Dark background with blue code overlay

博客

实现安全性与生产力的和谐交融

dan-petrillo.png

Written by

Dan Petrillo

April 27, 2022

Dan Petrillo is a Director, Product Marketing at Akamai Technologies.

zero-destination.jpg

许多 IT 安全工具和做法都以牺牲生产力为代价,这种情况屡见不鲜。即便是物理安保措施也有这方面的权衡折衷。比如说在乘坐飞机时,登机前要接受大量的安检,因此我们必须赶在登机一个小时前到达机场。正因为存在这种权衡折衷,我们关注的问题往往不是我们是否有能力提升网络安全性,而是与安全措施对业务造成的不利影响相比,这种安全性的提升是否值得。

在采用新的业务支持技术时,还必须考虑风险与回报方面的影响。在确定一项新技术对业务确有价值之后,我们还必须确定一点:与扩大的攻击面以及由此产生的相关入侵风险相比,这种新技术是否利大于弊。正因如此,安全团队与 IT 团队之间必定会持续存在紧张关系。但这种紧张关系是可以改变的。

在 2022 年 4 月的平台更新中,我们将深度探究 Akamai 如何打造“工作的未来”,让客户可以开启 Zero Trust 之旅,在加速提升业务生产力的同时,尽可能降低入侵风险。为了这种安全性和生产力和谐交融的状态,首先要解决实施 Zero Trust 原则时的一些常见难题。

Zero Trust 的阴暗面

对于“Zero Trust”的含义及其实施方式,分析师、供应商和安全专家的观点可谓众说纷纭。但我们似乎都认同一点,即 Zero Trust 高度可靠,安全团队可基于它来尽可能降低入侵风险和影响。虽然就 Zero Trust 的最终状态目标达成共识并不难,可人们往往不会深究达成这一目标的过程中的种种细节,以及可能对业务产生的影响。

设想 Zero Trust 有一种最终状态,彼时您将环境中隐藏的那些只会造成风险、对工作毫无助益的默示信任彻底清零。每个人都会认同,那将是无比美好的理想世界;整个环境无懈可击,想要滥用系统中漏洞或引入新恶意软件的攻击者无从下手。 

而想到为开启这样的美好新世界而必须付出的努力,Zero Trust 的阴暗面就会显露出来。在 Zero Trust 之旅中,我们必须考虑过程,而不仅仅是目标。对过程本身缺乏关注则正是这种模式很少真正得到落实的一大原因。在重点关注这个过程时,我们需要思考几个要点。

生产力下降 

首先是对员工生产力的负面影响——无论是意料之外,还是设计使然。Zero Trust 的一个基本方面是限制访问,主要方式是使用允许列表。这种做法明确指定了允许执行的操作;并且默认拒绝其他一切操作。在降低攻击者开展恶意活动的能力时,意外造成某人无法顺畅完成其工作的可能性往往会提高。 

安全团队不可能预见到资产和人员必须彼此通信的每一种可能情况。此外,业务与员工都在通过无法预测的方式发展变化。IT 和安全团队必须考虑到本应给予但尚未给予信任的情况。

实施 Zero Trust 原则时,另一项潜在的负面影响是生产力下降,这是有原因的,仅举几例:额外的身份检查、给工作负载和终端用户设备造成负担的代理程序,以及强制要求终端用户登录的工具。上述每一种不利因素在单独考虑时,都在我们的容忍限度内。但蚁穴溃堤,随着它们的负面影响逐渐累积,终会达到弊大于利的程度。

对于多个接触点的需要

在我们对 Zero Trust 之旅的讨论中,最后但同样重要的痛点是对安全团队及其集成商、架构师和分析师的影响。目前市面上没有任何一种产品可以仅凭一己之力推进 Zero Trust 之旅。因此,安全团队需要在多个控制台上维护策略、推出多个代理程序,并维护多项集成。 

