邊界不復存在,邊界消失-ESG跨境

邊界不復存在,邊界消失

邊界不復存在

無論是否從事信息安全工作，在新聞、行業(yè)會議或同行交流中，有一個詞想必很多人都聽說過：零信任。很多人認為這是一種面向未來的信息安全方法，對企業(yè)的數字化轉型和上云至關重要。

那么零信任到底是什么它比大量企業(yè)目前采用的方法到底好在哪里本文帶您一起探索。

彼時：邊界很重要

多年來，IT技術飛速發(fā)展，為我們的工作和生活帶來了很多新的變化，但有件事始終非?！肮虉?zhí)”地維持不變，那就是大部分企業(yè)至今依然在采用的“中心輻射型”（Hubandspoke）網絡架構。

這種架構曾經是合理的。在互聯網成為業(yè)務與基礎架構的核心之前，企業(yè)通常需要通過自己的數據中心來承載各類工作負載，這些數據中心容納了關鍵基礎架構和五花八門的應用程序。隨著企業(yè)在各地上線分支辦公室、零售店面以及遠程辦公位置，這些位置的員工同樣需要訪問位于中心位置的應用程序和數據。因而企業(yè)當時建立的網絡也反映了這種需求：所有網絡最終都要回歸至核心數據中心，畢竟數據中心是需要進行各類處理的核心所在。

然而時至今日，攻擊者也開始利用這種架構，并催生了一種全新的行業(yè)：數據中心安全棧。由于傳統(tǒng)的中心輻射型架構需要將龐大的互聯網流量匯聚在數據中心，因此需要由更強大的技術和設備來保護這些對業(yè)務而言至關重要的命脈。防火墻、入侵檢測和預防系統(tǒng)、安全Web網關（SWG）、數據丟失防護……各類系統(tǒng)開始陸續(xù)出現在企業(yè)網絡架構中。

這些部署在中央位置的安全設備進一步鞏固了中心輻射型架構作為主要網絡架構的地位。簡單來說，這種做法實際上就是構筑了一道“城堡加護城河”，并且此時我們有著非常鮮明的網絡安全邊界：“邊界之外皆壞蛋，邊界之內皆好人”。

但云計算改變了這一切?，F在的安全措施必須能為邊界之外的大量用戶和應用程序提供支持。

此時：邊界消失于無形……

簡而言之，應用程序正在四處移動。但它們并不孤單，當今的勞動力市場和工作環(huán)境都發(fā)生了顯著變化，人們進行工作的時間、方式和地點早已超過了辦公室小隔間的局限。因此可以說，網絡邊界早已消失不見。用戶與應用程序可能位于護城河內，但也可能位于護城河外。如果遭遇高級持續(xù)威脅，我們很可能不經意間讓邊界內的惡意人員完全訪問到企業(yè)最寶貴的數據資產。

用20年前的安全訪問方法保護當今現代化數字環(huán)境，這無疑是錯位的，甚至某些情況下是非常危險的。這并非憑空猜想的結論。過去五年來發(fā)生的很多數據泄露事件讓我們很明顯地注意到，大部分數據泄露事件都是網絡邊界內信任被濫用所導致的。

而另一種情況又進一步加劇了這個問題：一般來說，如果某個應用程序從最開始就打算只在網絡邊界內部運行和使用，那么通常在安全性上就很容易無法得到重視。

零信任網絡架構

該領域的思想領袖，時任Forrester分析師的John Kindervag提出了“零信任”（Zero Trust）解決方案。其背后的理念非常簡單，但又非常強大：信任不應該是某些位置的固有特征。簡單來說，我們不能僅因為某個系統(tǒng)位于防火墻后面就直接信任它。相反，應該在安全性方面采取悲觀觀點，首先假定任何計算機、用戶和服務器都不可信，除非事實證明并非如此。

零信任基本原則

那么又該如何證明強身份驗證和授權，并且在建立信任之前不進行任何數據傳輸操作。此外還應通過分析、篩選和日志記錄等措施來驗證所有行為的正確性，并持續(xù)觀察是否存在代表威脅的信號。

這一根本性轉變挫敗了過去十多年來我們見過的大部分威脅。攻擊者將無法繼續(xù)花時間找到外圍弱點，然后訪問護城河內部的敏感數據和應用程序。因為護城河早已不復存在現在，企業(yè)網絡中可以只有應用程序和用戶，而應用程序與用戶的每次訪問前都要相互驗證身份并獲得授權。

這就是零信任但企業(yè)這又該如何實現

歡迎繼續(xù)閱讀本系列的下篇內容，我們將從Akamai各類產品和解決方案入手，結合零信任的基本原則和理念，告訴大家如何快速構建出行之有效的零信任網絡架構，在全新的數字化時代為寶貴的業(yè)務和數據提供充分保護。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發(fā)表后的30日內與ESG跨境電商聯系。