從“Trust all”,到“Trust zero”,零信任可以這樣實(shí)現(xiàn)！

在本系列的上篇文章中，我們簡(jiǎn)要介紹了零信任安全方法是什么，以及為何要使用該方法。本篇，我們將一起來(lái)看看如何借助Akamai產(chǎn)品和解決方案快速構(gòu)建適合自己實(shí)際情況的零信任網(wǎng)絡(luò)架構(gòu)。

首先別忘了，對(duì)于零信任，我們?cè)岢鰩讉€(gè)最基本的原則：

接下來(lái)我們就一起圍繞這些原則，開(kāi)始自己的零信任之旅吧。

Akamai Edge Security Services

零信任架構(gòu)的實(shí)現(xiàn)方式有很多，一種非常流行的方式是在自己的DMZ（Demilitarized Zone，隔離區(qū)）中運(yùn)行訪問(wèn)代理。但這種方式削弱了借助云平臺(tái)削弱攻擊，獲得無(wú)限帶寬的緩存，以及按需自動(dòng)擴(kuò)展資源的能力。

作為一家云原生公司，自20多年前成立以來(lái)，Akamai始終在邊緣位置運(yùn)營(yíng)自己的服務(wù)。我們?cè)O(shè)計(jì)了一種零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）技術(shù)：身份感知代理。這種代理運(yùn)行在云中，可按需擴(kuò)展，在Akamai的平臺(tái)（而非用戶設(shè)備）上執(zhí)行需要耗費(fèi)大量CPU資源的操作，借此削弱攻擊并將緩存的內(nèi)容交付給距離最近的用戶。這套名為Enterprise Application Access的技術(shù)，其基本架構(gòu)是這樣的：

在上述架構(gòu)中，我們可以向特定應(yīng)用程序（而非整個(gè)企業(yè)網(wǎng)絡(luò)）提供訪問(wèn)。但此時(shí)并不需要在DMZ中放置訪問(wèn)代理，而是可以在防火墻之后運(yùn)行一個(gè)名為Akamai Enterprise Application Access Connector的小型虛擬機(jī)，該虛擬機(jī)沒(méi)必要，也不應(yīng)該放在DMZ中。它使用了私有IP地址，無(wú)法直接通過(guò)互聯(lián)網(wǎng)訪問(wèn)，并且在表現(xiàn)上，它與我們放在防火墻之后的其他應(yīng)用程序完全相同。

Enterprise Application Access Connector啟動(dòng)后，便會(huì)立即與Akamai平臺(tái)建立加密連接，隨后即可從Akamai服務(wù)器下載配置信息，開(kāi)始為用戶和應(yīng)用程序的訪問(wèn)提供服務(wù)。

當(dāng)內(nèi)部應(yīng)用程序試圖訪問(wèn)一個(gè)服務(wù)時(shí)，會(huì)通過(guò)DNS CNAME重定向至Akamai Intelligent Edge Platform?。如果最終用戶和他們的設(shè)備順利通過(guò)了所有檢查，即可通過(guò)路由依次進(jìn)行身份驗(yàn)證、多重身份驗(yàn)證（MFA）、單點(diǎn)登錄（SSO），最終執(zhí)行獲得批準(zhǔn)的操作。

訪問(wèn)應(yīng)用程序，而非訪問(wèn)整個(gè)網(wǎng)絡(luò)

是否覺(jué)得上述方式與目前大部分企業(yè)廣泛使用的虛擬專用網(wǎng)絡(luò)技術(shù)差不多？并非如此！虛擬專用網(wǎng)絡(luò)技術(shù)提供的是網(wǎng)絡(luò)級(jí)的訪問(wèn)能力，一旦順利通過(guò)身份驗(yàn)證，將能在內(nèi)網(wǎng)中通行無(wú)阻；Akamai Enterprise Application Access確保了用戶只能訪問(wèn)自己有權(quán)訪問(wèn)的特定應(yīng)用程序，而非整個(gè)網(wǎng)絡(luò)。

性能問(wèn)題同樣不容忽視。在最簡(jiǎn)單形態(tài)的虛擬專用網(wǎng)絡(luò)中，所有流量都要回流至位于中央的數(shù)據(jù)中心基礎(chǔ)架構(gòu)，這可能導(dǎo)致某些互聯(lián)網(wǎng)應(yīng)用或SaaS應(yīng)用訪問(wèn)速度大受影響，并加劇企業(yè)互聯(lián)網(wǎng)上行鏈路擁堵情況。對(duì)于不在本地的用戶，他們?cè)L問(wèn)互聯(lián)網(wǎng)應(yīng)用所產(chǎn)生的流量，又為何要返回企業(yè)數(shù)據(jù)中心“繞一圈”呢？

為降低性能負(fù)擔(dān)，通常需要部署分離隧道（Split tunnel），并標(biāo)記哪些IP地址段的訪問(wèn)需要通過(guò)虛擬專用網(wǎng)絡(luò)傳輸，哪些可以直接發(fā)送到互聯(lián)網(wǎng)。當(dāng)企業(yè)網(wǎng)絡(luò)只有一個(gè)內(nèi)部邊界時(shí)，這是一種簡(jiǎn)單有效的方法。然而隨著數(shù)據(jù)中心和虛擬私有云（VPC）的采用，這種方式也變得日益復(fù)雜。

Akamai Enterprise Application Access在這種情況下基于代理，可以實(shí)現(xiàn)應(yīng)用程序級(jí)別訪問(wèn)的方法就更有吸引力了。在應(yīng)用程序級(jí)別的訪問(wèn)中，性能與安全性變得與復(fù)雜性徹底無(wú)關(guān)。在咖啡館中遠(yuǎn)程辦公的員工，與身處辦公室的員工可以獲得完全相同的體驗(yàn)。這一切只需要一個(gè)基本前提：用戶已獲得必要授權(quán)，并且所用的設(shè)備在安全性方面滿足要求。

總結(jié)

在零信任架構(gòu)的構(gòu)建過(guò)程中，重點(diǎn)在于要明確三個(gè)關(guān)鍵目標(biāo)：

隨后需要明確：傳統(tǒng)的中心輻射型網(wǎng)絡(luò)架構(gòu)以及配套的“城堡和護(hù)城河”安全邊界，已經(jīng)無(wú)法在當(dāng)今云和移動(dòng)的世界中提供企業(yè)所需的性能和安全性。這是所有企業(yè)都不得不面對(duì)的問(wèn)題。簡(jiǎn)而言之，位于邊界內(nèi)部不意味著就是安全的，因?yàn)檫吔绫旧碓缫巡粡?fù)存在！

Akamai旗下豐富的云安全服務(wù)相互結(jié)合，可順利構(gòu)建全面的零信任安全架構(gòu)，不僅可以在云原生世界中提供安全的應(yīng)用程序訪問(wèn)途徑，而且可以借助云的強(qiáng)大能力幾乎完全消除對(duì)且內(nèi)部網(wǎng)絡(luò)的需求。

通過(guò)利用先進(jìn)的分布式ZTNA解決方案，并配合Akamai Intelligent Edge Platform?強(qiáng)大的功能，企業(yè)可以用簡(jiǎn)單、輕松、快捷的方式順利步入“無(wú)邊界”世界，并借助Akamai在業(yè)界二十多年來(lái)所積累的，久經(jīng)考驗(yàn)的經(jīng)驗(yàn)和技術(shù)大幅緩解可能遭遇的風(fēng)險(xiǎn)，獲得更流暢的性能。