Getting Maximum Protection through Zero Trust Callout

通过零信任获得最大程度的保护

来自 Akamai Technologies 网络安全和性能首席技术官 John Summers 的观点

如何描述 Zero Trust?

Zero Trust 意味着内部和外部之间的差异不断消失。组织的数据中心和网络过去常常处于控制范围内。他们信任内部的事物,而对来自外部的事物保持谨慎。在针对跨边界提供真正很好的访问控制的帮助下,安全性侧重于把坏人拒之门外,让好人进出自由。

但看看我们当今的业务发生了哪些情况。边界正在逐渐消失。基础设施、应用程序、数据和用户越来越分散。云中的移动用户和业务应用程序之间通常没有边界,且在企业无法控制的网络上进行交互。因此,我们必须针对这一新范式调整我们的思维,以新方式构建安全措施。

首先,我们不能基于来源就信任通信。因此,无论是在网络内部还是外部,在建立通信之前都应进行同等级别的身份验证和授权检查。在应对处于转型中的组织方面,简单地按不受信任进行处理任重而道远,其中本月处于您数据中心中的应用程序可能在下月会位于云中。用户今天在您的控制范围内,明天可能就会在其他地方工作。

零信任,验证全部,保持统一的控制 — 这就是 Zero Trust 的本质。

详细说一下企业对 Zero Trust 需求的驱动因素。

网络安全的目的在于通过保护其数字资产及其使用者来使企业有效且满怀信心地运营和创新。这些资产如今以前所未有的方式进行分配和运转。

我们现在依赖的基础设施包括互联网和云,且由于基础设施更多地是软件定义,其实际位置更具流动性。网络基础设施将企业与客户、移动员工和第三方联系起来,这些交互必然会跨越传统的边界。

应用程序代表创造价值的业务流程。甚至关键任务应用程序将从数据中心迁移到云中,其数据也会随之迁移。必须确保交易安全、保护数据且审计企业活动(出于合规性目的),就如这些资产在数据中心内部一样。

用户遍及全球。无论位于何处,企业必须在其设备上且视情况与客户联系。移动和远程员工在传统控制范围中花费更少时间。业务合作伙伴、供应商、分发商和承包商高度分散。

加加看。基础设施、应用程序、数据和用户可遍及全球。这大大增加了曝光度(企业必须保护的攻击面大小)。同时也显著增加了网络和安全管理的复杂性。

我们无法严格控制这些资产,且仍能在数字业务时代蓬勃发展。因此,我们不利用一个边界来确保其安全,而是在它们所在之处更具体地提供保护。这需要高可见性和 Zero Trust。

过渡到 Zero Trust 需要什么?

需要一个不同的安全架构。必须在最合适的情况下应用安全策略和控制,即数字资产受到保护。思考一下确保从云中一个端点到另一个进行通信的安全的正确方式。您真的希望能够找到在这两个点之间进行通信的最快路径,然后在该路径的中间实施适当的安全控制。除非双方都经过严格的身份验证,否则不会建立通信,除非进行强加密,否则不会移动数据。这就是我们需要做的。

还需要不同的安全观念。大多数安全专业人士都在网络管理世界中得到了锻炼和成长,其中进行交易的工具有路由器、防火墙和网络数据包。继续尝试使用如微分段等技术主要在网络层对安全进行编码是自然而然的事情。但这是一个难题,一条复杂之路。我们需要打破这种习惯,升级至应用程序层。目标是确保与应用程序进行交互的安全,无论它们在哪些网络上运行,因为它们在企业无法控制的网络上运行。应用程序级是在其中最好地构建和实施业务定义安全策略和控制的位置。在该级别,无论资产位于何处都可移植安全控制。

Zero Trust 对于企业来说意味着什么?

Zero Trust 能够前所未有地深入了解数字资产和用户发生的情况,而不仅仅是网络发生的情况。从而可在高度分散的业务环境中实现更加全面的安全性。标准安全控制可内置在应用程序及其接口中,这样可加速新业务功能的开发和部署。因此,Zero Trust 最终可以使业务更灵活,以更快的速度和更大的信心继续推动其所有数字化方案的发展。

Zero Trust 还减少了复杂性并简化了网络管理。当网络专业人士不必迫使业务流程层安全控制和策略进入网络时,他们可以更多地专注于网络性能和可靠性,及向用户提供的数字化体验。

可以通过以下商务术语解决安全控制:此用户是谁、我对他们的信心程度、他们试图与哪款应用程序进行交谈、让他们与该应用程序进行交谈有哪些业务风险、需要针对该通信路径实施哪些策略和控制?很显然,应用程序所有者(它们所属)负责对这些策略和控制进行决策。这样也简化了 CISO 和网络专业人士的生活。

对于用户,Zero Trust 提升了流畅度并改善了他们的体验。我们可以通过除了密码之外的方法加强身份验证。身份验证级别因用户要执行的操作而异,可无缝访问简单的任务,在访问敏感数据时需要进行更多的身份验证。公司库查找 — 继续。公司财务信息 — 完全不同。

最终,我们谈论的越深入,不仅有利于资产保护,还可提供更多好处。这是对您业务的了解。它可以更细化地了解业务流程和在线交易操作。您可以分析此信息、获取有关流程和客户实际行为方式的新见解,并发掘远远超出安全范围的改进机会。

组织应该如何及从何开始?

