什么是 Zero Trust 平台？

Zero Trust 要求遵守其核心原则：默认不信任所有实体、强制实施最小访问权限并保持全面的安全监控。
通过微分段、ZTNA、多重身份验证、DNS 防火墙和威胁搜寻功能的完全集成组合，Zero Trust 平台可简单高效地实现 Zero Trust。

Akamai Guardicore 平台将集成式微分段、Zero Trust 网络访问、DNS 防火墙和托管式威胁搜寻功能整合在一起。这些组合组件为各家企业提供了理想的解决方案，使其能够遵循 Zero Trust 核心原则，包括默认不信任所有实体、强制实施最小访问权限并保持全面的安全监控。

分析师预测，企业未来更倾向于从单一供应商处寻求一体化的解决方案，而不是像过去那样继续购买和管理多种单点产品。将微分段、ZTNA、MFA、DNS 防火墙和威胁搜寻功能整合到一个平台中，可以为客户提供市场上首个统一的 ZTNA 与微分段产品。该产品能够提供优秀的南北向和东西向解决方案，并结合了端到端监测能力和 AI 赋能的功能。我们认为，这种解决方案组合将通过验证每个访问请求（无论其来源如何），帮助企业最大限度地减小其攻击面并降低数据泄露风险。

与当前每款产品各自为政的情况不同，新的 Akamai Guardicore 平台将多项功能整合到单一代理和单一控制台中。这不仅简化了设置与维护工作，还提供了清晰的端到端监测能力，使您能够更好地管理访问和微分段策略。

通过微分段、ZTNA、多重身份验证、DNS 防火墙和威胁搜寻的完全集成组合，Akamai Guardicore 平台可简单高效地实现 Zero Trust。分析师预测，在不久的将来，Zero Trust 买家更有可能从单一供应商处购买产品，而不是像过去那样继续购买和管理多种单点产品。Akamai Guardicore 平台的功能远不止于此。在单一平台和统一代理上工作时，您能够实现更快的部署、管理和响应速度。

Akamai Guardicore 平台是市面上首个统一的 ZTNA 与微分段产品，可提供优秀的南北向和东西向安全解决方案、端到端监测能力和 AI 赋能的功能。

Zero Trust 方法可通过验证每个访问请求（无论其来源如何）来最大限度地减小攻击面并降低数据泄露风险。它可确保只有经过身份验证和授权的用户及设备才能访问您的网络和资源，从而提供更高级别的安全保障。

Akamai Guardicore 平台的目标客户是任何具有广泛的攻击面，并寻求实现 Zero Trust、降低勒索软件风险以及遵守相关法规要求的企业。

在某个漏洞被公开披露后，安全团队就必须争分夺秒，尽快识别并保护可能遭到入侵的系统。该平台（尤其是分段模块）已被证明具有围绕可能遭到入侵的系统建立“安全围栏”的功能，可以在厂商发布补丁或找到其他解决方案之前阻止与这些系统进行任何通信。但这仍然没有解决如何快捷地找出所有这些被入侵系统的问题。该平台现在通过 AI 赋能的聊天机器人来解决此问题，只需进行一次查询即可找到您环境中所有正在通信且可能存在漏洞的机器，从而使安全团队能够在漏洞遭到利用前，快速制定并实施相应的保护策略。

Akamai Guardicore 平台是您在 Zero Trust 之旅中的新合作伙伴。该平台包含 Akamai 卓越的微分段解决方案、访问控制功能以及 DNS 防火墙等。您只需要更新代理即可支持这些新功能。

Akamai Guardicore Segmentation 的现有客户需要升级其端点代理方可获享访问功能带来的好处。Enterprise Application Access 客户将需要进行迁移。

通过微分段、Zero Trust 网络访问、DNS 防火墙和威胁搜寻功能的完全集成组合，Akamai Guardicore 平台可简单高效地实现 Zero Trust。

• 微分段：基于代理/无代理的微分段
• ZTNA：可以为混合工作团队提供快速、安全的访问（以前称为 Enterprise Application Access）
• 多重身份验证：通过将 MFA 纳入微分段策略来降低风险
• DNS 防火墙：采用独特 Akamai 源的先进 DNS 防火墙（以前称为 Secure Internet Access）
• 搜寻：通过高级威胁和安全风险检测来增强应用程序和网络安全态势

是的，作为 Akamai Guardicore 平台组成部分销售的各项功能也可以单独销售。该平台不仅包含现有的组合产品，同时引入了仅在该平台中可用的全新集成功能。

除了微分段之外，Akamai Guardicore 平台还提供 Zero Trust 网络访问 (ZTNA) 功能。ZTNA 是一种采用 Zero Trust 原则的安全模式，这意味着默认情况下不信任任何用户或设备，即使该用户或设备位于企业网络内也是如此。对资源的访问权限将改为根据严格的身份验证、设备态势及其他情景因素进行授予。此方法可以最大限度地降低发生未经授权访问的风险，并帮助企业防范数据泄露和内部威胁。世界各地的用户都可以访问从完全本地部署到混合多云的任何类型的数据中心。

