邊界不復存在，信任與安全從何而來？

無論是否從事信息安全工作，在新聞、行業(yè)會議或同行交流中，有一個詞想必很多人都聽說過：零信任。很多人認為這是一種面向未來的信息安全方法，對企業(yè)的數(shù)字化轉型和上云至關重要。

那么零信任到底是什么？它比大量企業(yè)目前采用的方法到底好在哪里？本文帶您一起探索。

彼時：邊界很重要

多年來，IT技術飛速發(fā)展，為我們的工作和生活帶來了很多新的變化，但有件事始終非?！肮虉?zhí)”地維持不變，那就是大部分企業(yè)至今依然在采用的“中心輻射型”（Hub-and-spoke）網絡架構。

這種架構曾經是合理的。在互聯(lián)網成為業(yè)務與基礎架構的核心之前，企業(yè)通常需要通過自己的數(shù)據(jù)中心來承載各類工作負載，這些數(shù)據(jù)中心容納了關鍵基礎架構和五花八門的應用程序。隨著企業(yè)在各地上線分支辦公室、零售店面以及遠程辦公位置，這些位置的員工同樣需要訪問位于中心位置的應用程序和數(shù)據(jù)。因而企業(yè)當時建立的網絡也反映了這種需求：所有網絡最終都要回歸至核心數(shù)據(jù)中心，畢竟數(shù)據(jù)中心是需要進行各類處理的核心所在。

然而時至今日，攻擊者也開始利用這種架構，并催生了一種全新的行業(yè)：數(shù)據(jù)中心安全棧。由于傳統(tǒng)的中心輻射型架構需要將龐大的互聯(lián)網流量匯聚在數(shù)據(jù)中心，因此需要由更強大的技術和設備來保護這些對業(yè)務而言至關重要的命脈。防火墻、入侵檢測和預防系統(tǒng)、安全Web網關（SWG）、數(shù)據(jù)丟失防護……各類系統(tǒng)開始陸續(xù)出現(xiàn)在企業(yè)網絡架構中。

這些部署在中央位置的安全設備進一步鞏固了中心輻射型架構作為主要網絡架構的地位。簡單來說，這種做法實際上就是構筑了一道“城堡加護城河”，并且此時我們有著非常鮮明的網絡安全邊界：“邊界之外皆壞蛋，邊界之內皆好人”。

但云計算改變了這一切?，F(xiàn)在的安全措施必須能為邊界之外的大量用戶和應用程序提供支持。

此時：邊界消失于無形……

簡而言之，應用程序正在四處移動。但它們并不孤單，當今的勞動力市場和工作環(huán)境都發(fā)生了顯著變化，人們進行工作的時間、方式和地點早已超過了辦公室小隔間的局限。因此可以說，網絡邊界早已消失不見。用戶與應用程序可能位于護城河內，但也可能位于護城河外。如果遭遇高級持續(xù)威脅，我們很可能不經意間讓邊界內的惡意人員完全訪問到企業(yè)最寶貴的數(shù)據(jù)資產。

用20年前的安全訪問方法保護當今現(xiàn)代化數(shù)字環(huán)境，這無疑是錯位的，甚至某些情況下是非常危險的。這并非憑空猜想的結論。過去五年來發(fā)生的很多數(shù)據(jù)泄露事件讓我們很明顯地注意到，大部分數(shù)據(jù)泄露事件都是網絡邊界內信任被濫用所導致的。

而另一種情況又進一步加劇了這個問題：一般來說，如果某個應用程序從最開始就打算只在網絡邊界內部運行和使用，那么通常在安全性上就很容易無法得到重視。

零信任網絡架構

該領域的思想領袖，時任Forrester分析師的John Kindervag提出了“零信任”（Zero Trust）解決方案。其背后的理念非常簡單，但又非常強大：信任不應該是某些位置的固有特征。簡單來說，我們不能僅因為某個系統(tǒng)位于防火墻后面就直接信任它。相反，應該在安全性方面采取悲觀觀點，首先假定任何計算機、用戶和服務器都不可信，除非事實證明并非如此。

零信任基本原則

那么又該如何證明？強身份驗證和授權，并且在建立信任之前不進行任何數(shù)據(jù)傳輸操作。此外還應通過分析、篩選和日志記錄等措施來驗證所有行為的正確性，并持續(xù)觀察是否存在代表威脅的信號。

這一根本性轉變挫敗了過去十多年來我們見過的大部分威脅。攻擊者將無法繼續(xù)花時間找到外圍弱點，然后訪問護城河內部的敏感數(shù)據(jù)和應用程序。因為護城河早已不復存在！現(xiàn)在，企業(yè)網絡中可以只有應用程序和用戶，而應用程序與用戶的每次訪問前都要相互驗證身份并獲得授權。

這就是零信任！但企業(yè)這又該如何實現(xiàn)？

歡迎繼續(xù)閱讀本系列的下篇內容，我們將從Akamai各類產品和解決方案入手，結合零信任的基本原則和理念，告訴大家如何快速構建出行之有效的零信任網絡架構，在全新的數(shù)字化時代為寶貴的業(yè)務和數(shù)據(jù)提供充分保護。