需要大规模重新配置网络时会出现一些最佳用例。例如,一个主要的零售链需要在 10,000 多个业务部地点推出新业务功能。业务目标是提供更好的分析,以便降低成本、增加各业务部地点和总体上的收入。尝试使用 VPN 桥接所有店内网络并通过微分段实施安全控制实在是太复杂了,且特征缩放错误。

更好的替代方案是采用利用云和应用程序层控制的 Zero Trust 方法。这种方法不将整组网络拼接在一起,而是根据组织中人员的角色通过多因素身份验证进行基于属性的访问。所有访问控制基础设施都是虚拟化的。本质上在云中的连接对之间进行数据传输,且公司的后端系统不会暴露于互联网之中。

这样可加速实施,同时最大程度减少对网络的更改。凭借该经验和取得的成功,公司正在不断地将 Zero Trust 架构应用于一系列业务方案。

另一个优秀的用例是兼并或收购,在这种情况下,协同作用和财务成功取决于快速兼并技术、应用程序和业务运营的能力。一些组织必须反复这样做,就像大型金融服务机构收购一系列区域性银行或本地银行一样。传统方法是将网络拼接在一起,在防火墙前面放置防火墙,并尝试识别旧网络的所有新资产及其安全控制,这种方法复杂、耗时且容易出错。

相反,Zero Trust 架构可以将可访问性和控制叠加到一起。保持收购的系统运行。为其员工提供对母公司应用程序和数据的适当访问权限,反之亦然。首先,在边界和应用程序之间建立桥接,以便公司可以快速协调运营情况。然后,随着时间推移,将底层网络的实际拓扑合并到所需范围内。

类似地,在完全或部分撤资后,可以安全地分离或选择性地共享对资产的访问权限。当特定资产出售后,媒体和娱乐行业中会出现复杂的示例。这是遍布多个设施的内容制作操作。一半员工开始为新公司工作,而另一半会留在原公司。在他们需要访问的应用程序中,一些应用程序将迁移至新公司,一些将留在原公司,还有一些将留在中间位置且需要进行共享。在这种情况下,它们如何进行重新布线?这样做的成本极高且无法实现有效作用。

解决方案是将物理基础设施保留在原处,然后在其上叠加用户群的虚拟分段,提供对应用程序的独家或共享访问权限,及完整的安全控制。这样可以保持员工生产力并很快为企业创造价值。

以上三个示例传递出了非常重要的潜在信息:Zero Trust 可逐渐适用于各种应用程序。这并不意味着对架构和基础设施进行大规模改造。它可以补充且随着时间推移替代现有的安全机制,从而提供价值。确保从一个不仅证明了这一概念,而且为企业带来重要价值的用例开始。

什么让您对 Zero Trust 感到振奋?

在 Akamai,我们非常热情,因为我们知道它起作用,而且我们在这方面拥有出色的经验。想象一下,您必须在全球范围内部署一个包含数千台服务器且所有服务器均直接嵌入到互联网结构中的业务平台。它们必须安全地相互进行通信和交互操作。假设您 20 年前就开始这样做了。事实上,这就是 Akamai 故事。

由于公司正在构建其高度分散和基于互联网的内容交付网络,且确保向我们的客户提供高性能体验,我们必须假设没有传输是值得信任的。

因此,我们必须针对每个端点进行高强度身份验证。这不仅仅是我们知道 IP 地址,在建立通信之前,需要交换和验证数字证书。如果不使用访问控制代理,用户则无法访问平台。因此,提供基于以下属性的策略实施逻辑中心点:您是谁、您来自哪里、您在组织中扮演什么角色、甚至是什么时间,因为如果是下班时间,则您不应进入。

如今,Akamai 已在 130 多个国家/地区拥有超过 240,000 台服务器。我们在互联网边缘运行,边界的概念已过时。我们处理大部分互联网流量,这使我们能够非常深入地了解互联网安全性和我们客户架构的安全性。不断深入了解可促进我们洞察并推进在网络安全方面实现创新。

20 年前,没有人称之为“Zero Trust”,但这是我们一开始就一直采取的方法。我们要做好这件事,别无选择。这就是我们对 Zero Trust 和帮助我们的客户将安全性提升至更高水准并推动数字业务发展怀有激情的原因所在。

Related CIO Content