需要云计算吗? 即刻开始体验

Zero Trust 安全模式

什么是 Zero Trust?

Zero Trust 是一种基于以下理念的网络安全策略:企业网络内外的任何人员或设备都必须在明确必要的情况下,才能获得连接到 IT 系统或工作负载的访问权限。简而言之,这意味着完全不存在隐性的信任。

什么是 Zero Trust 模式?

2010 年,Forrester Research 分析师 John Kindervag 提出了一种他称为“Zero Trust”的解决方案。 

该解决方案将“信任,但也要验证”这一策略转变为了“永不信任,始终验证”。在 Zero Trust 模式下,在验证身份和授权之前,不信任要访问资源的任何用户或设备。这种策略适用于通常在专用网络内的人员,例如在家里通过公司计算机远程办公的员工,或者在世界各地参加会议时使用移动设备的员工,也适用于专用网络之外的每个人或每个端点。无论您之前是否访问过网络或是访问过多少次,处理方式都没有区别,您在每次访问时都需要验证身份,否则就无法获得信任。其理念是,除非经过验证,否则您应该假设每一个机器、用户和服务器都不可信。

在过去,城堡和护城河网络安全策略似乎切实可行,也曾一度盛行,而网络边界策略的概念是网络边界(或防御层)之外的所有人都是“坏人”,边界之内的所有人都是“好人”。在现实世界中,城堡和护城河已成历史;在网络世界中,城堡和护城河式安全策略也应当淘汰。想想远程办公的现状。如今的员工队伍和工作场所已经发生了变化,人们工作的时间、方式和地点均已经突破了办公室的限制。随着云的兴起,以往的网络边界不复存在。用户和应用程序有可能位于防御层之外,也有可能位于防御层之内,两种情况的可能性相当。这给边界带来了漏洞,而恶意攻击者可以利用这些漏洞发起攻击。攻击者一旦突破防御层,系统通常不会检查攻击发生的横向移动,因此,攻击者可以访问资源和高价值资产,如客户数据(相当于以前的皇冠上的宝石!)——或是发起 勒索软件攻击

Zero Trust 工作原理

可以这样来理解 Zero Trust 模型:就像一名警惕性极强的保安,即使认出了您,在允许您进入办公楼之前,也会有条不紊地反复检查您的证件,而且在您每次要进入办公楼时都会重复这套流程,持续验证您的身份。

Zero Trust 模式依赖于对每个设备和个人的高强度身份验证和授权,无论设备和个人是在网络边界之内还是之外,验证通过后才能在专用网络上进行任何访问或数据传输。该过程还会结合分析、筛查和记录来验证行为的正确性,以及持续监控入侵信号。如果用户或设备表现出不同以往的行为迹象,则会将其记录下来并视为疑似威胁进行监控。例如,Acme Co. 的 Marcus 通常从美国俄亥俄州哥伦布市登录内网,但这一天,他尝试从德国柏林访问 Acme 的内网。即使 Marcus 的用户名和密码输入正确,Zero Trust 策略也会识别出 Marcus 行为中的异常并采取措施,例如向 Marcus 提出其他身份验证质询,以核实他的用户身份。

这种策略上的基本转变有效抵御了许多常见安全威胁。攻击者无法再利用边界中的漏洞,然后通过进入防御层来滥用您的敏感数据和应用程序。现在没有护城河了。只有应用程序和用户,每个应用程序或每位用户在访问发生前均必须相互验证身份并验证授权。当两方同时相互验证时,就会发生“相互身份验证”,例如具有登录名和密码的用户,以及用户通过数字证书连接的应用程序。

Zero Trust 有哪些组件?

