Çözümümüz: Sıfır güven kontrolü ile hassas dahili ağ testi
Cloudflare’nin Zero Trust Network Access (ZTNA) teknolojisi tarafından desteklenen HackerOne Gateway’e en son geliştirme olarak Gateway Dahili Ağ Testini (INT) tanıtmaktan heyecan duyuyoruz. Gateway, güvenlik programı trafiğinin yönetilmesinde üstün kontrol ve hassasiyet sağlayan Hackerone platformunun temel bileşenlerinden biridir. Gateway Int, tüm güvenlik programı trafiğini aynı ZTNA üzerinden yönlendirerek güvenli ve verimli dahili ağ testine yönelik kritik ihtiyacı ele alır. Bu, dış güvenlik araştırmacılarının, sıfır güvenin gelişmiş güvenlik ilkeleri üzerine inşa edilmiş erişim mekanizmalarına sahip üretim öncesi varlıkların kapsamlı testlerini yapmalarını sağlayan düzenlenmiş ve uyum odaklı endüstrilerde gerekli ek izlenebilirliği sağlar.
Gateway, bölünmüş bir tünel, araştırmacı düzeyinde ayrım ve TLS şifre çözme ile oturum açarak tüm test faaliyetleri üzerinde görünürlük ve kontrol sağlar. Gateway Int, Cloudflare Tüneli (Cloudflared olarak da bilinir) ve IPSEC dahil olmak üzere gelişmiş güvenlik duvarı korumasını ve endüstri standart güvenlik protokollerini sorunsuz bir şekilde entegre eder. Çözüm, kullanım kolaylığını sıfır güven güvenliği ile dengeler ve iç varlıklarda pentest için bulut akran çözümünü kolaylaştırmak için isteğe bağlı özel bir sanal makine (VM) kurulumu sunar. Müşteriler ayrıca mevcut veya yeni uç noktalarına (sunucular) CloudFled’i yükleme ve kendi kendine yönetme esnekliğine sahiptir.
Gateway Int Context’te Cloudflared ve IPSEC’yi anlamak
Bulut lekesi Cloudflare’nin ağına güvenli tüneller oluşturan bir komut satırı aracıdır. Bu, internet maruziyeti olmadan dahili uygulamalara güvenli ve hızlı erişim sağlar. Gateway Int’de, bulut aklısı şifreler ve güvenli bir şekilde tüm güvenlik testi trafiğini bir ZTNA altyapısı aracılığıyla, değerlendirme veya ağ segmentasyonu gerektiren özel pentestleri ve dahili bir ağdan test gerektiren diğer test biçimlerini destekleyerek güvenli bir şekilde yönlendirir.
| IPSEC (İnternet Protokolü Güvenliği) her IP paketini doğrulayarak ve şifreleyerek internet iletişimini güvence altına alan bir protokol paketidir. Gateway Int’de IPSEC, dahili ağlar ve güvenlik araştırmacıları arasındaki trafik için başka bir şifreleme ve güvenlik katmanı ekler, hassas verileri korur ve sürekli test kanıtı sağlar.
|
Temel avantajlar
Programa özgü kontrol ve görünürlük
Kontrol görünümü, programa ve varlıklara kimin erişebileceğini yönetir. Gateway, araştırma başına veya genel program seviyesine uygulanan araştırmacılar için kesintisiz kurulum, duraklama ve erişimin sürdürülmesini sağlar. Herhangi bir değişiklik, aerodinamik yönetim için filtreleme ve arama özellikleri ile hem duraklatılmış hem de devam eden eylemler için e -posta bildirimlerini tetikler.
INT Avantajı: Sağlam güvenlik ve uyumluluğu korurken, test faaliyetleri ve şeffaflığın kanıtını sağlayarak Cloudflare tüneli aracılığıyla ayrıntılı raporlama içeren kontrollü hata ödül programları sağlar.
İzin verilen IP adresleri
Gecikmeyi azaltmak ve performansı artırmak için izin verilen IP adresleri varlık konumuna en yakın atanır. Ayarlar görünümü, bilgisayar korsanları, pentesters, triagers ve program yöneticileri için ayrı sekmeler ve işlemleri tek bir tıklamayla duraklatma, devam ettirme ve filtreleme yeteneğini içerir.
INT Avantajı: 7/24 IP İzin Verme İzleme ve Testi Gerektiğinde Duraklatma yeteneği ile tüm varlıklarınız üzerinde programa özgü kontrolü koruyun.
Günlük görünümünü ve gerçek zamanlı günlük akışını indirin
Cloudflared çözümü için mevcut olan günlük yönetimi özelliği, olay araştırması ve hacker aktivite analizi için HTTP, oturum ve ağ günlükleri içeren bir ZIP arşivi indirmeyi kolaylaştırır. Ayrıca, SIEM entegrasyonu için çeşitli bulut depolama hedeflerine gerçek zamanlı bir günlük akışı oluşturmayı destekleyerek tipik 20 dakikalık gecikme süresini azaltır.
INT Avantajı: Kontrollü erişim ve kapsamlı günlüğü sağlayarak GDPR, HIPAA ve SOX gibi yasalara göre düzenleyici uyum sağlar ve gelişmiş güvenlik izleme için zamanında ve verimli veri analizini geliştirir.