就算对人手最充足的安全团队来说,这项任务也无比艰巨,可能产生高昂的费用和人力工时成本。最后这个问题提高了误报的可能性,也增加了代理程序和工具的数量,给终端用户造成了更大的负担,从而造成前两个问题更加错综复杂。

渐近但永远不可能完美拟合

另外值得特别指出的一件事是,Zero Trust 实际上是一种“渐近”的目标;我们只能做到尽可能靠近,但不可能消除每一丝默示信任。特别是,当我们拓展思路,想想究竟可以在何处运用 Zero Trust 原则时,这一点会更加明显。 

以一次供应链攻击为例,一个受信任的用户从某个受信任来源下载受信任的应用程序,并启动该应用程序。目前的 Zero Trust 定义允许这些操作,这让恶意攻击载荷能够绕过所有信任区域。在这种情况下,我们可能要考虑是否需要在端点的内存中应用 Zero Trust……不过,我们今天不谈这个话题。重点在于,完美的 Zero Trust 无从实现,进一步接近目标可能涉及到几个痛点,但值得为之付出努力,因为这能够成就“工作的未来”——一种在最大限度降低风险的同时最大限度提高生产力的未来。 

在今天的博文中,我们将探讨 Akamai 如何致力于帮助企业将这一愿景化为现实。在这一旅程的每一步当中,我们都可以减少遭遇灾难性入侵的几率,而且不会干扰业务。Zero Trust 这一最终状态目标已得到广泛接纳,像 Akamai 这样的安全服务供应商应该担起责任,让更多企业能够迅速实现这些步骤,而且不会产生负面影响,比如前文提及的那些示例。

在愿景与现实之间架起桥梁

Zero Trust 意味着只允许业务运营所需的事项,禁止其他一切事项。Zero Trust 之旅的核心就是区分必要与不必要的操作,然后精准采取行动。如果没有适当的工具,这几乎不可能实现。缺乏称手工具最终造成企业允许的事项数量超过了必要范畴,造成过多风险;或者预防措施的程度超出了应有的范畴,抑制了生产力。 

企业需要高度精准、细致地消除默示信任,同时尽可能不对终端用户产生明显影响,这项任务确实艰难,但仍然有办法实现。此外,如果处理得当,这能最大限度地缩小攻击面,保证新技术能得到安全采用,所有业务支持行动均可以信任。安全性与生产力和谐交融,让 Zero Trust 既能尽可能降低入侵风险和影响,同时支持员工高效工作。但我们要如何才能将这种工作的未来化为现实?

实现 Zero Trust 的三大关键组成部分

要在 避免 Zero Trust 阴暗面的情况下实现这种模式,涉及到三个关键组成部分。它们分别是:

  • 监测能力

  • 理解

  • 控制

我们需要实时监测所有资产及其相应的流量,并能够查看其历史信息;需要理解当下发生的事情及其缘由;还需要以精准、细致的控制措施,根据这种理解采取行动。

监测能力意味着,向安全管理员提供有关各种资产、流量、应用程序和用户的视图,并借此尽力消除默示信任。这种监测能力需要足够广泛,涵盖我们网络中的各种操作系统、设备和其他方面。

接下来,我们必须了解所监测事物的功能/作用。只有获得了这样的理解,我们才能准确区分必要与不必要的范畴。背景环境、指导和监测能力让我们能理解:哪些事件应该发生、哪些事件不应发生,哪些是业务的必要事件,哪些在制造风险。

一旦具备了全方位的监测能力,了解了实时情况,我们就可以开始消除默示信任。在这里,精细度与精准度是关键。例如,有些流程是正常运营的必要条件,但有一些服务则并非必需,可能被心怀叵测者滥用。在这样的情况下,我们需要具备在服务级别执行策略的能力。在机器级别乃至应用层实施笼统的策略只会造成误报。 