如今的 Zero Trust 安全模式已经得到拓展。基于其原则的实现形式众多,包括 Zero Trust 架构、Zero Trust Network Access (ZTNA)、Zero Trust 安全 Web 网关 (SWG) 和 微分段。Zero Trust 安全有时也称为“无边界安全”。

不要将 Zero Trust 视为一种单独的技术。相反,Zero Trust 架构利用了各种安全控制措施和原则,通过防御型技术应对常见安全挑战。随着工作和家庭之间的界限不复存在,日益分散的远程办公员工队伍成为常态,这些组件旨在提供高级威胁防护。

用于实施 Zero Trust 的关键功能

  • 对本地、云环境和物联网设备的监测
  • 控制所有资产之间的网络通信流
  • 身份验证以及授予云访问权限的能力
  • 网络分段以及应用程序层分段
  • 身份验证和授权,包括多重身份验证 (MFA)
  • 精细访问策略(提供特定应用程序访问权限,而非整个网络的访问权限)
  • 对所有应用程序(IaaS、SaaS 和本地)的最低权限用户访问
  • 尽量减少使用 VPN 和防火墙
  • 服务插入
  • 边缘安全
  • 应用程序性能得到提升
  • 加强安全状况,抵御高级威胁
  • 自动化和集成功能

Zero Trust 架构的主要优势

Zero Trust 架构可为用户无缝运行,减少攻击面,防御网络攻击并简化基础架构要求。Zero Trust 架构的不同组件可以:

帮助确保网络信任并阻止恶意攻击

IT 团队需要确保用户和设备可以安全连接到互联网(无论访问请求来自何处),并且无需面对与传统方法相关的复杂性。他们还需要主动识别、阻止和缓解目标威胁,例如恶意软件、勒索软件、网络钓鱼、DNS 数据泄露以及针对用户的高级零日漏洞。Zero Trust 安全可以改善安全状况,同时降低恶意软件的风险。

为员工和合作伙伴提供安全的应用程序访问

传统的访问技术(比如 VPN)依赖于过时的访问管理原则,特别容易因用户凭据被盗而产生漏洞。IT 部门需要重新考虑其访问模式和技术以确保业务安全,同时仍然要为所有用户(包括第三方用户)提供快速、简单的访问服务。通过精细的安全策略,Zero Trust 安全可以在降低风险和复杂性同时提供一致的用户体验。

降低复杂性,节省 IT 资源

企业访问和安全性是复杂且不断变化的。使用宝贵的资源对传统企业技术进行更改和部署通常需要数天时间(常会涉及许多硬件和软件组件)。Zero Trust 安全模式可以降低架构复杂性。

采用 Zero Trust 策略的其他充分理由

  • 用户、设备、应用程序和数据正在移至企业边界和控制区域之外,远离传统数据中心
  • 数字化转型带来的新业务要求增加了风险
  • “信任,但也要验证”的理念不再适用,因为高级定向威胁正在移至企业边界之内
  • 传统防御层非常复杂,会增加风险,并且不再与当今的业务模型兼容
  • 为了提高竞争力,安全团队需要一种 Zero Trust 网络架构,该架构必须能够保护企业数据(无论用户和设备在哪里),同时还要确保应用程序快速无缝地运行

Zero Trust 的原则有哪些?

Zero Trust 模式基于三个基本原则:

  • 默认不信任任何实体
  • 强制实施最小访问权限
  • 实施持续的安全监控
     

为什么需要 Zero Trust 安全模式?

越来越多的现代员工采用移动办公模式,从业务边界之外的多个设备访问应用程序和云服务。在过去,许多企业采用“验证,然后信任”的模式,这意味着,如果某人拥有正确的用户凭据,就可以使用请求的任何网站、应用程序或设备。这导致暴露的风险增加,从而瓦解了曾经值得信任的企业控制区域,并使许多公司面临数据泄露、恶意软件和勒索软件攻击的风险。现在需要在应用程序、数据以及用户和设备所在的特定数字基础架构中提供保护。

 


借助 Akamai 解决方案实现 Zero Trust 架构

结合 Akamai 的云安全服务,构建适合您特定业务需求的完整 Zero Trust 解决方案。通过在云原生世界中实现安全的应用程序访问,您就可以安心淘汰内部公司网络。

通过使用我们出色的分布式 ZTNA 解决方案、优秀的微分段、可防止网络钓鱼的 MFA和主动安全 Web 网关,以及有着 20 多年底蕴的 Akamai Connected Cloud提供的强大助力,您可以轻松地迁移到一个没有边界的环境中,在此过程中,您将分阶段过渡应用程序,保护您的业务并实现增长。

Akamai 的 Zero Trust 安全之旅

客户为什么选择 Akamai

Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、规模和专业知识,帮助企业满怀信心地实现业务增长。

探索 Akamai 的所有安全解决方案