Etkinlik günlükleri aracılığıyla güvenlik araştırmacısı etkinlik kontrolü
Etkinlik günlükleri gerçek güvenlik araştırmacısı etkinliğine görünürlük sağlar. Hangi araştırmacıların, program yöneticilerinin ve triagers’ın URL’lere eriştiğini detaylandırırlar ve bilgi erişimini kolaylaştırmak için filtreler ve tarih aralıkları mevcuttur.
İnt avantajı: Hassas izleme, meşru güvenlik araştırmacısı trafiği ile gerçek tehditler arasında ayrım yapar ve güvenlik uyarılarını azaltır.
Veri odaklı katılım analizi
Gateway’e özgü analitik görünümü, etkileşimi artırmak, varlık dokunuş frekansını anlamak ve programınızı geliştirmek için temel bilgiler sağlar. Aktif bilgisayar korsanları, en iyi katkıda bulunanlar, genel etkinlik ve program başına varlık talepleri hakkında bilgi içerir.
İnt avantajı: Gelişmiş katılım analizi, veri odaklı strateji ayarlamalarını bilgilendirmek ve program YG’ini göstermek için verileri görüntülemenize, analiz etmenize ve indirmenize olanak tanır.
Zahmetsiz dahili ağ pentesting
İster dahili bir uygulama ister kısıtlı bir sanal alan olsun, bir test ortamına kısıtlı erişim sağlamak, her zaman en pantolonun zor bir parçasıdır. Yayın öncesi web uygulama özellikleri için, müşterilerin genellikle yalnızca yetkili test cihazlarına erişimi sınırlaması gerekir. Geleneksel olarak, bu, güvenlik duvarı kurallarını değiştirme, VPN hesapları ekleme ve yavaş ağ erişimi ve hantal yapılandırmalar nedeniyle pentester verimliliğini ironik bir şekilde tehlikeye atabilen sanal masaüstlerine erişim sağlama gibi önemli ayarlamalar içerir.
Cloudflare’nin çözgü teknolojisi tarafından desteklenen Hackerone’s Gateway, Pentesters’ı birden fazla IP adresi toplamaya gerek kalmadan hedeflere güvenli bir şekilde bağlayan sıfır bir güven tüneli oluşturarak bu süreci kolaylaştırıyor. Kuruluşlar hala güvenlik duvarlarını ayarlıyor, ancak çok sayıda IP’yi yönetmenin karmaşıklığından kaçınıyor. Test uzmanlarının uç noktalarındaki Warp istemcisi, kimliklerini ve cihazlarını doğrular ve erişimin kolay verilmesine, iptal edilmesine ve denetlenmesine izin verir.
Gateway, sanal masaüstlerine veya VDI/VM ortamlarına kesintisiz erişim sağlayarak daha yüksek kaliteli en pahalı sonuçlar sunar. Pentest’ler genellikle sıkı son teslim tarihleri üzerindedir ve Gateway’in iyi belgelenmiş, performanslı, öngörülebilir ve tekrarlanabilir çözümü, tipik olarak erişimin ayarlanmasıyla ilişkili aciliyet ve güvenlik değişimlerini ele alır. Bu, güvenlik önceliklerini operasyonel taleplerle hizalayarak daha güvenli ve üretken bir çirkinlik süreci ile sonuçlanır.
Gateway Int, gerçek dünya saldırılarını simüle eden pentestleri sağlayarak dahili ağ güvenliğini geliştirir. Gateway’e bu son ekleme:
- Cloudflared kullanılarak kendi kendini yöneten yapılandırma: Kuruluşlar, VPN kurulumlarının karmaşıklığı olmadan şifrelenmiş ve korunan trafiği sağlayarak bulut akran tünelini bağımsız olarak yapılandırabilir.
- Gateway Int Virtual Machine: Bu, Gateway Int güvenli tünel uyumluluğu için önceden yapılandırılmış bir sanal makine (VM) sağlar ve güncel bir araç seti ile yüklenir, böylece değerlendiriciler ağınızda kapsamlı testlere başlamaya hazırdır. Bu, süreci basitleştirir ve tüm güvenlik önlemlerinin en başından itibaren mevcut olmasını sağlar.
Bir VM benimseme seçeneği ile Gateway Int, iç varlıklarda pentest yapmayı kolaylaştırır. Bu çözüm, dahili ağ pentestleri için fiziksel cihazlar gönderme ve pentesterler için bireysel VM’ler kurma ve hem güvenlik ekipleri hem de test cihazları için tüm süreci düzene sokma ihtiyacının yerini alır. Ağ Geçidi VPN/Tüneli ve Gateway VM kombinasyonu, ağa erişmek ve içeriden kapsamlı testler yapmak için uçtan uca destek sağlar.
İleriye Bakış
Bu blog Gateway Int. Müşterilerimizin çözümü nasıl kullandığını gözlemlerken, sürekli olarak iyileştirmeler yapmak ve kullanıcı deneyimini geliştirmek için fırsatlar arıyoruz. Yaklaşan gönderilerde şunları keşfedeceğiz:
- Dahili ağ düzlemlerinin detayları ve en iyi uygulamalar.
- Özel ödül programları için ayrıntılı kullanım durumları.
Gateway Int ile Başlayın
Dahili ağ güvenliği için hassasiyetinizi artırmaya hazır mısınız? Hackerone Gateway’i iş başında görmek için güvenlik uzmanlarımızdan biriyle tanışın. Daha fazla bilgi ve ürün belgeleri için Gateway Ebeveyn sayfamızı ve Gateway Dahili Ağ Test sayfamızı ziyaret edin.