多重身份验证 (MFA) 要求用户在获得对数据中心敏感端口的网络访问权限之前先进行严格的身份验证，因此能够增加了一层额外的保护。通过利用 MFA，您可以显著降低任何工作负载遭受入侵的风险。即使攻击者设法获得了凭据或进入了内部系统，他们仍然需要通过额外的身份验证。MFA 不仅增强了安全性，还使安全团队能够更好地控制和监测访问权限。通过根据经过身份验证的请求动态地开启防火墙端口，您可以确保只有经过授权的个人才能访问特定资源。

Akamai Hunt 是一项自适应分段服务，旨在随着时间推移逐步增强客户的安全态势，并使其能够有效应对新兴威胁和风险。

Akamai Guardicore 平台中的一项关键技术是微分段。传统上，网络安全依赖于基于边界的防御措施，这些措施注重保护网络的外部边界。但是，随着网络威胁的发展演变，边界防御措施已不足以抵御复杂的攻击，这一点变得愈发明显。微分段另辟蹊径，将网络划分为更小、更易于管理的网段，并根据最小权限原则对每个网段应用安全策略。这种精细的安全方法可确保即使一个网段受到攻击，网络的其他部分仍然受到保护。利用 Guardicore Segmentation，每项资产（包括本地数据中心、云实例、旧版操作系统、物联网设备、Kubernetes 集群等）都能受到保护，甚至不必更改控制台。

Akamai Guardicore 平台推出了几项全新的微分段功能，这些功能可以简化工作流程并增强网络恢复能力。为了确保只有通过身份验证的用户才能访问某些资源，新的多重身份验证分段功能为每项分段规则都增加了一层额外的保护。基本策略提供了可简化网络安全保护的全局规则。最后，工作站点允许针对不同地点或部门设定策略，从而简化了多站点分段工作。

Akamai Guardicore Access 将微分段和 ZTNA 功能整合成一个统一的端点解决方案，提供单一策略来管理用户到应用程序的访问和分段。它提供了从用户到工作负载级别的全面的端到端监测能力、适用于用户的基于身份的应用程序访问控制（无论用户身在何处），以及实现了真正的端点分段的应用程序访问。

访问权限和微分段功能均强制实施 Zero Trust 安全的基本原则，即所有实体都不受信任、强制实施最小访问权限并持续监控安全。目前，许多企业已部署和管理这些不同的点解决方案。这会带来复杂性并产生运营开销，从而延误企业向 Zero Trust 的转型。
Akamai Guardicore Access 将微分段和 ZTNA 功能整合成一个统一的解决方案，从而提供单个策略计划来管理应用程序访问和分段。它提供了从用户到工作负载级别的全面的端到端监测能力、适用于用户的基于身份的应用程序访问控制（无论用户身在何处），以及实现了真正的端点分段的应用程序访问。

对于任何希望迁移到 Zero Trust 架构的企业来说，ZTNA 和微分段是两种关键产品。企业通常会根据自身的安全优先级，选择其中一种产品作为转型的切入点。借助统一的 Zero Trust 平台，企业可以从这两种解决方案之一入手，但随着时间的推移，他们可以从单一代理、控制台和策略中受益。这降低了管理不同解决方案的复杂性，并缩短了实现 Zero Trust 架构所需的时间。

具体而言，对于 ZTNA，客户可以通过部署 ZTNA 并使用新一代防火墙来对其内部网络和工作负载进行分段。然而，这是一种复杂且效率低下的方法。统一的 ZTNA 与微分段解决方案提供了更简单、更安全的方法，并解决了企业在部署 ZTNA 时面临的一些挑战。

首先，许多企业都无法全面了解他们所使用的业务应用程序，而且企业规模越大，全面了解业务程序的难度就越大。微分段标记使客户能够快速发现自己拥有的专用应用程序以及能够访问这些应用程序的用户。

其次，在创建应用程序访问策略后，如果仅使用 ZTNA，他们就需要确保应用程序是可访问的，这意味着需要编辑防火墙规则。而使用统一的解决方案时，在创建了访问策略后，企业可以一键创建微分段策略。

最后，统一的解决方案能够提供对整条路径的监测能力，让企业深入了解从用户设备到应用程序，甚至是应用程序进程层面的各个环节。这种端到端监测能力使网络团队能够快速调查和解决任何应用程序访问问题。

