Live-Vertrauensentscheidung für jeden Endpunkt vom Benutzergerät bis zum Anwendungsserver.
Im Enterprise-Zugriff wird Vertrauen nicht nur mit Benutzername und Passwort hergestellt. Von welchem Gerät sich der Benutzer verbindet, der Sicherheitszustand dieses Geräts, die Konformität des mobilen Geräts und der tatsächliche Zustand des Anwendungsservers müssen ebenfalls Teil der Entscheidung sein.
TR7 ETM, der Endpoint Trust Manager, verwandelt Benutzergeräte, mobile Geräte und Anwendungsserver in ein Live-Vertrauenssignal. Die Geräteposture wird mit den AAM-Zugriffsrichtlinien, die Serverintegrität mit den ADC-Routing-Entscheidungen verknüpft.
Ergebnis: Die Zugriffsentscheidung ist nicht einmalig, sondern bleibt während der Sitzung aktuell. Riskante Geräte werden blockiert, konforme Geräte kontrolliert zugelassen, beanspruchter Server-Verkehr abgezogen und der gesamte Prozess auditierbar protokolliert.
Messen Sie das Gerätevertrauen. Verwalten Sie den Zugriff entsprechend.
ETM ist die Endpoint Trust Manager-Schicht, die die von Client-, mobilen Geräten und Anwendungsservern gesammelten Live-Signale mit TR7 AAM-, ADC-, Central Management- und SIEM-Stream verbindet.
Fünf Fähigkeitsschichten, ein Vertrauensmodell
Viele Enterprise-Zugriffssysteme überprüfen das Gerät nur beim Verbindungsaufbau. Wenn das Gerät zu diesem Zeitpunkt geeignet erscheint, wird der Zugriff gewährt; nachdem die Sitzung jedoch begonnen hat, kann der Sicherheitsagent angehalten werden, die Gerätekonfiguration kann sich ändern oder ein riskanter Prozess kann ausgeführt werden. Auf der Server-Seite gibt es eine ähnliche Lücke: Weil der Dienst antwortet, gilt er als gesund. Tatsächliche Vertrauensentscheidungen werden jedoch durch kontinuierliche Überwachung des Geräte- und Serverstatus getroffen.
Das Gerät kann beim Login sicher erscheinen. Nachdem die Sitzung jedoch begonnen hat, kann der Sicherheitsagent stoppen, die Festplattenverschlüsselung kann sich abschalten, ein schädlicher Prozess kann starten oder das Gerät kann außerhalb der Richtlinie geraten. Das klassische Modell kann diese Änderung nicht sofort in die Zugriffsentscheidung übertragen.
IP-Adresse, Betriebssystemname oder grundlegende Geräteinformationen reichen für den echten Vertrauensstatus nicht aus. Software-Inventar, laufende Prozesse, Sicherheitsagent, Festplattenverschlüsselung, Zertifikat- und Konfigurationsstatus müssen gemeinsam bewertet werden.
Nur ein riskantes Gerät zu melden ist keine Sicherheit. Das Operations-Team muss in der Lage sein, das Gerät zu isolieren, Befehle auszuführen, riskante Prozesse zu beenden und Beweise aus der Ferne zu sammeln.
Ein Anwendungsserver kann antworten; aber CPU kann hoch, RAM kann erschöpft, Festplatte voll oder das Datenbankverbindungslimit erreicht sein. Damit ADC die richtige Entscheidung trifft, muss er auch den internen Zustand des Servers kennen.
Der grundlegende Ansatz von ETM ist: Im Enterprise-Zugriff sollten Gerätevertrauen, mobile Konformität und Serverintegrität nicht getrennt verwaltet werden. Dasselbe Vertrauensmodell sollte auf Benutzergeräten, mobilen Geräten und Anwendungsservern funktionieren. ETM sammelt diese Signale in einer einzigen TR7-Verwaltungsschicht und verbindet sie mit Zugriffs-, Routing-, Incident-Response- und Audit-Prozessen.
Unternehmensgeräte werden mit demselben Datenmodell überwacht. Der Geräte-Vertrauensscore kann als Live-Entscheidungseingabe in AAM-Zugriffsrichtlinien verwendet werden.
Von Anwendungsservern werden CPU-, RAM-, Festplatten-, Dienst-, Prozess- und Anwendungsmetriken gesammelt. Diese Daten liefern Live-Signale für ADC-Routing-Entscheidungen.
