至顶网计算频道 04月10日 新闻消息(文/李祥敬):进入2020年,一场突如其来的疫情让整个社会进入了非常时期。企业员工不得不选择在家办公,这就给企业,特别是企业IT管理者,带来了非常大的挑战。如果企业的IT基础设施以及相关的安全保障无法做到位的话,那么这两个月实际上会出现各种各样的安全风险及问题,会严重影响业务。
比较典型的问题就是我们选择在家办公后,原来需要在办公室处理的一些业务和访问的一些应用,在家很难访问。我们需要额外的手段和技术进行实现。另外,这些手段和技术支持处于一种应急状态,如何保证信息安全性就变得至关重要——因为我们不能把系统开放给互联网的同时,忽视安全问题,让企业的核心业务资产受到威胁。
另一方面,员工在家办公,企业很容易想到配置VPN的方法,让员工接入到企业内网环境使用相关应用。不过,即使进行这样的部署,在这特殊时期,很多厂商也很难及时保障扩容、设备上架。
在这样的背景下,Akamai提出了零信任企业应用访问方案。Akamai大中华区企业事业部高级售前技术经理马俊告诉记者,对于客户来讲,基于零信任安全模型的应用访问方式能够实现快速交付落地;在保证用户体验的同时,保证安全;整体降低用户的运营成本、简化管理,并且提供更多的可见性。
Akamai大中华区企业事业部高级售前技术经理马俊
当前,企业面对的是复杂的应用环境。为了实现员工有效、安全访问业务应用系统,企业采用了VPN的接入方式。不过随着业务发展的多样化,企业不光面对出差在外的员工,还有合作伙伴、外包商、供应商等,这些用户的安全保障等使用权限其实不尽相同。另外,员工接入设备的多样性也带来了企业应用场景的复杂性。
除了用户侧,企业应用的部署方式也在变化。从传统的数据中心到云端,企业应用上云成为潮流。但现在并不是所有的应用都已完成了云转型。大部分企业还处于一种混合的形态。很多应用在私有数据中心,另有一些运行在云上,这也造成了企业应用环境的复杂性。
马俊指出,这两种复杂性对企业的安全管理带来了极大挑战。目前企业大多采用的是VPN架构。这种架构通过防火墙上的控制,把企业的内网和外网,天然分为两个不同的维度——安全区域和不安全区域。
但这种架构存在很多局限性,比如应用直接面对公网威胁、VPN部署和防火墙规则不灵活、多应用情况下的单点登录和对访问终端安全没有控制方式。当认证通过后,企业的所有员工或访问者均可越过防火墙,这就造成了很多数据泄露发生在企业内部的情况。
VPN在防火墙上要求有一个连通的保障,这种接入也给黑客提供了一个攻击界面。如果黑客调用大量的IoT设备攻击这样的防火墙端口,便可能造成企业的公有或私有数据中心出现不可访问,也就是DDoS拒绝服务的情况。
另外,VPN的管理也非常复杂。众多繁杂的防火墙策略导致企业的管理和日后调整出现更多不确定性,在影响上线周期的同时,还会带来安全隐患。从用户体验来讲,如果用户使用这种VPN访问方式,当他需要拨入多个数据中心获取数据时,便不得不管理多个帐号或一个帐号进行多次登录。这对于外包人员,特别是临时的访问,会非常不灵活,企业在开通和注销权限方面需要进行大量操作。
针对企业面对的种种挑战,Akamai通过五个方面提供解决方案——即访问的安全性、网络的安全性、访问审计的安全性、管理的易用性和运营成本支出。
马俊表示,Akamai提供的方案是不允许防火墙设置任何“由外向内”的访问。“我们会通过在企业内部建立一个叫‘连接器’的模块,主动透过防火墙向外访问。这个访问的路径不需要在防火墙上开任何端口,也不需要VPN设备,就可作为一个反向代理,把数据中心应用的数据和数据中心内部对于权限管理的控制集成在一起。”实际上,Akamai并不修改现有VPN或现有安全策略,而是在它之外提供了一整套完整框架,所以企业在使用Akamai的零信任方案后,安全防护水平会得到很大加强。
目前,零信任主要有三种比较公认的实践方法。第一种是传统网络设备厂商通过在网络层进行微分段的方法实现、第二种是软件定义边界、第三种就是Akamai的身份代理模型。Akamai最优势的部分是其智能边缘平台,这个平台能够提供非常大的容量、非常强的灵活性,还能跟Akamai已有的安全、WAF、抗DDoS和爬虫治理能力以及整个平台的广泛分布性相结合。
基于身份代理模型,Akamai可以把用户内部或是用户已经部署在公有云上的应用,映射到Akamai智能边缘网络平台。这样的好处是不会依赖于传统的VPN、网络隧道模式,而通过最常用的浏览器、最通用的HTTPS协议进行实现。所以Akamai方案的适用性会更高,无论对于传统企业还是创新性要求较高的企业都普遍适用。此外,Akamai的智能边缘平台已在互联网上平稳运行二十年,其可靠性得到验证,因此Akamai的企业用户在使用上也会非常放心。