相关的业内工具

为了达到 Zero Trust 目标,我们需要根除网络内的所有默示信任,但目前还没有一种工具提供了必要的实施能力。为了解决这一短板,Akamai 正在打造高度完善的 Zero Trust 产品系列,根据产品路线图,其中的工具将全面集成。

 

converge.png

微分段

Akamai Segmentation 是卓越的微分段解决方案,它允许控制网络内部流量,由此成为 Zero Trust 的重要助推力量。Akamai 收购 Guardicore 的很大一部分原因在于,这款产品体现了 Akamai 认为对 Zero Trust 至关重要的核心组成部分。

它支持广泛的操作系统,并通过实时和历史网络视图提供了出色的监测能力。它具有灵活的标签功能和直观的用户界面,让用户即便在无比复杂的环境中也能轻松了解依赖关系。它还具有向导式的策略执行,可细化到应用程序乃至服务级别,实现精准、细致的控制。

在 2022 年 4 月的平台更新中,我们不仅在产品组合内引入了 Akamai Segmentation,还对该产品本身进行了一系列改进,从而进一步实现简化,并提高了安全性和覆盖范围。我们将着重介绍几项功能,例如勒索软件抵御模板,它可让服务级别控制措施能轻松阻止高级勒索软件技术。

Zero Trust 网络访问和多重身份验证

Akamai Enterprise Application Access 为用户提供真正基于 Zero Trust 的访问体验,仅授权其访问他们确实需要的应用程序,而不必授予其对整个网络的访问权限和监测能力,从而显著减少攻击面。

Akamai MFA 添加了 FIDO2 多重身份验证 (MFA),对 Enterprise Application Access 的身份验证功能形成补充,确保用户安全。其他许多基于 FIDO2 的 MFA 解决方案需要物理安全密钥,与此不同,Akamai MFA 使用智能手机应用程序,从而降低了成本和复杂性。

我们强烈建议始终将 Zero Trust 网络访问 (ZTNA) 与基于 FIDO2 的 MFA 配合使用。我们并不孤单:美国政府也已经意识到,在帮助提高国家网络韧性方面,部署 MFA 有着至关重要的作用。2021 年 5 月,拜登总统颁布了一项 行政命令 ,规定所有联邦政府机构使用 MFA,2022 年 1 月,美国行政管理和预算局 发布了更多细则 ,规定所部署的 MFA 服务应该具备防范网络钓鱼能力,并且基于 FIDO2 标准。

这种方法似乎比较明智,因为有翔实的证据表明,使用短信服务 (SMS)、其他电话方法或标准推送通知作为用户的“第二验证因素”的 MFA 解决方案存在安全漏洞,人们普遍认为,这些解决方案容易被网络钓鱼攻击攻陷,所以并不是那么安全。

应对日渐猖獗的网络攻击

过去一年间,我们观察客户情况,并发现了实施 MFA 的另一个驱动因素:面对日渐猖獗的网络攻击,许多企业都在投资购买网络安全保险。如今有越来越多的保险公司在保单条款中明确指出,投保公司需要为所有本地和远程登录部署 MFA,才符合投保条件。

在过去几年中保险公司收到的相关理赔申请中,有很多损失都是本可通过 MFA 避免的(这进一步印证了员工登录信息是当下攻击者的目标),这一条款很可能是对此类情况的直接回应。

提供一种能够防范网络钓鱼的强验证因素

公司纷纷开始考虑转用无密码身份验证,用另外一个弱身份验证因素(如短信)取代原本的弱蛇身份验证因素并不能解决问题。基于 FIDO2 的 Akamai MFA 提供了一种能够防范网络钓鱼的强身份验证因素,这对于实现无密码技术的预期安全收益至关重要。

Enterprise Application Access 与 Akamai MFA 协同发挥作用,提供强大的 Zero Trust 访问解决方案,支持访问企业私有 IT 资源。

