什么是 Zero Trust 网络？

传统防御措施致力于在网络边界建立防御层，目前已不再能够保护企业及其数据资产。过去，这种“护城河加城堡”的策略试图通过允许合法流量通过并阻止攻击者访问网络，以期打造强大的外部控制措施。此外，该策略还假设网络内的任何资产都是可信的，而这实际上忽略了边界内的威胁和遭到入侵的资产。结果，那些成功侵入网络内的攻击可能会通过横向移动轻松传播并造成相当大的破坏。

相比之下，Zero Trust 网络（由 Forrester 在 2010 年首次提出）假定每个用户、设备、应用程序和系统都已遭到入侵，无论其位于网络内部还是外部都是如此。Zero Trust 方法要求首先对所有资产进行验证，然后才能批准访问请求。Zero Trust 架构并非依靠单个强大的网络边界，而是在敏感资产和关键资产的周围都设置了微边界，以便减少攻击面并防止横向移动。

要想快速轻松地实施 Zero Trust 网络安全，强大的分段技术必不可少。而这正是如今越来越多的企业寻求与 Akamai 合作的原因。

如今，入侵只是何时发生的问题，而不是是否会发生的问题，所以使用 Zero Trust 网络的网络安全团队需要假定所有活动都是恶意的（除非这些活动能够证明其并非存有恶意）。每个用户、连接和设备都必须以可疑对待，即使其位于该网络内也是如此。也就是说，必须在网络边界内建立检查点，以提高针对不断变化的威胁环境的防御能力。

微分段是建立这些内部检查点的关键所在。为了在 Zero Trust 框架内保护资产，安全团队必须首先使用微分段工具确定特定 IT 环境所需的依赖关系和通信情况。然后，安全团队必须在资产周围创建微边界，并设置策略，以仅允许业务所需的通信活动。由于分段有可能导致无法提高生产力，因此微分段工具必须能够监测策略的性能，并且不会对工作负载造成阻碍。此外，微分段工具还应使安全团队能够监测策略的有效性，并对其进行改进，以不断提升网络的安全性。

Akamai Guardicore Segmentation 可提供微分段技术，企业可依靠它来快速迁移到 Zero Trust 网络。我们的纯软件分段方法摆脱了物理网络的束缚，提供了比防火墙更快、更经济的替代方案。专为敏捷型企业打造的 Akamai Guardicore Segmentation 还可将整个 IT 环境的深度监测能力集成到策略引擎中，因此您可以准确无误地创建更精细的策略。

Akamai 提供了用于创建 Zero Trust 网络的两项基本功能：监测和分段。

监测

我们的解决方案实现了深度的进程级监测能力，使您能够找到并识别环境中运行的所有应用程序和工作负载。此外，Akamai Guardicore Segmentation 还可以轻松地以图形方式绘制资产之间的依赖关系，这对于创建微边界分组以及准确的策略至关重要。全面的日志可记录对所有事务的实时和历史检测记录，提供持续的验证，从而消除猜测和风险。

分段

我们的技术允许您在动态环境中快速部署分段策略，并可以简单且轻松地持续管理它们。我们的软件定义解决方案提供了比 VLAN 和内部防火墙更敏捷的方法来为网络分段和隔离应用程序。因此，您可以更快、更轻松地迁移到 Zero Trust 架构。

默认不信任任何实体

这意味着，只根据明确定义的需求来分配访问权限。用户、应用程序和数据的访问要求会被不断审查和重新验证。为了使这一过程无缝进行，我们使用了组权限，然后根据需要从组中移除各个资产或元素。
 

强制实施最小访问权限

用户被赋予履行其工作职能所需的最低级别访问权限。

控制所有级别的访问权限

我们要求对网络本身和每个资源或应用程序进行多重身份验证 (MFA)。

保护对所有资源的访问

无论地点或用户如何，我们的 Zero Trust Network Access 方法都要求在局域网内外进行相同级别的身份验证。
 

全面的安全监控

我们使用自动化来审查人工收集的日志中的所有数据。当发现异常情况或发生紧急情况时，爬虫程序会在正确的时间向正确的人发出警报。