LoadMaster® 零信任存取閘道架構
Kemp ZTAG 提供了一種創新的方法,能以輕量、低摩擦、多層次的方式,為關鍵應用程式提供安全存取。
安全存取您的應用程式與服務
Kemp 的零信任存取閘道(ZTAG)專為簡化零信任模型的應用而設計,能透過既有的負載平衡器部署,為已發佈的工作負載與服務提供安全存取。此架構結合了 LoadMaster ADC、身分與存取管理(IAM)整合,以及智慧型情境化流量導向,以保護受代理的應用程式。
基於 API 的政策建置工具,允許定義並套用零信任存取閘道政策,並能自動部署至 LoadMaster 負載平衡器實例。

遠端應用程式存取
• iDP 整合
可與雲端身分提供者整合,在授予存取受保護的應用程式與服務之前,驗證用戶身分與憑證。
• 基於位置的政策邏輯
利用用戶端請求的位置,結合其他通訊特徵,來決定服務存取與請求導向。
• 選擇性驗證
可依照預先定義的安全區域,控制用戶端工作階段所需的驗證等級。
存取區隔
• 多網路分段服務發佈
能跨多個存取區或 VLAN 發佈共享資源與服務,並根據信任等級套用專屬規則與邏輯。對個別應用程式服務進行邏輯隔離,亦能支援基於微服務架構的部署。
• PCI DSS 合規
存取敏感資訊的流量可限制於特定隔離的用戶端來源區,並強制加密與額外的多因子驗證要求。這些能力結合 Web 應用程式防火牆服務與傳輸中資料加密,共同滿足 PCI DSS 的合規需求。
整合並降低成本
• 解決方案整合
隨著遠端工作環境的增加,與安全應用程式發佈和存取解決方案相關的支出可能加倍——將服務整合至單一解決方案能簡化管理並降低營運成本。
• 最大化投資報酬率
當 Kemp 負載平衡器被用作零信任存取閘道(ZTAG)時,能最大化既有基礎架構的投資回報。
限制橫向移動以減輕內部威脅
• 安全群組存取驗證
透過與常見的目錄服務與身分提供者整合,能將安全群組成員資格作為邏輯輸入,用於判斷所需的應用程式存取權限。
• 主動流量導向政策
利用使用者的安全群組成員資格,決定其可連線的應用程式服務以及可執行的通訊類型。未通過驗證的連線將被主動重新導向,並在其接觸高信任服務前套用更嚴格的驗證,以降低暴力破解存取的風險。
保護微服務與容器化應用程式
• 東西向流量管理
在服務間通訊中套用零信任模型,實現縱深防禦,以強化微服務架構的安全性,並在環境遭到入侵時減少潛在損害。
• 服務層級存取控制
實作細緻的存取控制至應用程式內的各個服務,而非傳統安全模型常見的「全有或全無」模式。
• Kubernetes 整合
利用 Kemp 的 Kubernetes 端點發佈與 Ingress 控制器功能,能將傳統工作負載所套用的存取政策延伸至容器化應用。
物件儲存存取控制
• 基於方法的存取政策
可依據用戶端的安全區域與身分,對 S3 儲存桶進行細緻的應用程式與使用者存取控制,甚至精細到儲存操作層級(例如:允許安全區域 A 的用戶僅能讀取,而安全區域 B 的用戶則可讀寫,但禁止刪除)。
• 情境化 S3 流量感知
利用 S3 流量中常見的標頭資訊(如驗證標頭),來決定物件儲存桶的存取權限與流量導向策略。
👉 進一步了解零信任在物件儲存上的存取控制。
關鍵功能
- 身分提供者(iDP)整合
- 多因子驗證與單一登入(SSO)
- 針對受代理應用程式的複雜存取控制與流量導向
- 基於流量特徵的細緻化政策調整
- 透過 REST 型政策建置工具進行自動化組態與部署
- 應用程式反向代理
- 基礎架構即程式碼(IaC)的組態模型
- 基於身分的應用程式存取隔離
- 安全的多網路服務發佈