只有代理才能为您的端点提供 Zero Trust 分段保护，并且代理会通过限制端点流量以及根据设备的安全态势应用访问策略来抵御勒索软件。

通过现有的基于身份的分段功能，客户可以根据 Active Directory 用户组创建访问规则，以便按用户提供对应用程序的精细访问权限。需要向 Akamai Guardicore 注册 Active Directory，才能检索组和用户信息。在完成此操作后，安全管理员可以基于一个或多个 Active Directory 组来创建组。

借助统一的端点，Guardicore Access 可利用能够与任何现代身份提供商集成的 Akamai 独立 ZTNA 解决方案的全部功能。此外，它还包含其他 Zero Trust 网络访问功能，例如设备态势、基于上下文的访问等。

客户现在能够在 Guardicore Access 中使用 Enterprise Application Access 的所有功能和特性。一些初始设置和配置暂时将在现有的 Enterprise Application Access 门户中完成，而日常工作将通过 Guardicore Access 获得支持。

Zero Trust 网络访问 (ZTNA) 和虚拟专用网络 (VPN) 都是专为安全远程访问而设计的工具，但它们的安全方法存在显著差异。与传统的 VPN 相比，ZTNA 通常被认为更加先进和安全。原因如下：

1. Zero Trust 方法：ZTNA 基于“永不信任，始终验证”的 Zero Trust 方法，因此默认情况下，无论用户或设备位于何处，他们都不受信任。访问权限是根据身份、上下文和策略的组合授予的。相比之下，VPN 通常会根据网络位置授予访问权限，因此在用户建立连接后，这可能会使网络面临威胁。
2. 精细的访问控制：ZTNA 可以精细控制用户能够访问的应用程序和资源。这可以带来更稳固的安全态势，并且在发生入侵或出现漏洞时，能够缩小攻击范围。而 VPN 通常提供广泛的网络访问，因此在用户或设备遭到入侵的情况下，这会增加风险。
3. 提高监测和监控能力：借助 ZTNA，企业可以更好地监测用户行为和访问模式。这有助于实现主动监控和快速应对安全威胁。VPN 提供的监控能力通常不够精细，因此更难以检测和响应安全事件。

Guardicore Access 是单独许可的附加模块。不过，客户可以免费试用这些功能 60 天。启用后，客户需要部署 Access Connector，将 Access 与其身份提供程序和目录服务集成，并配置应用程序访问策略。

DNS 防火墙会根据持续更新的威胁情报库来分析贵企业的所有 DNS 查询，阻止高风险连接，并检测是否存在其他类型的恶意活动。这既可以防止设备感染，也可以阻止攻击者在攻击期间恶意使用 DNS 实施命令和控制以及数据外泄。

DNS 防火墙可阻止各种威胁，包括恶意软件域名、网络钓鱼攻击、勒索软件和其他通过 DNS 查询识别的恶意活动。它使用持续更新的威胁情报来有效抵御新型和新兴威胁。

凭借我们作为内容交付领域佼佼者的卓越声誉，Akamai 拥有对全球 Web 流量广泛的监测能力，同时也是全球最大的 DNS 服务提供商之一。

我们还可以汇总来自整个产品线的大量日志数据，从而提供对全球范围内新兴威胁的额外监测能力。公司的精英安全和机器学习研究人员将我们自己的第一方数据与 Akamai 安全情报组的研究成果、第三方威胁情报以及公开信息相结合，以打造一个广泛的、基于云的威胁情报源。

其他优势包括：

• DNS 防护无处不在：通过使用 Akamai Guardicore Segmentation 代理，我们可以在任何地方保护资产。
• 防范高度复杂的攻击：为了绕过 DNS 安全工具，恶意软件通常使用客户 DNS 名称服务器作为其域，从而避免被 DNS 安全 DNS 名称服务器检测到。Akamai Guardicore 代理会分析所有网络流量，因此能够检测出指向任何 DNS 名称服务器的恶意域名请求。

将 DNS 防火墙与微分段结合使用可以提供多层安全方法。DNS 防火墙能够拦截恶意 DNS 请求，将许多威胁扼杀在摇篮之中，而微分段可以隔离关键资产，因此即使发生入侵，也能将其控制在单个工作负载上，使其无法通过横向扩散来继续感染其他资产。

