邊界不復(fù)存在,邊界消失

邊界不復(fù)存在

無論是否從事信息安全工作，在新聞、行業(yè)會議或同行交流中，有一個詞想必很多人都聽說過：零信任。很多人認(rèn)為這是一種面向未來的信息安全方法，對企業(yè)的數(shù)字化轉(zhuǎn)型和上云至關(guān)重要。

那么零信任到底是什么它比大量企業(yè)目前采用的方法到底好在哪里本文帶您一起探索。

彼時：邊界很重要

多年來，IT技術(shù)飛速發(fā)展，為我們的工作和生活帶來了很多新的變化，但有件事始終非常“固執(zhí)”地維持不變，那就是大部分企業(yè)至今依然在采用的“中心輻射型”（Hubandspoke）網(wǎng)絡(luò)架構(gòu)。

這種架構(gòu)曾經(jīng)是合理的。在互聯(lián)網(wǎng)成為業(yè)務(wù)與基礎(chǔ)架構(gòu)的核心之前，企業(yè)通常需要通過自己的數(shù)據(jù)中心來承載各類工作負(fù)載，這些數(shù)據(jù)中心容納了關(guān)鍵基礎(chǔ)架構(gòu)和五花八門的應(yīng)用程序。隨著企業(yè)在各地上線分支辦公室、零售店面以及遠(yuǎn)程辦公位置，這些位置的員工同樣需要訪問位于中心位置的應(yīng)用程序和數(shù)據(jù)。因而企業(yè)當(dāng)時建立的網(wǎng)絡(luò)也反映了這種需求：所有網(wǎng)絡(luò)最終都要回歸至核心數(shù)據(jù)中心，畢竟數(shù)據(jù)中心是需要進(jìn)行各類處理的核心所在。

然而時至今日，攻擊者也開始利用這種架構(gòu)，并催生了一種全新的行業(yè)：數(shù)據(jù)中心安全棧。由于傳統(tǒng)的中心輻射型架構(gòu)需要將龐大的互聯(lián)網(wǎng)流量匯聚在數(shù)據(jù)中心，因此需要由更強(qiáng)大的技術(shù)和設(shè)備來保護(hù)這些對業(yè)務(wù)而言至關(guān)重要的命脈。防火墻、入侵檢測和預(yù)防系統(tǒng)、安全Web網(wǎng)關(guān)（SWG）、數(shù)據(jù)丟失防護(hù)……各類系統(tǒng)開始陸續(xù)出現(xiàn)在企業(yè)網(wǎng)絡(luò)架構(gòu)中。

這些部署在中央位置的安全設(shè)備進(jìn)一步鞏固了中心輻射型架構(gòu)作為主要網(wǎng)絡(luò)架構(gòu)的地位。簡單來說，這種做法實(shí)際上就是構(gòu)筑了一道“城堡加護(hù)城河”，并且此時我們有著非常鮮明的網(wǎng)絡(luò)安全邊界：“邊界之外皆壞蛋，邊界之內(nèi)皆好人”。

但云計(jì)算改變了這一切。現(xiàn)在的安全措施必須能為邊界之外的大量用戶和應(yīng)用程序提供支持。

此時：邊界消失于無形……

簡而言之，應(yīng)用程序正在四處移動。但它們并不孤單，當(dāng)今的勞動力市場和工作環(huán)境都發(fā)生了顯著變化，人們進(jìn)行工作的時間、方式和地點(diǎn)早已超過了辦公室小隔間的局限。因此可以說，網(wǎng)絡(luò)邊界早已消失不見。用戶與應(yīng)用程序可能位于護(hù)城河內(nèi)，但也可能位于護(hù)城河外。如果遭遇高級持續(xù)威脅，我們很可能不經(jīng)意間讓邊界內(nèi)的惡意人員完全訪問到企業(yè)最寶貴的數(shù)據(jù)資產(chǎn)。

用20年前的安全訪問方法保護(hù)當(dāng)今現(xiàn)代化數(shù)字環(huán)境，這無疑是錯位的，甚至某些情況下是非常危險的。這并非憑空猜想的結(jié)論。過去五年來發(fā)生的很多數(shù)據(jù)泄露事件讓我們很明顯地注意到，大部分?jǐn)?shù)據(jù)泄露事件都是網(wǎng)絡(luò)邊界內(nèi)信任被濫用所導(dǎo)致的。

而另一種情況又進(jìn)一步加劇了這個問題：一般來說，如果某個應(yīng)用程序從最開始就打算只在網(wǎng)絡(luò)邊界內(nèi)部運(yùn)行和使用，那么通常在安全性上就很容易無法得到重視。

零信任網(wǎng)絡(luò)架構(gòu)

該領(lǐng)域的思想領(lǐng)袖，時任Forrester分析師的John Kindervag提出了“零信任”（Zero Trust）解決方案。其背后的理念非常簡單，但又非常強(qiáng)大：信任不應(yīng)該是某些位置的固有特征。簡單來說，我們不能僅因?yàn)槟硞€系統(tǒng)位于防火墻后面就直接信任它。相反，應(yīng)該在安全性方面采取悲觀觀點(diǎn)，首先假定任何計(jì)算機(jī)、用戶和服務(wù)器都不可信，除非事實(shí)證明并非如此。

零信任基本原則

那么又該如何證明強(qiáng)身份驗(yàn)證和授權(quán)，并且在建立信任之前不進(jìn)行任何數(shù)據(jù)傳輸操作。此外還應(yīng)通過分析、篩選和日志記錄等措施來驗(yàn)證所有行為的正確性，并持續(xù)觀察是否存在代表威脅的信號。

這一根本性轉(zhuǎn)變挫敗了過去十多年來我們見過的大部分威脅。攻擊者將無法繼續(xù)花時間找到外圍弱點(diǎn)，然后訪問護(hù)城河內(nèi)部的敏感數(shù)據(jù)和應(yīng)用程序。因?yàn)樽o(hù)城河早已不復(fù)存在現(xiàn)在，企業(yè)網(wǎng)絡(luò)中可以只有應(yīng)用程序和用戶，而應(yīng)用程序與用戶的每次訪問前都要相互驗(yàn)證身份并獲得授權(quán)。

這就是零信任但企業(yè)這又該如何實(shí)現(xiàn)

歡迎繼續(xù)閱讀本系列的下篇內(nèi)容，我們將從Akamai各類產(chǎn)品和解決方案入手，結(jié)合零信任的基本原則和理念，告訴大家如何快速構(gòu)建出行之有效的零信任網(wǎng)絡(luò)架構(gòu)，在全新的數(shù)字化時代為寶貴的業(yè)務(wù)和數(shù)據(jù)提供充分保護(hù)。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。