具体而言,“连接器”主动把内部数据通过安全的连接向Akamai的云端进行传送。用户的所有访问都不会直接和数据中心的边界产生任何联系,而是通过Akamai智能边缘的云基础设施进行连接。如果有其他公有云,比如SaaS或IaaS的应用,企业也可通过在Akamai已有的云上进行权限管理,确定每一次访问是否可信、符合权限。
马俊表示:“Akamai把原来单向的进向流量分为两段,一段是用户向云端的访问,一段是连接器从数据中心主动向外传送的访问。这些可以通过Akamai一个集中的门户进行控制。这是Akamai相对于传统IT的优势。统一的门户在提供极大的灵活性和安全保障的同时,还可以把原来的很多工作集中至一起进行处理。”
对用户来讲,在进入门户时,用户需要完成多因子的身份认证。Akamai的方案可以完成短信、邮件、APP的一次性密码认证。同时,Akamai还支持目前主流的无密码方法——即通过一种集成在用户手机中的认证器,通过验证码和点击的方法完成认证。整个过程不需要用户输入任何口令,就能够快速访问。“这是整个数字化转型中一个重要环节,我们希望满足企业业务和安全需求的同时,保证用户的良好体验。”
另外,Akamai还可以把双向证书认证的方法集成到门户,这样可以实现用户数据的加密。Akamai推荐使用的是一种无客户端的方法,但如果企业需要加强安全性,也可在客户端安装一个客户端风险态势的检测程序。该程序能够收集并采集用户信息,然后允许企业管理人员或安全团队设置一定的策略及评估,从而确保用户设备是否能够进入到企业的零信任框架内。
除了上述应用安全和访问安全方面的实现方法外,在网络的安全性方面,“连接器”会把数据主动地通过一个标准的443端口,并且通过TRS的标准协议,传送到Akamai的云端网络。Akamai提供一个非常强大的流量承载和安全控制能力(包括云端的WAF、抗DDoS和爬虫管理能力),且符合已有的隐私安全保护要求。Akamai在企业内部的连接器也是完全受控的一种模块,通过定期自检和Akamai提供的安全保障服务,确保企业整体信息安全的要求。
在访问审计的安全性方面,Akamai会记录用户访问、管理员操作的日志,以及所有技术类别包括SSH命令行的操作,从而保证企业安全人员和管理者均能看到并及时拦截不安全的因素。
在管理的易用性方面,配置的过程实际上是一个非常简单的上线过程。零信任的优势就是敏捷,主要体现就是从零到一的过程非常迅速。Akamai默认支持一些常用的应用上线过程,会将整个上线时间缩短半天。
马俊表示:“整个过程均基于浏览器进行访问,对用户和管理员的使用均非常友好。其次,整个管理由统一界面进行配置、审计。最后,整个安全访问的控制人员也可以参与进来,把需要的证书、协议的配置,对用户终端的设置,以及对路径的访问权限等配置一并完成。企业不需要把之前多个数据中心的VPN、多个设备、多个防火墙的配置分散到不同的地方、然后逐一操作,而是可以在统一的界面完成配置、审计、安全等方面的工作。”
在成本收益方面,传统VPN往往成本较高。Akamai解决方案由于上线和扩容过程非常迅速,并且不限制整个流量、带宽以及处理能力,成本较低。而在收费模式方面,Akamai采用活跃用户的方法进行计费,这也给企业付费带来非常大的灵活性。
总结起来,Akamai的零信任方案有如下几个好处:第一,Akamai的授权会以应用为单位,进行授权或管理;第二,针对用户的身份进行分级授权和管控;第三,把原有VPN的先连接后信任、验证一次就通过、就信任的模式,改成不信任、每次都验证的模式;第四,Akamai提供了很多开箱即用的能力,如多因子认证;第五,零信任也是对VPN非常好的一种补充和升级,对于内网跟外网的访问目标,都能起到非常好的安全保护作用。
"据Gartner预测,2020年,70%的企业用户会考虑使用或向零信任架构转型。到2023年,60%的用户已不再使用VPN。由于平台的强大能力,Akamai在零信任方面的优势极其明显。Akamai也非常看重零信任这一市场,对此也非常有信心。"马俊最后说。
好文章,需要你的鼓励
临近年底,苹果公布了2024年App Store热门应用和游戏榜单,Temu再次成为美国下载量最多的免费应用。
云基础设施市场现在已经非常庞大,很难再有大的变化。但是,因为人们可以轻松地关闭服务器、存储和网络——就像开启它们那样,预测全球云基础设施开支可能非常困难。