多重身份验证 (MFA) 是一种安全协议,要求用户通过两个或更多不同类型的因素来验证其身份。在 MFA 安全机制中,“因素”可能是您了解的信息,如密码或 PIN;您拥有的东西,如智能手机或推送通知;或者您的某些特征(基于身份),如指纹或面部识别。通过要求采用双重或三重身份验证,企业即可显著降低因凭据被盗而泄露数据的可能性。MFA 服务可在支持 Zero Trust 网络方面发挥重要作用。
对 Zero Trust 网络的需求
随着企业网络的分布化程度日趋提升,更多员工采用远程办公模式,Zero Trust 架构近期已成为企业的首选安全标准。Zero Trust 框架采用“从不信任,始终验证”的网络安全策略,与传统的城堡与护城河安全策略(即假定网络内的任何用户和设备都是安全的)截然不同。也就是说,它会假设所有意图远程访问应用程序和数据的用户或设备均已遭遇入侵,必须始终进行身份验证。
要成功实施 Zero Trust 网络,就需要严格管控关键资产的访问权限。为此,企业必须围绕这些资产建立控制微边界,并实施相应的访问策略,仅在建立安全的身份验证之后,授予基于上下文的访问权限。
过去,这种水平的控制极其复杂,而且需要付出大量的时间和成本。如今,企业可借助 Akamai Guardicore Segration 的微分段功能,轻松将 Zero Trust 网络访问 (ZTNA) 纳入其安全策略。
Zero Trust 网络的基础就是对每一台设备、每一个用户实施严格的身份验证和授权,仅在符合要求的情况下才会授予访问权限、允许传输数据,无论请求来自网络边界内部还是外部都不例外。身份验证过程结合分析、筛查和日志记录,以验证行为,并识别漏洞和入侵迹象。
Zero Trust 安全模式基于以下五项核心原则:
始终假定每个用户都是危险的。
网络上始终存在外部和内部威胁。
所有设备、用户和网络流都必须经过身份验证和授权。
仅凭网络位置,不足以证明在网络内的可信度。
安全控制措施和策略必须是动态的,并且必须根据尽可能多的数据源计算得出。
微分段是必不可少的工作流工具,可帮助企业落实这些 Zero Trust 网络原则。微分段过程的第一步是了解 IT 环境特有的依赖关系和通信。通过围绕敏感数据和关键资产建立微边界,IT 团队即可限制访问,仅允许具有合法业务目的的活动进行访问。
我们的解决方案实现了深度的进程级监测能力,使您能够找到并识别环境中运行的所有应用程序和工作负载。此外,Akamai Guardicore Segmentation 还可以轻松地以图形方式绘制资产之间的依赖关系,这对于创建微边界分组以及准确的策略至关重要。全面的日志可记录对所有事务的实时和历史检测记录,提供持续的验证,从而消除猜测和风险。
利用 Akamai Guardicore Segmentation 实现 Zero Trust
Akamai Guardicore Segmentation 是对数据中心、云或混合云基础架构中的资产进行监测和分段的快速方式。通过基于软件的分段解决方案,Akamai 让企业能更快、更轻松地提高安全水平,而且不需要停机。在 Akamai 的助力下,企业可以缩小攻击面、防止横向移动,并且更有效地保护关键 IT 资产。
与传统防火墙、VLAN 和其他分段解决方案不同,Akamai Guardicore Segration 的策略引擎整合了对整个 IT 环境的深度监测能力。这让安全团队得以建立精细的安全策略,并获得更高的准确性和确定性。IT 团队可以通过可视化映射图了解应用程序的通信方式,随后只要点击几下鼠标就能确定业务关键型应用程序的优先级,并应用分段策略。Akamai Guardicore Segration 还提供了工具来检测高风险端点和服务器,评估它们的暴露程度,并立即通过精细的分段策略对其实施保护。
Akamai Guardicore Segmentation 提供:
