邊界不復存在,邊界消失

邊界不復存在

無論是否從事信息安全工作，在新聞、行業(yè)會議或同行交流中，有一個詞想必很多人都聽說過：零信任。很多人認為這是一種面向未來的信息安全方法，對企業(yè)的數(shù)字化轉(zhuǎn)型和上云至關(guān)重要。

那么零信任到底是什么它比大量企業(yè)目前采用的方法到底好在哪里本文帶您一起探索。

彼時：邊界很重要

多年來，IT技術(shù)飛速發(fā)展，為我們的工作和生活帶來了很多新的變化，但有件事始終非常“固執(zhí)”地維持不變，那就是大部分企業(yè)至今依然在采用的“中心輻射型”（Hubandspoke）網(wǎng)絡架構(gòu)。

這種架構(gòu)曾經(jīng)是合理的。在互聯(lián)網(wǎng)成為業(yè)務與基礎架構(gòu)的核心之前，企業(yè)通常需要通過自己的數(shù)據(jù)中心來承載各類工作負載，這些數(shù)據(jù)中心容納了關(guān)鍵基礎架構(gòu)和五花八門的應用程序。隨著企業(yè)在各地上線分支辦公室、零售店面以及遠程辦公位置，這些位置的員工同樣需要訪問位于中心位置的應用程序和數(shù)據(jù)。因而企業(yè)當時建立的網(wǎng)絡也反映了這種需求：所有網(wǎng)絡最終都要回歸至核心數(shù)據(jù)中心，畢竟數(shù)據(jù)中心是需要進行各類處理的核心所在。

然而時至今日，攻擊者也開始利用這種架構(gòu)，并催生了一種全新的行業(yè)：數(shù)據(jù)中心安全棧。由于傳統(tǒng)的中心輻射型架構(gòu)需要將龐大的互聯(lián)網(wǎng)流量匯聚在數(shù)據(jù)中心，因此需要由更強大的技術(shù)和設備來保護這些對業(yè)務而言至關(guān)重要的命脈。防火墻、入侵檢測和預防系統(tǒng)、安全Web網(wǎng)關(guān)（SWG）、數(shù)據(jù)丟失防護……各類系統(tǒng)開始陸續(xù)出現(xiàn)在企業(yè)網(wǎng)絡架構(gòu)中。

這些部署在中央位置的安全設備進一步鞏固了中心輻射型架構(gòu)作為主要網(wǎng)絡架構(gòu)的地位。簡單來說，這種做法實際上就是構(gòu)筑了一道“城堡加護城河”，并且此時我們有著非常鮮明的網(wǎng)絡安全邊界：“邊界之外皆壞蛋，邊界之內(nèi)皆好人”。

但云計算改變了這一切?，F(xiàn)在的安全措施必須能為邊界之外的大量用戶和應用程序提供支持。

此時：邊界消失于無形……

簡而言之，應用程序正在四處移動。但它們并不孤單，當今的勞動力市場和工作環(huán)境都發(fā)生了顯著變化，人們進行工作的時間、方式和地點早已超過了辦公室小隔間的局限。因此可以說，網(wǎng)絡邊界早已消失不見。用戶與應用程序可能位于護城河內(nèi)，但也可能位于護城河外。如果遭遇高級持續(xù)威脅，我們很可能不經(jīng)意間讓邊界內(nèi)的惡意人員完全訪問到企業(yè)最寶貴的數(shù)據(jù)資產(chǎn)。

用20年前的安全訪問方法保護當今現(xiàn)代化數(shù)字環(huán)境，這無疑是錯位的，甚至某些情況下是非常危險的。這并非憑空猜想的結(jié)論。過去五年來發(fā)生的很多數(shù)據(jù)泄露事件讓我們很明顯地注意到，大部分數(shù)據(jù)泄露事件都是網(wǎng)絡邊界內(nèi)信任被濫用所導致的。

而另一種情況又進一步加劇了這個問題：一般來說，如果某個應用程序從最開始就打算只在網(wǎng)絡邊界內(nèi)部運行和使用，那么通常在安全性上就很容易無法得到重視。

零信任網(wǎng)絡架構(gòu)

該領域的思想領袖，時任Forrester分析師的John Kindervag提出了“零信任”（Zero Trust）解決方案。其背后的理念非常簡單，但又非常強大：信任不應該是某些位置的固有特征。簡單來說，我們不能僅因為某個系統(tǒng)位于防火墻后面就直接信任它。相反，應該在安全性方面采取悲觀觀點，首先假定任何計算機、用戶和服務器都不可信，除非事實證明并非如此。

零信任基本原則

那么又該如何證明強身份驗證和授權(quán)，并且在建立信任之前不進行任何數(shù)據(jù)傳輸操作。此外還應通過分析、篩選和日志記錄等措施來驗證所有行為的正確性，并持續(xù)觀察是否存在代表威脅的信號。

這一根本性轉(zhuǎn)變挫敗了過去十多年來我們見過的大部分威脅。攻擊者將無法繼續(xù)花時間找到外圍弱點，然后訪問護城河內(nèi)部的敏感數(shù)據(jù)和應用程序。因為護城河早已不復存在現(xiàn)在，企業(yè)網(wǎng)絡中可以只有應用程序和用戶，而應用程序與用戶的每次訪問前都要相互驗證身份并獲得授權(quán)。

這就是零信任但企業(yè)這又該如何實現(xiàn)

歡迎繼續(xù)閱讀本系列的下篇內(nèi)容，我們將從Akamai各類產(chǎn)品和解決方案入手，結(jié)合零信任的基本原則和理念，告訴大家如何快速構(gòu)建出行之有效的零信任網(wǎng)絡架構(gòu)，在全新的數(shù)字化時代為寶貴的業(yè)務和數(shù)據(jù)提供充分保護。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。