邊界不復(fù)存在,邊界消失-ESG跨境

邊界不復(fù)存在,邊界消失

邊界不復(fù)存在

無(wú)論是否從事信息安全工作，在新聞、行業(yè)會(huì)議或同行交流中，有一個(gè)詞想必很多人都聽(tīng)說(shuō)過(guò)：零信任。很多人認(rèn)為這是一種面向未來(lái)的信息安全方法，對(duì)企業(yè)的數(shù)字化轉(zhuǎn)型和上云至關(guān)重要。

那么零信任到底是什么它比大量企業(yè)目前采用的方法到底好在哪里本文帶您一起探索。

彼時(shí)：邊界很重要

多年來(lái)，IT技術(shù)飛速發(fā)展，為我們的工作和生活帶來(lái)了很多新的變化，但有件事始終非?！肮虉?zhí)”地維持不變，那就是大部分企業(yè)至今依然在采用的“中心輻射型”（Hubandspoke）網(wǎng)絡(luò)架構(gòu)。

這種架構(gòu)曾經(jīng)是合理的。在互聯(lián)網(wǎng)成為業(yè)務(wù)與基礎(chǔ)架構(gòu)的核心之前，企業(yè)通常需要通過(guò)自己的數(shù)據(jù)中心來(lái)承載各類工作負(fù)載，這些數(shù)據(jù)中心容納了關(guān)鍵基礎(chǔ)架構(gòu)和五花八門的應(yīng)用程序。隨著企業(yè)在各地上線分支辦公室、零售店面以及遠(yuǎn)程辦公位置，這些位置的員工同樣需要訪問(wèn)位于中心位置的應(yīng)用程序和數(shù)據(jù)。因而企業(yè)當(dāng)時(shí)建立的網(wǎng)絡(luò)也反映了這種需求：所有網(wǎng)絡(luò)最終都要回歸至核心數(shù)據(jù)中心，畢竟數(shù)據(jù)中心是需要進(jìn)行各類處理的核心所在。

然而時(shí)至今日，攻擊者也開始利用這種架構(gòu)，并催生了一種全新的行業(yè)：數(shù)據(jù)中心安全棧。由于傳統(tǒng)的中心輻射型架構(gòu)需要將龐大的互聯(lián)網(wǎng)流量匯聚在數(shù)據(jù)中心，因此需要由更強(qiáng)大的技術(shù)和設(shè)備來(lái)保護(hù)這些對(duì)業(yè)務(wù)而言至關(guān)重要的命脈。防火墻、入侵檢測(cè)和預(yù)防系統(tǒng)、安全Web網(wǎng)關(guān)（SWG）、數(shù)據(jù)丟失防護(hù)……各類系統(tǒng)開始陸續(xù)出現(xiàn)在企業(yè)網(wǎng)絡(luò)架構(gòu)中。

這些部署在中央位置的安全設(shè)備進(jìn)一步鞏固了中心輻射型架構(gòu)作為主要網(wǎng)絡(luò)架構(gòu)的地位。簡(jiǎn)單來(lái)說(shuō)，這種做法實(shí)際上就是構(gòu)筑了一道“城堡加護(hù)城河”，并且此時(shí)我們有著非常鮮明的網(wǎng)絡(luò)安全邊界：“邊界之外皆壞蛋，邊界之內(nèi)皆好人”。

但云計(jì)算改變了這一切?，F(xiàn)在的安全措施必須能為邊界之外的大量用戶和應(yīng)用程序提供支持。

此時(shí)：邊界消失于無(wú)形……

簡(jiǎn)而言之，應(yīng)用程序正在四處移動(dòng)。但它們并不孤單，當(dāng)今的勞動(dòng)力市場(chǎng)和工作環(huán)境都發(fā)生了顯著變化，人們進(jìn)行工作的時(shí)間、方式和地點(diǎn)早已超過(guò)了辦公室小隔間的局限。因此可以說(shuō)，網(wǎng)絡(luò)邊界早已消失不見(jiàn)。用戶與應(yīng)用程序可能位于護(hù)城河內(nèi)，但也可能位于護(hù)城河外。如果遭遇高級(jí)持續(xù)威脅，我們很可能不經(jīng)意間讓邊界內(nèi)的惡意人員完全訪問(wèn)到企業(yè)最寶貴的數(shù)據(jù)資產(chǎn)。

用20年前的安全訪問(wèn)方法保護(hù)當(dāng)今現(xiàn)代化數(shù)字環(huán)境，這無(wú)疑是錯(cuò)位的，甚至某些情況下是非常危險(xiǎn)的。這并非憑空猜想的結(jié)論。過(guò)去五年來(lái)發(fā)生的很多數(shù)據(jù)泄露事件讓我們很明顯地注意到，大部分?jǐn)?shù)據(jù)泄露事件都是網(wǎng)絡(luò)邊界內(nèi)信任被濫用所導(dǎo)致的。

而另一種情況又進(jìn)一步加劇了這個(gè)問(wèn)題：一般來(lái)說(shuō)，如果某個(gè)應(yīng)用程序從最開始就打算只在網(wǎng)絡(luò)邊界內(nèi)部運(yùn)行和使用，那么通常在安全性上就很容易無(wú)法得到重視。

零信任網(wǎng)絡(luò)架構(gòu)

該領(lǐng)域的思想領(lǐng)袖，時(shí)任Forrester分析師的John Kindervag提出了“零信任”（Zero Trust）解決方案。其背后的理念非常簡(jiǎn)單，但又非常強(qiáng)大：信任不應(yīng)該是某些位置的固有特征。簡(jiǎn)單來(lái)說(shuō)，我們不能僅因?yàn)槟硞€(gè)系統(tǒng)位于防火墻后面就直接信任它。相反，應(yīng)該在安全性方面采取悲觀觀點(diǎn)，首先假定任何計(jì)算機(jī)、用戶和服務(wù)器都不可信，除非事實(shí)證明并非如此。

零信任基本原則

那么又該如何證明強(qiáng)身份驗(yàn)證和授權(quán)，并且在建立信任之前不進(jìn)行任何數(shù)據(jù)傳輸操作。此外還應(yīng)通過(guò)分析、篩選和日志記錄等措施來(lái)驗(yàn)證所有行為的正確性，并持續(xù)觀察是否存在代表威脅的信號(hào)。

這一根本性轉(zhuǎn)變挫敗了過(guò)去十多年來(lái)我們見(jiàn)過(guò)的大部分威脅。攻擊者將無(wú)法繼續(xù)花時(shí)間找到外圍弱點(diǎn)，然后訪問(wèn)護(hù)城河內(nèi)部的敏感數(shù)據(jù)和應(yīng)用程序。因?yàn)樽o(hù)城河早已不復(fù)存在現(xiàn)在，企業(yè)網(wǎng)絡(luò)中可以只有應(yīng)用程序和用戶，而應(yīng)用程序與用戶的每次訪問(wèn)前都要相互驗(yàn)證身份并獲得授權(quán)。

這就是零信任但企業(yè)這又該如何實(shí)現(xiàn)

歡迎繼續(xù)閱讀本系列的下篇內(nèi)容，我們將從Akamai各類產(chǎn)品和解決方案入手，結(jié)合零信任的基本原則和理念，告訴大家如何快速構(gòu)建出行之有效的零信任網(wǎng)絡(luò)架構(gòu)，在全新的數(shù)字化時(shí)代為寶貴的業(yè)務(wù)和數(shù)據(jù)提供充分保護(hù)。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。