論文の概要: Hard-Earned Lessons in Access Control at Scale: Enforcing Identity and Policy Across Trust Boundaries with Reverse Proxies and mTLS
- arxiv url: http://arxiv.org/abs/2508.01863v1
- Date: Sun, 03 Aug 2025 17:32:11 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-08-12 13:52:02.935275
- Title: Hard-Earned Lessons in Access Control at Scale: Enforcing Identity and Policy Across Trust Boundaries with Reverse Proxies and mTLS
- Title(参考訳): 大規模アクセス制御の難題:逆プロキシとmTLSによる信頼境界を越えたアイデンティティとポリシーの強化
- Authors: Sanjay Singh, Mitendra Mahto,
- Abstract要約: 今日のエンタープライズ環境では、Virtual Private Networks(VPN)やSSO(Single Sign-On)といった従来のアクセス方法は、分散された動的労働力へのアクセスをセキュアにスケーリングすることに関して、しばしば不足しています。
本稿では,Multual TLS(mTLS)と集中型SSOを統合したリバースプロキシを活用した,最新のゼロトラスト対応アーキテクチャの実装経験について述べる。
この多次元ソリューションには、デバイスごとの認証とユーザ毎の認証、セキュリティポリシの集中的な実施、包括的な可観測性が含まれる。
- 参考スコア(独自算出の注目度): 0.5371337604556311
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: In today's enterprise environment, traditional access methods such as Virtual Private Networks (VPNs) and application-specific Single Sign-On (SSO) often fall short when it comes to securely scaling access for a distributed and dynamic workforce. This paper presents our experience implementing a modern, Zero Trust-aligned architecture that leverages a reverse proxy integrated with Mutual TLS (mTLS) and centralized SSO, along with the key challenges we encountered and lessons learned during its deployment and scaling. This multidimensional solution involves both per-device and per-user authentication, centralized enforcement of security policies, and comprehensive observability, hence enabling organizations to deliver secure and seamless access to their internal applications.
- Abstract(参考訳): 今日のエンタープライズ環境では、Virtual Private Networks(VPN)やSSO(Single Sign-On)といった従来のアクセス方法は、分散された動的労働力に対するアクセスをセキュアにスケーリングする上で不足することが多い。
本稿では,Multual TLS(mTLS)と集中型SSOを統合したリバースプロキシを活用する,最新のゼロトラスト対応アーキテクチャの実装経験と,デプロイとスケーリングで学んだ教訓を紹介する。
この多次元ソリューションには、デバイス単位の認証とユーザ単位の認証、セキュリティポリシの集中的な実施、包括的な可観測性の両方が含まれている。
関連論文リスト
- LLM Agents Should Employ Security Principles [60.03651084139836]
本稿では,大規模言語モデル(LLM)エージェントを大規模に展開する際には,情報セキュリティの確立した設計原則を採用するべきであることを論じる。
AgentSandboxは、エージェントのライフサイクル全体を通して保護を提供するために、これらのセキュリティ原則を組み込んだ概念的なフレームワークである。
論文 参考訳(メタデータ) (2025-05-29T21:39:08Z) - Zero-Trust Foundation Models: A New Paradigm for Secure and Collaborative Artificial Intelligence for Internet of Things [61.43014629640404]
Zero-Trust Foundation Models (ZTFM)は、ゼロトラストセキュリティの原則をIoT(Internet of Things)システムの基盤モデル(FM)のライフサイクルに組み込む。
ZTFMは、分散、異質、潜在的に敵対的なIoT環境にわたって、セキュアでプライバシ保護のAIを可能にする。
