实施 Zero Trust Network Access,安全与性能兼得
我们都可能遇到过这样的场景:某天上午要召开一场重要会议,您正在对将要展示的数据进行最后检查。您打开笔记本电脑,单击业务应用程序,然后去厨房喝第一杯“醒神”咖啡。当您回来时,应用程序还在加载中,真是不可思议。
又等了一会儿,重新启动,再试一次。这次应用程序打开了,但速度很慢,而且虚拟专用网络 (VPN) 身份验证还是没有响应。您沮丧地打电话给 IT 技术支持。这个问题需要几个小时才能解决,让您压力倍增,一上午的工作顿时变得毫无成效。
我们期望应用程序能够快速启动并立即响应。加载速度缓慢和界面响应迟缓不仅会让用户感到沮丧,还会产生连锁反应,扰乱工作流程并影响工作效率,尤其是当时间浪费在故障排除或等待应用程序响应时。
解决性能问题
这种低效率往往会导致用户将问题上报给 IT 支持部门,从而进一步加重资源压力。当更多的用户面临类似的性能问题时,不堪重负的 IT 团队就会焦头烂额,无法快速解决问题。简而言之,糟糕的应用程序性能会影响个人生产力和企业的整体效率。
当企业实施了 Zero Trust Network Access (ZTNA)等 Zero Trust 网络安全解决方案时,情况可能会变得更加复杂。即使知道公司部署了额外的网络安全层,用户对加载时间和响应速度的期望也不会因此而改变。因此,应用程序性能与 ZTNA 的相辅相成变得更加重要。
要了解企业如何在不影响性能的情况下安全地实施 ZTNA,我们首先需要了解为何 ZTNA 会取代 VPN。
ZTNA 成为 VPN 更安全的替代方案
长期以来,远程员工一直使用 VPN 来访问企业专用业务应用程序。然而,这些相同的 VPN 可能会产生安全漏洞,恶意攻击者可能会利用这些漏洞入侵企业网络。
为了应对这些风险,ZTNA 应运而生,成为管理应用程序远程访问的更安全的替代方案。在新冠疫情期间,这种方法获得了广泛的支持,随着混合办公和远程办公成为现代工作场所的长期固定模式,这种方法仍然具有重要意义。
然而,随着时间的推移,企业意识到,无论员工是远程办公还是现场办公,他们都需要一致的 Zero Trust 访问控制。
ZTNA 适用于所有员工,而非仅限于远程员工
这里举个例子:假设您在办公室办公,需要访问的应用程序托管在同一位置的数据中心。由于您位于公司网络上,因此一旦通过身份验证,您就可以直接访问该应用程序,享受出色的应用程序性能。但是,这意味着 ZTNA 精细应用程序访问策略不再适用,也意味着企业不再执行 Zero Trust 原则。
这种情况与 Zero Trust 恰恰相反;访问控制不应基于员工所在的位置。如果企业为本地用户启用 ZTNA 策略,则用户将不得不通过云端入网点 (PoP) 进行连接,然后云端入网点将流量路由回本地应用程序。虽然访问安全得到了增强,但这种“迂回”流量往往会导致用户的应用程序性能不佳。
确保现场员工安全访问应用程序,同时获得卓越性能体验
图 1 展示了当用户在办公室时, Akamai Enterprise Application Access 针对本地应用程序的现有架构和流量路由情况。
性能挑战
该图左侧表明,在办公室现场办公的用户连接到区域 Enterprise Application Access 入网点 (PoP),此处实施了 ZTNA 策略。然后,流量迂回至应用程序,这可能会对性能产生负面影响。
该图右侧表明,对在办公室现场办公的用户不再启用 Enterprise Application Access。此架构消除了流量迂回现象,使用户可以直接访问应用程序,但不再实施 ZTNA 安全策略。这违背了 Zero Trust 基于身份和安全态势的最小访问权限基本原则。
使用本地入网点的 Enterprise Application Access 可解决此问题
本地入网点 (LPoP) 模式下的 Enterprise Application Access 解决了员工和专用应用程序位于同一位置时可能出现的性能和安全难题(图 2)。
引入 LPoP 后,企业可以快速激活其现有 Enterprise Application Access 连接器中的功能,无需部署和管理其他软件组件。
通过将访问策略中的本地应用程序与 LPoP 相结合,可以消除将流量迂回至 Enterprise Application Access 云入网点的现象。最终用户可以以近乎线速的速度访问本地应用程序,最重要的是,在 LPoP 模式下运行的 Enterprise Application Access 连接器支持并执行相同的 Zero Trust 访问策略。
Universal ZTNA
现在,无论用户在何处办公,他们都能以相同的精细应用程序访问权限快速访问应用程序。事实上,参加测试计划的客户报告称,与使用 Enterprise Application Access 云入网点时相比,使用 LPoP 时,文件下载速度提高了 300%,性能大幅提升。
当然,由于我们行业喜欢首字母缩写词,因此这项新功能被称为“ Universal ZTNA (UZTNA)”。
随时随地,确保出色的应用程序性能
在本地办公情况下,使用 LPoP 可以确保安全性且不影响性能,但如果员工和应用程序分散在世界各地,会发生什么情况?
