Pangolin

Что такое Pangolin?

Pangolin — платформа zero trust, которая обеспечивает identity-aware доступ к приложениям и инфраструктуре. Она позиционируется как «лучше вашего существующего VPN», используя проверки identity и безопасности устройств для доступа к конкретным ресурсам.

Платформа устанавливается на устройства пользователей для создания прямых WireGuard® туннелей к удалённым средам в on-prem, cloud и edge. Решения о доступе реализуются с помощью identity и context-aware правил.

Ключевые возможности

• Identity-aware доступ к приложениям и инфраструктуре: Пользователи получают доступ только к разрешённым ресурсам на основе identity, а не только сетевого расположения.
• Проверки безопасности устройств и пользователей на каждом шаге: Pangolin оценивает identity и безопасность устройств во время доступа, снижая риски при сохранении удобства для пользователей.
• Прямые WireGuard® туннели с устройств пользователей: Pangolin «устанавливается на устройства пользователей» и создаёт зашифрованные туннели к удалённым средам.
• Работает за любым файрволом через установленный connector: Пользователи подключаются через connector, который может размещаться за существующими сетевыми границами.
• Централизованное управление правилами доступа на уровне приложений: Платформа поддерживает применение identity и context-aware правил для конкретных приложений.

Как использовать Pangolin

1. Разверните компоненты Pangolin, чтобы connector был доступен за вашим файрволом, а устройства пользователей могли запускать Pangolin.
2. Подключите пользователей с их существующей identity, чтобы решения о доступе были identity-aware.
3. Определите правила доступа для конкретных приложений с использованием identity и context-aware политик.
4. Разрешите пользователям доступ к удалённым средам через WireGuard® туннели с проверками identity и безопасности устройств на каждом этапе.

Сценарии использования

• Предоставление контролируемого доступа к self-hosted приложениям: Разрешайте доступ к конкретным внутренним приложениям с identity- и context-aware правилами вместо широкого сетевого доступа.
• Безопасный удалённый доступ в on-prem, cloud и edge: Используйте подход с WireGuard® туннелями для доступа к ресурсам в разных средах.
• Замена или дополнение VPN-воркфлоу: Обеспечьте доступ в стиле «лучшего VPN» с фокусом на разрешениях на уровне приложений и централизованных политиках доступа.
• Снижение операционных затрат при управлении ACL по узлам: Решайте проблемы в средах, где управление ACL на каждом узле сложно, централизуя доступ на уровне приложений.
• Развёртывания IT и безопасности с быстрой установкой: Используйте модель развёртывания, разработанную как «лёгкую в установке», без длительных контрактов на профессиональные услуги (как указано в отрывке из отзыва).

FAQ

• Pangolin — это VPN? Pangolin описывается как «лучший VPN» и использует WireGuard® туннели с устройств пользователей к удалённым средам, но также явно позиционируется как zero trust платформа доступа с фокусом на identity-aware доступе на уровне приложений.

• Что значит «connector за любым файрволом»? На сайте указано, что Pangolin использует «лёгкий в развёртывании connector за любым файрволом», что позволяет размещать connector внутри существующей сетевой периметра для подключения пользователей.

• С каких устройств могут подключаться пользователи? Платформа поддерживает macOS, iOS, Windows, Linux и Android, что подразумевает возможность запуска Pangolin на этих платформах.

• Как Pangolin решает, может ли пользователь получить доступ к приложению? Проверяет identity пользователя и безопасность устройства на каждом шаге и применяет identity и context-aware правила для доступа к конкретным приложениям.

• Pangolin — self-hosted или cloud-based? На сайте упоминаются cloud и self-hosted варианты, но детали развёртывания в отрывке не предоставлены.

Альтернативы

• Tailscale (mesh VPN для identity-aware доступа): Смежный подход к безопасному подключению с использованием WireGuard-технологий, обычно ориентированный на доступ устройство-устройство и интеграцию идентичности.
• Zscaler (платформы безопасного доступа / ZTNA-стиля): Другая категория zero trust доступа/шлюзов безопасности, часто сосредоточенная на политиках доступа к веб/приложениям на границе сети, а не на модели туннеля на устройстве.
• Другие VPN с интеграцией идентичности: Традиционные VPN-продукты в сочетании с провайдерами идентичности могут обеспечивать безопасный удалённый доступ, но чаще фокусируются на сетевом доступе, чем на политиках уровня приложений с учётом идентичности и контекста.
• Универсальные шлюзы zero trust доступа: Альтернативы в пространстве zero trust доступа обычно направлены на контроль доступа к ресурсам с помощью идентичности и политик, с различиями в месте enforcement (клиент vs. шлюз) и управлении политиками доступа.