更广泛的覆盖范围。无论所部署和访问的关键资产位于何处(在云端、本地、虚拟服务器、裸机,还是在容器中),Akamai 都能妥善予以保护。
更快的分段。通过灵活的允许列表/拒绝列表模式,只需设定几条规则即可快速降低风险。
一致的实施。在 Akamai 的帮助下,IT 团队可在 Linux 和 Windows 等不同操作环境中应用同样精细的进程级规则。
无需更改。Akamai 采用基于软件的分段方法,不需要更改网络或应用程序即可提供卓越成效,当然也不会造成停机。
入侵检测。全面的入侵检测功能包括动态欺骗、声誉分析和威胁情报防火墙。
支持旧版系统。Akamai Guardicore Segmentation 支持更多传统操作系统,包括 Windows 2003、CentOS 6、RHEL 5 和 AS/400。
使用 Akamai Guardicore 建立 Zero Trust 网络的五个步骤
Akamai Guardicore Segration 让企业能够通过五个关键步骤迁移到 Zero Trust 架构。
1. 绘制连接和数据流。 Zero Trust 网络依赖于对应用程序、工作负载和设备的全面监测。Akamai 提供实时和历史映射图,帮助团队在任何基础架构上识别敏感连接和流量。Akamai Guardicore Segration 可揭示应用程序依赖关系,从而提供创建安全的 Zero Trust 微边界所需的见解。
2. 设计微边界架构。Akamai Guardicore 提供自动验证和建议,帮助安全团队快速设计安全边界,妥善保护关键应用程序。
3. 使用基于软件的方法实施微分段。 Zero Trust 安全性需要快速、有效的微分段。与内部防火墙和 VLAN 相比,软件定义的解决方案提供了敏捷性更高的网络分段方法。Akamai Guardicore 与网络本身分离,因此可将分段细化至应用程序级别,同时确保策略覆盖任何基础架构上的工作负载。
4. 实施自动化与编排。为了在复杂环境中遵循 Zero Trust 原则,Akamai Guardicore Segration 提供了丰富的内置编排工具集成,有助于简化部署,并支持通过自动化机制授权。利用内容广泛、记录完备的开放式 REST API,企业团队可以按需创建自己的专用网络集成,从而建立有效的 Zero Trust 策略。
5. 监控工作负载安全。 除了强大的网络分段功能外,Akamai Guardicore Segration 还提供了恶意行为检测工具。其中包括专有威胁情报防火墙,可阻止与攻击者(包括各类恶意软件和勒索软件)之间的恶意流量;动态欺骗机制,可识别和分析横向移动攻击;以及声誉分析,可用于识别恶意进程和流量。
常见问题
Zero Trust 网络是一种新型网络安全框架。在传统安全策略中,只要用户和技术位于安全边界内,就会认为其值得信任,而 Zero Trust 策略则以最小特权访问权限为前提,假设网络内部和外部的所有用户、设备、系统和连接均已遭遇入侵。这让安全团队能够采取更严格的安全态势,应对日渐复杂且不断变化的威胁环境。除安全访问服务边缘 (SASE) 技术外,随着数字化转型赋予员工更高的移动性和灵活性,Zero Trust 解决方案在远程办公安全性方面也发挥着重要作用。
为建立 Zero Trust 网络,安全团队会围绕关键资产建立微边界,通过精细的安全策略实施访问控制。为此,IT 团队必须能够查看将由安全策略管治的资产、用户身份、应用程序依赖关系和正常流量。微分段功能意义非凡,可支持企业快速而有效地建立微边界,并实施数据保护和安全策略来管治 IT 环境内的资产。
客户为什么选择 Akamai
Akamai 支持并保护网络生活。全球各大优秀公司纷纷选择 Akamai 来打造并提供安全的数字化体验,为数十亿人每天的生活、工作和娱乐提供助力。 Akamai Connected Cloud是一个大规模分布式边缘和 云平台,让应用程序和体验更靠近用户,帮助用户远离威胁。