例如,假设您是一家全球性企业,拥有数十个办事处和众多应用程序,这些应用程序托管在不同地区和基础架构上,如本地、 基础架构即服务 (IaaS)、 安全即服务 (SaaS)或公有云。如果在巴西工作的员工需要访问托管在美国或德国的特定应用程序,那么使用 ZTNA 解决方案确保出色应用程序性能可能就会极具挑战性。但是,这样做对于保持生产力和用户满意度至关重要。
性能挑战
在上面的示例场景中,关键挑战在于您要构建一个覆盖全球的 ZTNA 基础架构,使其既靠近用户又靠近应用程序。覆盖全球的 Akamai Connected Cloud 将为大多数企业解决这一难题。
图 3 展示了 Enterprise Application Access 当前的简要架构。如今,我们已经部署了 40 多个地区性 Enterprise Application Access 云入网点区域。但是,我们经常会发现这样的部署场景:应用程序位于某区域附近,而最终用户却离该区域很远。
这有时会导致应用程序性能不稳定,尤其是当第一英里互联网连接状况较差或应用程序使用 Microsoft SMB 等聊天协议时。
Enterprise Application Access 结合边缘传输技术,显著提升应用程序性能
为了开发解决方案,我们重新开始,提出了一种全新的方法,既能应用 Akamai Connected Cloud 的规模,又能利用 Akamai 的核心业务之一:内容交付。
图 4 显示了搭载 边缘传输 技术的 Enterprise Application Access 架构,适用于基于客户端 (TCP/UDP) 的应用程序。
在这种配置下,该架构有几个关键的不同之处。最重要的是,我们取消了架构中的 Enterprise Application Access 云入网点。取而代之的是,我们现在使用 Akamai 边缘入网点来处理应用程序入站和出站流量。
在规模方面,我们目前拥有 4,200 多个边缘入网点,这意味着无论用户设备和应用程序位于何处,我们现在都可以让 Enterprise Application Access 基础架构更靠近这些设备和应用程序。
在策略方面,现在有 Enterprise Application Access 策略引擎,该引擎可将客户的 Enterprise Application Access 策略联合到边缘入网点,这意味着在 边缘 和更靠近用户的位置执行策略。
最后,中间一英里传输采用全新的架构:ZT Core。充分运用了 Akamai 在运行全球分布广泛的大型 CDN 方面 25 年以上的专业知识,以极有效、极高效的方式在我们的平台上路由应用程序流量。
边缘传输(也可以部署在基于 Web 的应用程序上)可确保无论员工身在何处或应用程序位于何处,都能获得良好的应用程序体验,即使第一英里互联网链接出现问题时也是如此。
无缝且可靠的最终用户体验
迄今为止,率先采用边缘传输技术的企业都已经显著提升了性能。以下是他们看到的一些成效:
文件传输速度更快:Microsoft 服务器消息块 (MS-SMB) 文件上传和下载速度现在提高了 40%,使日常运行更加顺畅。
应用程序更敏捷:关键业务应用程序的响应速度更快,延迟明显更少,即使在要求苛刻的工作流程中也是如此。
在不可预测的网络中保持弹性:即使网络连接状况不佳,用户也可以实现一致、高性能的应用程序访问。
结果如何?全面实现更无缝、更可靠的最终用户体验。团队可以更快地完成任务,尽可能减少中断次数,整体生产力不断提高。
边缘传输不仅仅是 ZTNA 的技术升级。它切实改善了用户与关键应用程序的交互方式。
无论身在何处,尽享 Zero Trust 安全性和出色的性能
无论用户身在何处或应用程序托管在何处,这些全新的 Enterprise Application Access 功能都能帮助全球企业应用 Zero Trust 安全策略,同时保持愉快的最终用户体验。这一点至关重要,因为任何人都难以在出色的安全性和良好的用户体验之间进行取舍。
详细了解
如果您想了解有关 Enterprise Application Access 或其全新功能的更多信息,请 联系我们的专家。