論文 参考訳(メタデータ) (2025-05-26T06:44:31Z) - Unveiling the Landscape of LLM Deployment in the Wild: An Empirical Study [5.1875389249043415]
大規模言語モデル(LLM)は、オープンソースおよび商用フレームワークを通じてますますデプロイされ、個人や組織が高度なAI機能を自己ホストできるようになる。
安全でないデフォルトと設定ミスはしばしばLLMサービスをパブリックインターネットに公開し、セキュリティとシステムエンジニアリングの重大なリスクを生じさせる。
本研究は、大規模実証研究を通じて、野生における公共のLLM展開の現況を明らかにすることを目的としている。
論文 参考訳(メタデータ) (2025-05-05T09:30:19Z) - Establishing Workload Identity for Zero Trust CI/CD: From Secrets to SPIFFE-Based Authentication [0.0]
CI/CDシステムは、現代のインフラストラクチャでは特権的な自動化エージェントになっていますが、そのアイデンティティは依然として、システム間で渡されるシークレットや一時的な認証に基づいています。
本稿では、静的認証からOpenID Connect(OIDC)フェデレーションへの移行について述べ、非人間アクターのプラットフォーム中立性モデルとしてSPIFFEを紹介した。
論文 参考訳(メタデータ) (2025-04-20T23:06:03Z) - Fundamental Limits of Hierarchical Secure Aggregation with Cyclic User Association [93.46811590752814]
階層型セキュアアグリゲーションは、フェデレートラーニング(FL)によって動機付けられる
本稿では,各ユーザが連続する$B$のリレーに接続される循環型アソシエーションパターンを用いたHSAについて考察する。
勾配符号化にインスパイアされた入力に対するメッセージ設計を含む効率的なアグリゲーション方式を提案する。
論文 参考訳(メタデータ) (2025-03-06T15:53:37Z) - Combined Hyper-Extensible Extremely-Secured Zero-Trust CIAM-PAM architecture [0.0]
本稿では,CHEZ (Combined Hyper-Extensible Extremely-Secured Zero-Trust) CIAM-PAMアーキテクチャを提案する。
このフレームワークは、パスワードレス認証、適応型多要素認証、マイクロサービスベースのPEP、マルチレイヤRBAC、マルチレベル信頼システムを統合することで、重要なセキュリティギャップに対処する。
エンドツーエンドのデータ暗号化や、最先端のAIベースの脅威検出システムとのシームレスな統合も含まれている。
論文 参考訳(メタデータ) (2025-01-03T09:49:25Z) - F-RBA: A Federated Learning-based Framework for Risk-based Authentication [0.5999777817331317]
我々は,フェデレート・ラーニングを活用し,プライバシ中心のトレーニングを保証するフェデレート・リスクベース認証(F-RBA)フレームワークを提案する。
F-RBAは、リスクアセスメントをユーザーのデバイス上でローカルに行う分散アーキテクチャを導入している。
統一されたユーザプロファイルを維持しながらデバイス間でのリアルタイムリスク評価を容易にすることで、F-RBAはデータ保護、セキュリティ、スケーラビリティのバランスを実現する。
論文 参考訳(メタデータ) (2024-12-16T19:42:30Z) - ACRIC: Securing Legacy Communication Networks via Authenticated Cyclic Redundancy Integrity Check [98.34702864029796]
安全クリティカルな業界における最近のセキュリティインシデントは、適切なメッセージ認証の欠如により、攻撃者が悪意のあるコマンドを注入したり、システムの振る舞いを変更することができることを明らかにした。
これらの欠点は、サイバーセキュリティを強化するために圧力をかける必要性を強調する新しい規制を引き起こしている。
我々は,レガシ産業通信をセキュアにするためのメッセージ認証ソリューションであるACRICを紹介する。
論文 参考訳(メタデータ) (2024-11-21T18:26:05Z) - Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。
我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
論文 参考訳(メタデータ) (2024-05-03T07:18:45Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z) - On the Integration of Self-Sovereign Identity with TLS 1.3 Handshake to Build Trust in IoT Systems [0.0]
自己主権アイデンティティ(Self-Sovereign Identity、SSI)は、人間の介入の必要性を減らす分散型オプションである。
本稿では,TLS 1.3ハンドシェイクの拡張に対処することで,大規模IoTシステムにおけるSSIの採用に寄与する。
論文 参考訳(メタデータ) (2023-11-01T09:22:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。