Akamai：Zero Trust 架构构建蓝图白皮书（16页）.pdf

1、Zero Trust 架构构建蓝图报告执行简报白 皮 书目录 2 3 4 5 6 7 8 8 9 9 10 11 12 12 12 13 13 14 15所有安全 Web 网关投资的核心 Zero Trust 要求企业如何创建 Zero Trust 架构？远程办公与云应用程序打破了既往的网络安全模式 选购 Zero Trust 网络访问解决方案时的考虑要点构建 Zero Trust 蓝图时关于多重身份验证的考虑要点前言Zero Trust 安全架构Zero Trust 不利的一面 Zero Trust 组成要素Zero Trust 网络访问 关注边缘 微分段微分段领域的差异化因素安全 Web

2、网关威胁监控从何处入手？从微分段入手的理由平台与专用工具的对比结论前言 Zero Trust 的概念大约始于 2009 年，当时 Forrester Research 率先力推这一概念，并向企业发出了预警，指出应彻底改变传统模式，应避免向通过网络边界的任何用户或应用程序授予无限制的访问权限。他们指出，企业应先验证所有设备、用户和网络流，然后才能授予完全访问权限。在那之后的数年中，受多方面因素影响，采用 Zero Trust 概念的紧迫性日渐提升。在新冠疫情的推动下，在网络安全边界之外的远程地点办公的员工激增。勒索软件攻击的频率和复杂程度都在增长，攻击者突破防御机制的几率更高，一旦他们成功入侵，

3、给企业造成的代价也更高。2022 年 IBM 数据泄漏成本报告中指出，在美国，数据泄露的平均代价达到 944 万美元，创下新高。此外，诸如物联网(IoT)设备等联网设备不断增长，合作伙伴和客户也对网络访问提出额外要求，在这些因素的共同作用之下，企业的攻击面显著扩大。在这种不断发展演变的网络安全环境中，网络与安全软件供应商争先恐后地用 Zero Trust 宣传自己的现有产品，或推出相应新产品，顾问与分析师则纷纷推出新的缩略词和市场定义。这导致安全团队难以解读这些有时较为复杂的概念，难以做出购买决策，来为过渡到 Zero Trust 策略的举措铺设基础。本白皮书旨在确定投资 Zero Trust

4、 的切入点，并概述重要差异化因素，从而帮助安全团队规划投资这项技术的蓝图。|3远程办公与云应用程序打破了既往的网络安全模式 人们工作的时间、方式和地点均已经突破了办公室的限制。网络边界不复存在至少不再是可辨识的形式。您的用户有可能位于众所周知的防御层之外，也有可能位于防御层之内，两种情况的可能性相当。他们对软件即服务(SaaS)的使用和多云实施的激增也是如此。对于高级持久性威胁，只要攻击者入侵网络，您就有可能在无意之间将重要资产的完全访问权限授予这些入侵者。在攻击者进入您的网络之后，如果您不具备全面的 Zero Trust 计划，他们可能就会为所欲为。这不仅仅是理论。近年来发生的广泛且代价高昂

5、的数据泄露事件证明了这一点，其中大部分事件都是由于信任在网络边界内被滥用而发生的。与此同时，有些应用程序设计部署在网络边界之内，它们的安全状态通常堪忧。毕竟，如果您是开发人员，并且认定只有经过授权的、善意的员工才会访问您的系统，那您的防御意识还会像如今的编码人员（知道大量黑客会尝试攻击基于互联网的应用程序）一样强吗？纵观整个市场，能应对这些挑战的解决方案就是 Zero Trust。|4Zero Trust 安全架构 Zero Trust 背后的原理十分简单，但又无比强大：信任与位置无关。您不能仅仅因为某个东西位于您的防火墙之内便信任它。反之，无论是发生在何处的任何操作，只有获得明确许可的操作才

6、能得到信任。最终，只有应该发生的操作才能够发生。企业需要消除对不必要操作的所有默示信任。例如，在只有少数用户需要财务系统访问权限时，为财务会计组中的所有用户授予访问权限会造成风险，而且毫无价值。证明这一点的方法是强大的身份验证和授权，在建立信任之前，系统不应传输任何数据。此外，还应采用分析和日志记录来验证行为，并且持续监控入侵信号。这种基本的转变在过去十年中抵御了大量入侵。攻击者无法再利用边界中的漏洞，然后通过进入防御层来滥用您的敏感数据和应用程序。时至今日，防御层已经不复存在。只有应用程序和用户，每个应用程序或每位用户在访问发生前均必须相互验证身份并验证授权。传统安全架构当下现状用户应用程序