從“Trust all”,到“Trust zero”,零信任可以這樣實現(xiàn)！

在本系列的上篇文章中，我們簡要介紹了零信任安全方法是什么，以及為何要使用該方法。本篇，我們將一起來看看如何借助Akamai產(chǎn)品和解決方案快速構(gòu)建適合自己實際情況的零信任網(wǎng)絡(luò)架構(gòu)。

首先別忘了，對于零信任，我們曾提出幾個最基本的原則：

接下來我們就一起圍繞這些原則，開始自己的零信任之旅吧。

Akamai Edge Security Services

零信任架構(gòu)的實現(xiàn)方式有很多，一種非常流行的方式是在自己的DMZ（Demilitarized Zone，隔離區(qū)）中運行訪問代理。但這種方式削弱了借助云平臺削弱攻擊，獲得無限帶寬的緩存，以及按需自動擴展資源的能力。

作為一家云原生公司，自20多年前成立以來，Akamai始終在邊緣位置運營自己的服務(wù)。我們設(shè)計了一種零信任網(wǎng)絡(luò)訪問（ZTNA）技術(shù)：身份感知代理。這種代理運行在云中，可按需擴展，在Akamai的平臺（而非用戶設(shè)備）上執(zhí)行需要耗費大量CPU資源的操作，借此削弱攻擊并將緩存的內(nèi)容交付給距離最近的用戶。這套名為Enterprise Application Access的技術(shù)，其基本架構(gòu)是這樣的：

在上述架構(gòu)中，我們可以向特定應(yīng)用程序（而非整個企業(yè)網(wǎng)絡(luò)）提供訪問。但此時并不需要在DMZ中放置訪問代理，而是可以在防火墻之后運行一個名為Akamai Enterprise Application Access Connector的小型虛擬機，該虛擬機沒必要，也不應(yīng)該放在DMZ中。它使用了私有IP地址，無法直接通過互聯(lián)網(wǎng)訪問，并且在表現(xiàn)上，它與我們放在防火墻之后的其他應(yīng)用程序完全相同。

Enterprise Application Access Connector啟動后，便會立即與Akamai平臺建立加密連接，隨后即可從Akamai服務(wù)器下載配置信息，開始為用戶和應(yīng)用程序的訪問提供服務(wù)。

當內(nèi)部應(yīng)用程序試圖訪問一個服務(wù)時，會通過DNS CNAME重定向至Akamai Intelligent Edge Platform?。如果最終用戶和他們的設(shè)備順利通過了所有檢查，即可通過路由依次進行身份驗證、多重身份驗證（MFA）、單點登錄（SSO），最終執(zhí)行獲得批準的操作。

訪問應(yīng)用程序，而非訪問整個網(wǎng)絡(luò)

是否覺得上述方式與目前大部分企業(yè)廣泛使用的虛擬專用網(wǎng)絡(luò)技術(shù)差不多？并非如此！虛擬專用網(wǎng)絡(luò)技術(shù)提供的是網(wǎng)絡(luò)級的訪問能力，一旦順利通過身份驗證，將能在內(nèi)網(wǎng)中通行無阻；Akamai Enterprise Application Access確保了用戶只能訪問自己有權(quán)訪問的特定應(yīng)用程序，而非整個網(wǎng)絡(luò)。

性能問題同樣不容忽視。在最簡單形態(tài)的虛擬專用網(wǎng)絡(luò)中，所有流量都要回流至位于中央的數(shù)據(jù)中心基礎(chǔ)架構(gòu)，這可能導(dǎo)致某些互聯(lián)網(wǎng)應(yīng)用或SaaS應(yīng)用訪問速度大受影響，并加劇企業(yè)互聯(lián)網(wǎng)上行鏈路擁堵情況。對于不在本地的用戶，他們訪問互聯(lián)網(wǎng)應(yīng)用所產(chǎn)生的流量，又為何要返回企業(yè)數(shù)據(jù)中心“繞一圈”呢？

為降低性能負擔，通常需要部署分離隧道（Split tunnel），并標記哪些IP地址段的訪問需要通過虛擬專用網(wǎng)絡(luò)傳輸，哪些可以直接發(fā)送到互聯(lián)網(wǎng)。當企業(yè)網(wǎng)絡(luò)只有一個內(nèi)部邊界時，這是一種簡單有效的方法。然而隨著數(shù)據(jù)中心和虛擬私有云（VPC）的采用，這種方式也變得日益復(fù)雜。

Akamai Enterprise Application Access在這種情況下基于代理，可以實現(xiàn)應(yīng)用程序級別訪問的方法就更有吸引力了。在應(yīng)用程序級別的訪問中，性能與安全性變得與復(fù)雜性徹底無關(guān)。在咖啡館中遠程辦公的員工，與身處辦公室的員工可以獲得完全相同的體驗。這一切只需要一個基本前提：用戶已獲得必要授權(quán)，并且所用的設(shè)備在安全性方面滿足要求。

總結(jié)

在零信任架構(gòu)的構(gòu)建過程中，重點在于要明確三個關(guān)鍵目標：

隨后需要明確：傳統(tǒng)的中心輻射型網(wǎng)絡(luò)架構(gòu)以及配套的“城堡和護城河”安全邊界，已經(jīng)無法在當今云和移動的世界中提供企業(yè)所需的性能和安全性。這是所有企業(yè)都不得不面對的問題。簡而言之，位于邊界內(nèi)部不意味著就是安全的，因為邊界本身早已不復(fù)存在！

Akamai旗下豐富的云安全服務(wù)相互結(jié)合，可順利構(gòu)建全面的零信任安全架構(gòu)，不僅可以在云原生世界中提供安全的應(yīng)用程序訪問途徑，而且可以借助云的強大能力幾乎完全消除對且內(nèi)部網(wǎng)絡(luò)的需求。

通過利用先進的分布式ZTNA解決方案，并配合Akamai Intelligent Edge Platform?強大的功能，企業(yè)可以用簡單、輕松、快捷的方式順利步入“無邊界”世界，并借助Akamai在業(yè)界二十多年來所積累的，久經(jīng)考驗的經(jīng)驗和技術(shù)大幅緩解可能遭遇的風險，獲得更流暢的性能。