• 祝全国人民新年快乐!

从”Trust all”,到”Trust zero”,零信任可以这样实现!

网络安全 来源:中国科技网 2021年09月02日 1595次浏览 扫描二维码
零信任架构的实现方式有很多,一种非常流行的方式是在自己的 DMZ(Demilitarized Zone,隔离区)中运行访问代理。但这种方式削弱了借助云平台削弱攻击,获得无限带宽的缓存,以及按需自动扩展资源的能力。

作为一家云原生公司,自20多年前成立以来,Akamai 始终在边缘位置运营自己的服务。我们设计了一种零信任网络访问(ZTNA)技术:身份感知代理。这种代理运行在云中,可按需扩展,在 Akamai 的平台(而非用户设备)上执行需要耗费大量CPU资源的操作,借此削弱攻击并将缓存的内容交付给距离最近的用户。这套名为 Enterprise Application Access 的技术,其基本架构是这样的:

在上述架构中,我们可以向特定应用程序(而非整个企业网络)提供访问。但此时并不需要在 DMZ 中放置访问代理,而是可以在防火墙之后运行一个名为 Akamai Enterprise Application Access Connector 的小型虚拟机,该虚拟机没必要,也不应该放在 DMZ 中。它使用了私有 IP 地址,无法直接通过互联网访问,并且在表现上,它与我们放在防火墙之后的其他应用程序完全相同。

Enterprise Application Access Connector 启动后,便会立即与 Akamai 平台建立加密连接,随后即可从 Akamai 服务器下载配置信息,开始为用户和应用程序的访问提供服务。

当内部应用程序试图访问一个服务时,会通过 DNS CNAME重定向至Akamai Intelligent Edge Platform ™。如果最终用户和他们的设备顺利通过了所有检查,即可通过路由依次进行身份验证、多重身份验证(MFA)、单点登录(SSO),最终执行获得批准的操作。

访问应用程序,而非访问整个网络

是否觉得上述方式与目前大部分企业广泛使用的虚拟专用网络技术差不多?并非如此!虚拟专用网络技术提供的是网络级的访问能力,一旦顺利通过身份验证,将能在内网中通行无阻;Akamai Enterprise Application Access 确保了用户只能访问自己有权访问的特定应用程序,而非整个网络。

性能问题同样不容忽视。在最简单形态的虚拟专用网络中,所有流量都要回流至位于中央的数据中心基础架构,这可能导致某些互联网应用或 SaaS 应用访问速度大受影响,并加剧企业互联网上行链路拥堵情况。对于不在本地的用户,他们访问互联网应用所产生的流量,又为何要返回企业数据中心“绕一圈”呢?

为降低性能负担,通常需要部署分离隧道(Split tunnel),并标记哪些IP地址段的访问需要通过虚拟专用网络传输,哪些可以直接发送到互联网。当企业网络只有一个内部边界时,这是一种简单有效的方法。然而随着数据中心和虚拟私有云(VPC)的采用,这种方式也变得日益复杂。

Akamai Enterprise Application Access 在这种情况下基于代理,可以实现应用程序级别访问的方法就更有吸引力了。在应用程序级别的访问中,性能与安全性变得与复杂性彻底无关。在咖啡馆中远程办公的员工,与身处办公室的员工可以获得完全相同的体验。这一切只需要一个基本前提:用户已获得必要授权,并且所用的设备在安全性方面满足要求。

总结

在零信任架构的构建过程中,重点在于要明确三个关键目标:

随后需要明确:传统的中心辐射型网络架构以及配套的“城堡和护城河”安全边界,已经无法在当今云和移动的世界中提供企业所需的性能和安全性。这是所有企业都不得不面对的问题。简而言之,位于边界内部不意味着就是安全的,因为边界本身早已不复存在!

Akamai 旗下丰富的云安全服务相互结合,可顺利构建全面的零信任安全架构,不仅可以在云原生世界中提供安全的应用程序访问途径,而且可以借助云的强大能力几乎完全消除对且内部网络的需求。

通过利用先进的分布式 ZTNA 解决方案,并配合 Akamai Intelligent Edge Platform™ 强大的功能,企业可以用简单、轻松、快捷的方式顺利步入“无边界”世界,并借助 Akamai 在业界二十多年来所积累的,久经考验的经验和技术大幅缓解可能遭遇的风险,获得更流畅的性能。


免责声明:
本网站(www.cennr.com)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址