Android- und iOS-Geräte werden in denselben Verwaltungsbereich aufgenommen. Unternehmensprofile, App-Verteilung, selektive Löschung und Konformitätsprüfungen werden von einer einzigen Plattform verwaltet.
ETM funktioniert nicht als separates Endpoint-Tool, sondern als Vertrauensschicht der TR7 Application Delivery und Security-Plattform. AAM, ADC, WAAP, Central Management und SIEM verwenden denselben Signalfluss.
ETM besteht aus vier Hauptschichten. Zuerst wird der Vertrauensstatus des Geräts kontinuierlich gemessen. Bei Bedarf erfolgt eine Remote-Intervention. Auf der Server-Seite wird der tatsächliche Gesundheitszustand in ADC-Entscheidungen übertragen. Schließlich werden Anwendungsdateien, Release-Prozesse und Konfigurationsänderungen mit Integritätsprüfung überwacht.
Das Gerät wird nicht nur beim Login bewertet, sondern während der gesamten Sitzung. Software-Inventar, Status des Sicherheitsagenten, Hardware-Informationen, Konfigurationsänderungen, Zertifikatsstatus, Netzwerk-Interfaces und grundlegende Sicherheitssignale werden regelmäßig gesammelt.
ETM überwacht nicht nur Geräte, sondern macht sie verwaltbar. SOC- und IT-Teams können Live-Abfragen ausführen, Befehle senden, Dateien abrufen, riskante Prozesse beenden oder das Gerät vom Netzwerk isolieren.
Der ETM-Agent läuft auf Anwendungsservern und überträgt den tatsächlichen Zustand des Servers an ADC. So wird die Routing-Entscheidung nicht nur basierend auf einer einfachen externen Gesundheitsprüfung getroffen, sondern auch basierend auf dem Live-Ressourcenstatus des Servers.
ETM überwacht Datei-, Verzeichnis-, Binary- und Konfigurationsänderungen auf Servern und macht die Anwendungsintegrität sichtbar. Unbefugte Änderungen, Webshell-Verdacht, Cluster-Drift und Release-Prozesse können mit operativen Entscheidungen verknüpft werden.
ETM verwaltet Client-, Mobile- und Server-Seite ohne sie auf separate Tools aufzuteilen. Auf Desktop- und Server-Systemen gibt es einen Agenten, auf mobilen Geräten MDM, auf der TR7-Seite zentrale Verwaltung und Richtlinien-Engine. Dank dieser Architektur arbeiten Unternehmens-Gerätevertrauens-, Anwendungszugriffs- und Server-Routing-Entscheidungen über dieselbe Datenleitung.
ETM schließt die Lücke zwischen Gerätesicherheit und Anwendungszugriff. Gleichzeitig stärkt es das Benutzererlebnis und die operative Kontinuität, indem es den tatsächlichen Zustand der Anwendungsserver in ADC-Entscheidungen überträgt.
Auf dem Gerät eines Benutzers stoppt der Sicherheitsagent oder das Antivirenprogramm. In der klassischen Struktur greift der Benutzer mit seiner noch offenen Sitzung weiter auf sensible Anwendungen zu.
ETM erkennt diese Änderung sofort als Vertrauensereignis. AAM kann den Zugriff aussetzen, Step-up-MFA anfordern oder die Sitzung beenden. Das SOC-Team kann das Gerät aus der Ferne isolieren und forensische Daten sammeln.
Arzt, Finanzexperte oder Außendienstmitarbeiter möchte von seinem eigenen Gerät auf die Unternehmensanwendung zugreifen. Das Gerät befindet sich nicht im Unternehmensinventar und die Sicherheitsposture ist unklar.
ETM überprüft den Vertrauensstatus mobiler oder Desktop-Geräte. Geeigneten Geräten wird Zugriff gewährt, auf riskanten Geräten werden zusätzliche Verifizierungen oder Blockierungen angewendet. Auf mobilen Geräten werden Unternehmensdaten mit Arbeitsprofil und selektiver Löschung vom persönlichen Bereich getrennt.
Ein Anwendungsserver gibt HTTP 200 zurück; aber das Datenbankverbindungslimit ist erreicht, CPU ist hoch oder die Queue-Tiefe ist gewachsen. Benutzer erleben Langsamkeit, aber die klassische Gesundheitsprüfung sieht den Server als gesund.
Das ETM-Server-Vertrauenssignal überträgt diesen Druck als Live-Daten an ADC. ADC reduziert das Verkehrsgewicht des betreffenden Servers schrittweise und leitet neue Anfragen an gesündere Server um.
