud-hosted instance)提供,讓團隊能靈活地以符合其架構的方式進行部署。

他提到授權模式也同樣保有靈活性。組織可以選擇訂閱制(Subscription)或買斷制(Perpetual)授權,Kurt 特別強調 Progress 近期透過 LoadMaster 360 推出了「池化授權(Pooled licensing)」。

池化授權讓團隊能夠將可用的頻寬分配到多個 LoadMaster 實例中,可以隨時啟用新實例而無需每次都重新走採購流程,並在需求下降時縮減規模。這使得對於流量有變動或季節性工作負載的組織來說,實現「單一應用程式獨立負載平衡(Per-application load balancing)」變得實用許多。

LoadMaster 360 是一個 SaaS 管理層,能將可視性(Visibility)擴展到整個 LoadMaster 實例群。它為團隊提供集中化的見解,涵蓋憑證健康狀況、應用程式效能、身分驗證活動和安全事件。Kurt 指出,這對於 LoadMaster 的部署來說是不可或缺的補充,特別是在團隊想要針對安全數據採取行動時。

LoadMaster 360 作為單一管理平台(Single pane of glass),為您的基礎架構管理團隊提供至關重要的可視性,包括:

  • 健康狀況與效能: 提供應用程式回應時間和伺服器健康狀況的即時遙測數據。
  • 憑證管理: 自動追蹤 TLS/SSL 憑證,以防止非預期性的服務中斷。
  • 安全分析: 集中式的儀表板,醒目提示已被阻擋的攻擊與身分驗證趨勢。

實現零信任的核心技術

LoadMaster 解決方案為零信任架構提供了四個重要的功能與技術領域:

1. 存取控制清單 (ACL)

存取控制清單(Access Control Lists)是實施零信任所需技術的核心部分。LoadMaster 解決方案允許管理員根據特定的 IP 地址或整個子網路(Subnets)來允許或阻擋存取。系統管理員可以在全域裝置層級或個別的虛擬服務層級套用這些規則。這種細粒度(Granularity)有助於鎖定內部應用程式,確保只有位於授權公司網路內的使用者和裝置才能嘗試建立連線。

2. 網頁應用程式防火牆 (WAF)

進入技術棧的更深層,Kurt 討論了 WAF 的功能。如果說 ACL 檢查的是「誰」正在連線,那麼 WAF 檢查的就是他們「正在做什麼」。它使用 OWASP Top 10 核心規則集來防禦常見的漏洞利用,例如 SQL 注入(SQL injection)和跨網站指令碼(Cross-site scripting, XSS)。此外,您還可以添加任何自訂規則,以針對您的特定應用程式量身打造防禦機制。

WAF 的核心功能包括:

  • 自訂規則建立: 根據您應用程式的特定需求客製化防禦。
  • IP 信譽機制(IP Reputation): 利用 Progress 提供的已知惡意行為者清單。
  • 地理位置阻擋(Geographical Blocking): 如果您沒有正當的業務理由接收來自某些國家的流量,此功能可協助阻擋整個國家的連線。請注意,高明的攻擊者會使用位於不同國家的機器人網路(Botnets)和 VPN 來繞過地理過濾器,因此您仍需要建置多層防禦。

3. 前置身分驗證與單一登入 (SSO)

零信任的核心原則是「永不信任,始終驗證」。LoadMaster 解決方案透過在網路邊緣(Edge)處理身分驗證來支持這一原則。藉由與地端(On-premises)的身分識別提供者(Identity providers)或現代解決方案(如 Azure Entra ID)整合,負載平衡器會在授予後端系統存取權限之前,先驗證使用者的身分。

LoadMaster 解決方案支援強大的驗證方法,包括多因素身分驗證(MFA)和基於憑證的身分驗證。對於聯邦政府客戶,它還支援通用存取卡(CAC),有助於維持高水平的合規性。

4. 零信任存取閘道 (ZTAG)

Kurt 的演講還涵蓋了創新的 LoadMaster 零信任存取閘道(ZTAG)。這不是一個獨立的產品,而是一種利用 LoadMaster 內建的內容規則與原則引擎的高階應用方式。

會中展示了 ZTAG 如何利用基於 PowerShell 的原則建立器(Policy builder)和 XML 檔案來建立細緻的、由原則驅動的存取控制。在現場操作示範中,Kurt 展示了這如何讓組織能夠限制 AWS S3 儲存空間的流量,為某個安全區域授予「唯讀」權限,同時允許另一個區域擁有「讀寫」權限——而這一切全都是透過 LoadMaster 負載平衡器進行管理。


結語

對安全性採取「設定後就一勞永逸」的方法已不再可行。當前的威脅需要動態、多層次的防禦,以因應您的流量走向進行調整。正如 Kurt 所演示的,LoadMaster 解決方案所做的遠不止於分配流量,它還透過驗證每一個請求來扮演守門人的角色。

我們誠摯邀請您觀看線上研討會錄影,聆聽 Kurt 對此主題的精闢概述,並親自觀看包含 ZTAG 原則建立器在內的實作示範。它清晰地描繪了這些技術解決方案如何轉化為對您的數據和應用程式的實質保護。


關於作者:Rochelle Wheeler

Rochelle Wheeler 是 Progress 基礎架構團隊的全球需求發掘行銷主管,專注於 Kemp LoadMaster 負載平衡解決方案。她擁有超過二十年的行銷與專案管理成功經驗,曾為從精品代理商到財星 500 大企業等多種規模的公司發起行銷活動。您可以在 LinkedIn 上關注她。

文章來源: On-Demand Technical Webinar: Build a Stronger Zero Trust Foundation with Load Balancers

You cannot copy content of this page