在 2022 年 4 月的平台更新中,我们为 Enterprise Application Access 和 Akamai MFA 实施了多项改进,以提高部署灵活性,以及与邻近威胁保护技术的互操作性。随着跨平台增强功能的推出,Enterprise Application Access 现支持一些关键增强功能,帮助在更广泛的平台上实现 Zero Trust 安全。其中包括在设备状态评估中检测 MacOS 上的 Cylance AV 和 Microsoft Defender 的能力。此外,我们的 SCIM 与 Okta 和 Microsoft Azure AD 的集成目前正在接受这些企业的认证和验证。我们还发布了 Ubuntu 版 Enterprise Application Access 客户端的技术预览版,供客户测试和验证,准备在 2022 年晚些时候发布正式的完整版客户端。

Akamai MFA 如今支持上下文感知策略,可根据用户网络的 IP 地址、用户所在位置(地理定位)以及用户属于已知还是未知用户,提供自适应 MFA。这一新功能与 Enterprise Application Access 结合使用,即可确保您只为正确的用户提供 Zero Trust 访问权限,从而改进安全访问能力。

此外,Akamai MFA 现支持虚拟专用网络 (VPN) 服务器集成,因此您可将 Akamai MFA 集成到 VPN 身份验证流程中,并通过本地部署 AD/LDAP 目录进行用户调配。

安全 Web 网关

Akamai Enterprise Threat Protector 是我们的云端安全 Web 网关,旨在帮助安全团队确保用户可从任何地方、使用任何设备安全地接入互联网。这种配置快捷、部署轻松的解决方案不需要硬件安装或维护,是基于 Zero Trust 的架构中的另一个关键构造模块。

Enterprise Threat Protector 利用最新威胁情报数据和多个攻击载荷分析引擎,仅允许您的员工访问无害的 Web 内容。这些威胁情报源自 Akamai 对于互联网流量前所未有的监测能力,包括 Akamai Intelligent Edge Platform 每天处理的 3.3 万亿次 DNS 请求,以及来自其他 Akamai 安全服务、CDN 服务的流量日志和数以百计的第三方安全反馈。

推出多租户管理功能

在 2022 年 4 月的平台更新中,我们推出多租户管理功能,帮助服务提供商、ISP 和 MSSP 轻松管理各客户配置。为了帮助识别和阻止使用经过混淆技术处理的 JavaScript 代码规避检测的恶意网页,我们添加了一个零日恶意 JavaScript 检测引擎,可以实时识别和阻止新创建的、基于 JavaScript 的恶意网页。为了提高部署灵活性,我们添加了将流量转发到 Enterprise Threat Protector 的新方法,包括托管式 HTTP 转发器和 IPSec 隧道支持。  

Zero Trust 新世界,开启倒计时

大多数人都认同,Zero Trust 状态默认不信任任何实体,并且强制实施最低访问权限,从而最大限度地减少入侵几率和影响。但是,对于实现这种目标状态的过程,很少有人阐明其中的含义,及其可能对您的业务产生的负面影响,切实可行的操作步骤则更加难觅。正因如此,Akamai 致力打造工作的未来,让更多企业能更高效地实现 Zero Trust 最终状态目标。

今天是本次 平台更新的倒数第二天,我们将扩展 Akamai 的解决方案套件,助力实现 Zero Trust。对 Akamai 而言,这就意味着对于所有实体深入广泛的监测能力;也就是说,通过直观的可视化映射和丰富的背景信息了解其功能/作用;最终,这也意味着能够提供精准、细致的控制措施,保证在实施 Zero Trust 策略时,您能仅阻止对企业造成风险的事物,从而安心无忧地采纳支持业务的技术。

接下来是什么? 

在这种“工作的未来”中,有更多企业可以更迅速地实现 Zero Trust,在降低风险的同时为业务加速。在更新的最后一天中,Ari Weil 将为您解读这样的未来对于您有着怎样的含义,敬请继续关注。

 

 



dan-petrillo.png

Written by

Dan Petrillo

April 27, 2022

Dan Petrillo is a Director, Product Marketing at Akamai Technologies.