Der Auditor fragt, ob auf allen Geräten die Festplattenverschlüsselung aktiviert ist, ob der Sicherheitsagent läuft, ob es auf kritischen Servern Konfigurationsabweichungen gibt. Im klassischen Modell werden diese Beweise manuell aus verschiedenen Tools gesammelt.
ETM erstellt mit Live-Abfrage und Reporting Echtzeitnachweise über das Geräte- und Server-Inventar. Der Audit-Prozess geht vom manuellen Listensammeln weg und basiert auf verifizierbaren Vertrauenssignalen.
Logistik-, Energie- oder Gesundheitsaußendienstteams erhalten neue mobile Geräte. Die manuelle Einrichtung von Wi-Fi-, VPN-, E-Mail-, App- und Sicherheitseinstellungen kostet Zeit.
Mit ETM MDM wird das Gerät beim ersten Start automatisch in den Unternehmensbereich aufgenommen. Erforderliche Profile, Apps und Richtlinien werden verteilt. Wenn das Gerät verloren geht, kann selektive oder vollständige Löschung angewendet werden.
Die ETM-Lizenz wird nach der Gesamtanzahl der zu verwaltenden Endpunkte geplant. Client-, mobile und Server-Geräte werden im selben Kapazitätspool bewertet. In allen Tier ist der grundlegende Funktionssatz gleich: Gerätevertrauen, Remote-Aktion, MDM, Server-Gesundheitssignal und Integritätsüberwachung.
In TR7-Paketen wird eine bestimmte Anzahl von ETM-Endpunkt-Kontingenten standardmäßig angeboten. Für umfangreichere Geräte-Inventare können die folgenden Kapazitäts-Tier hinzugefügt werden.
Alle Tier bieten denselben Funktionssatz. Es gibt keine Unterscheidung zwischen Client, Mobile und Server; das Kontingent wird aus einem einzigen Endpunkt-Pool abgezogen.
Ein Endpunkt ist eine verwaltete Betriebssysteminstanz. Laptop und mobiles Gerät desselben Benutzers werden als zwei Endpunkte gezählt. Geräte, die 60 Tage hintereinander inaktiv bleiben, können automatisch zurückgezogen werden, um das Kontingent zurückzugewinnen.
ETM unterstützt Anforderungen an Geräte-Inventar, Sicherheitsposture, Fernzugriffskontrolle, Audit-Aufzeichnung und Incident-Response. Unternehmen können den Geräte- und Server-Vertrauensstatus mit Live-Signalen dokumentieren und Audit-Prozesse messbarer machen.
Unterstützt technische Maßnahmen für die Sicherheit personenbezogener Daten. Bietet einen nachweisbaren Beitrag zum Datensicherheitsprozess mit Geräte-Vertrauensstatus, Sicherheitsagent-Kontrolle, Remote-Intervention und Audit-Spur.
Unterstützt Anforderungen an Fernzugriff, Geräte-Inventar, Logging, Drittanbieter-Zugriff und operative Auditierbarkeit. ETM verwandelt diese Anforderungen in Live-Vertrauenssignale.
Bietet zusätzliche Kontrollschicht für die Überwachung von Geräten, die auf kritische Systeme zugreifen, Vertrauenskontrolle und Incident-Response.
Unterstützt Anforderungen an Sicherheitsagent, Konfiguration, Zugriffskontrolle und Audit auf Geräten, die auf die Karteninhaberdatenumgebung zugreifen.
Stärkt die Datentrennung mit Arbeitsprofil, selektiver Löschung und Geräte-Konformitätskontrollen auf mobilen und persönlichen Geräten, die auf Gesundheitsdaten zugreifen.
ETM kann als Premium-Add-On zu den TR7-Paketen Base, Geo, Secure und Enterprise hinzugefügt werden. Das Lizenzmodell ist pro Endpunkt; Client-, mobile und Server-Geräte werden im selben Kapazitätspool bewertet. Reduziert den Bedarf an separatem MDM, separatem Endpoint Management oder separatem Server Observability Produkt.
Lassen Sie uns Ihre eigene Umgebung in der ETM-Demo gemeinsam modellieren: wie viele Endpunkte werden verwaltet, welche Gerätegruppen werden Pilot, welche Server-Signale werden mit ADC-Entscheidungen verknüpft und wie werden AAM-Zugriffsrichtlinien mit Gerätevertrauen gestärkt.