Основная задача средств защиты на уровне клиента и бизнес-приложения — усложнить возможность «автоматизированного» сбора данных в случае утраты контроля над рабочим местом пользователя, а также исключить возможность доступа к сервису вне рабочего места пользователя.

Безопасный доступ ко всем ресурсам независимо от их местоположения

Для этого применяются следующие подходы:

Механизмы контроля серверного и клиентского сертификатов

Механизмы аутентификации клиента (совместно с аутентификацией пользователей на уровне бизнес-приложения)

Механизмы использования различных клиентов (и секретов) для работы с различными сущностями

Механизмы передачи данных конечного пользователя при обращении к БД

Основной уровень защиты данных при утрате контроля над рабочим местом пользователя или злоупотреблении со стороны легитимного пользователя.

Основные механизмы защиты:

Проверка адресов (белые/черные списки)

Аутентификация и идентификация пользователей и клиентов

Частотная фильтрация запросов на основании статистической модели

Фильтрация ответов (маскирование, ограничение)

Проверка и регистрация всего трафика

На данном уровне все механизмы защиты нацелены на предотвращение доступа к данным со стороны привилегированных пользователей (в том числе администраторов средств виртуализации) в случае утраты контроля над рабочими местами, утраты учетных данных, умышленного злоупотребления.

Механизмы защиты базируются на нескольких принципах:

Инверсия управления

Доверенное ПО

Проверка целостности образа виртуальной машины

Отсутствие прямого доступа

Стратегия минимальных привилегий и инверсивных механик управления

Контролируемый запуск

Общие принципы

В реализации продукта заложены три концепции модели Zero Trust (концепция Нулевого Доверия).