要想有效实施 Zero Trust，很多方面都可以使用 AI 技术来进行简化。Akamai Guardicore 平台通过以下几种方式来利用 AI：

1. 轻松与您的网络进行通信：通过使用 AI，Akamai Guardicore 平台使其用户能够使用自然语言与其网络日志进行交互，从而帮助加快合规工作和时效性事件响应活动的速度。
2. AI 标记：制定 Zero Trust 策略要求从业人员准确清点他们负责保护的每项资产。此过程从标记开始：众所周知，这是一项困难、耗时且需要人工完成的任务。Akamai Guardicore 平台利用 AI 研究这些资产的行为方式并提出相应的标记建议。这些建议附带置信度评分以及为何选择该标记的解释。
3. AI 查询：Osquery 是一个功能强大的工具，内置在 Akamai Zero Trust 客户端中。利用此工具，企业能够提出问题，从其环境中的每个受保护资产中提取答案。唯一的缺点是，提出这些问题需要使用特定的类似 SQL 的语法。大多数首席信息安全官们都知道需要问的内容，但不知道需要使用哪种语法。Akamai Guardicore 平台可利用 AI 将自然语言转换为这些查询，这样一来，即便是技术水平有限的安全专业人士也能快速获得答案。这在漏洞评估中特别有用，例如，确定您是否以及如何可能容易受到 Log4j 等的攻击。
4. AI 策略：对于 Zero Trust 而言，实施策略是其终极目标，但要确切地知道应该执行什么策略并非易事。一方面是过度宽松的规则，这些规则往往会放行不必要的流量。另一方面是会阻止必要流量并中断业务的策略。可以根据您独特的流量模式利用 AI 为您提供恰当的策略建议。

在基于软件的分段中，标记发挥着骨干作用。问题在于，许多企业都没有一个统一数据来源能够提供完整且最新的服务器元数据集，而要想确保正确的标记，并通过扩展来确保正确实施全面的安全策略，这一点必不可少。

为解决这一问题，我们推出了 AI 标记功能。它利用生成式 AI 功能，根据解决方案识别的进程通信来提供恰当的标记建议。其中利用的大语言模型 (LLM) 经过训练，可以识别英语会话中的提示语，它将识别运行商业应用程序（例如，Active Directory、SAP 产品、Splunk 等）的机器最有可能的身份。然后，它将为该机器提供相应的应用程序标记和角色标记建议。

Guardicore Copilot 是一种由生成式 AI 赋能的聊天机器人，它不但可以作为内置的分段和 Zero Trust 专家提供服务，还能担任公司内部网络安全顾问这一角色。客户希望使用自然语言来查询其网络、加快人工任务处理速度，并希望有一个能根据最佳实践提供建议智能助手。在这些需求的驱动下，Guardicore Copilot 应运而生，它旨在从两大关键领域提供以下功能：加快运营速度和提供支持。

我们使用两种策略：

1. 我们为 LLM 提示提供特定于客户环境的最新信息，以确保它根据输入提示提供相关信息。
2. LLM 会以严格的格式返回答案，该格式遵循可验证的明确定义的模式。然后，在与用户分享答案之前，我们会根据模式和客户的环境上下文（标记、资产等）验证答案格式和内容。

暂时不能。

否，AI 不会改变企业面临的攻击类型。恶意软件和勒索软件仍然是最常见的威胁。但是，AI 可以实现攻击自动化并成倍提升攻击效果，从而使攻击者能够更快、更准确地发动攻击，而最重要的一点是攻击的规模远超以往。

攻击者和防御者已同时掌握了 AI 技术。从现实角度来看，这对我们（防御者）是有利的，因为我们对这项技术并非毫无防备。采用 AI 比忽略 AI 更好（实际上更安全）。
为此，Akamai 正遵循政府机构和优秀供应商制定的指导方针，并采纳了行业共享的最佳实践，但需要注意的是，目前没有针对 AI 的合规标准（例如，SaaS 领域的 SOC 2 标准）。

我们正在利用 Azure OpenAI 基础架构，该基础架构提供 OpenAI LLM 的托管专用实例。我们会在内部训练这些模型，并为 LLM 提示提供特定于客户环境的最新信息，以确保它根据输入提示提供相关信息。

客户查询与任何其他客户数据一样，仅存储在 Akamai Guardicore SaaS 云基础架构中。文本也会在本地进行处理。

Guardicore Copilot 可以访问 Akamai Guardicore API，例如资产、标记等

作为 AI 助手，Guardicore Copilot 仅检索信息并提供更改建议。它不会自行应用更改。策略实施仍然是用户的主要责任。

我们会将聊天历史记录存储 180 天。存储聊天历史记录主要是为了让用户能够回顾过去与 Guardicore Copilot 进行的对话，但我们也使用聊天历史记录来监控和改进 Guardicore Copilot 的性能。

目前，由 AI 提供支持的异常检测是一项仅供 Akamai Hunt 客户使用的服务。

Guardicore Copilot 专注于网络安全，特别是使用 Akamai Guardicore 平台来保护您的网络。

Akamai Guardicore 平台能够与现有的 IT 基础架构进行无缝集成。它支持各种环境（包括云、本地和混合部署），可确保部署的灵活性和便捷性。

Akamai Guardicore 平台可在所有云环境下的 IaaS 环境中使用，目前也可以在 Azure 部署中的 PaaS 环境中使用。

1. 该集成仅与 SaaS 客户相关。
2. 无客户端应用程序目前不受支持。