Akamai：Zero Trust安全架构发展蓝图白皮书（28页）.pdf

1、|1Zero Trust 发展蓝图架构Akamai 首席技术官 Charlie Gero 编写的可行实施指南高管简报白 皮 书|2目录网络架构师、安全工程师、CTO、CISO 以及其他 IT 和安全决策者都可以从中受益。对于那些负责界定、配置、部署、实施和管理 Zero Trust 框架的人来说，本蓝图将为他们提供一种分层采用和推广该框架的方法。领导者将在其中发现指导意见和讨论要点，从而帮助他们在内部更好地推广 Zero Trust，并更高效地实现 Zero Trust 架构。谁应该阅读本指南？网络架构的简要历史 3云计算的崛起 4Zero Trust 安全架构 5Akamai 边缘安全服务

2、6应用程序访问与网络访问 8规划 Zero Trust 12最终状态目标 13应用程序访问 13威胁防护 14架构可视化 14从 A 到 B 15阶段前期假设 16用户分组 17用户分组方法 18应用程序推广阶段 181.应用程序预检查阶段 192.访问代理准备阶段 203.测试实验室注册阶段 214.安全升级阶段 225.性能升级阶段 246.外部用户注册阶段 257.内部用户注册阶段 268.VLAN 迁移阶段 27阶段后期操作 28总结和后续步骤 |3对于过去几年发生的所有变革而言，有一件事物始终保持不变：大多数公司所使用的基本集散式网络架构。这一架构在过去十分有效。很久以前，在互联网成

3、为主要的业务场所和核心基础架构之前，公司将它们的工作负载放在数据中心内。这些数据中心托管了关键的基础架构和应用程序。随着分支办事处、零售商店和卫星地点上线，它们也需要访问集中式应用程序。公司扩建了他们的网络来满足这一需求，并将所有网络回程传输至他们的核心数据中心。最终，数据中心仍然是发生所有操作的集中位置。随着时间推移，互联网逐渐成为实用的商业工具，并打破传统格局。自然地，正在实际构建复杂私有全球网络的企业和运营商通过他们所熟知的技术来满足这些私有请求。他们在托管内部应用程序的数据中心内部署这些企业和消费者服务，以及购买互联网链路来提供路由。这意外地产生了双重效果：外部消费者可以进来，而分布在

4、各个分支办事处的内部员工现在可以出去。当时，集散式设计在网络架构方面仍然占据了主导地位。随着时间推移，恶意人员开始利用此架构，导致诞生了一个全新的行业：数据中心安全堆栈。由于集散式架构在数据中心汇集互联网流量，人们开始开发大型高性能设备来保护这些高容量线路。防火墙、入侵检测和防御措施负责管理入站流量，而安全 Web 网关(SWG)则负责管理出站合规性。部署在集中化控制点的安全系统出现激增，这进一步巩固了集散式设计作为主导性网络架构的地位。当时，城堡和护城河安全策略似乎是可行的，而网络边界的概念（边界之外的所有人都是坏人，边界之内的所有人都是好人）仍然占据主导地位。但云服务改变了这一切。现在，安

5、全措施必须在用户和应用程序所在的地方（位于边界之外）满足他们的需求。网络架构的简要历史|4图 1：在传统的边界防护模式中，恶意攻击者会利用边界的弱点，一旦进入其中，他就可以横向移动来访问资源电子邮件网关应用程序安全 Web 网关防火墙虚拟专用网络数据丢失和预防入侵检测系统入侵防范系统用户数据库服务器设备传统边界安全简而言之，您的应用程序可以动态扩展。但它们绝非孤立。如今的员工队伍和工作场所已经发生了变化，人们工作的时间、方式和地点均已经突破了办公室的限制。因此，网络边界不再存在。至少不会再以可识别的方式存在。您的用户和应用程序有可能位于防御层之外，也有可能位于防御层之内，两种情况的可能性相当。

6、在面对先进且持久的威胁时，您很有可能会无意间让恶意攻击者进入边界之内，并获取完整的权限来访问您的重要资产。在当今世界，如果继续使用 20 年前奏效的安全和访问方法，最好的结果可能只是无法满足安全需求，而最差的结果则可能是引火烧身。正如 Forrester Research 所说：云计算的崛起“数据经济使得如今基于边界的网络防护模式变得毫无用处。由于企业会通过复杂业务生态系统内的信息和见解盈利，企业边界的概念已变得过时-甚至会带来危险。”-Forrester，通过 Zero Trust 安全措施来让您的数字化业务从容面对未来挑战|5 传统安全架构如今的现实图 2：不再存在所谓的值得信任的内部环境