边界不复存在,边界消失-ESG跨境

边界不复存在,边界消失

边界不复存在

无论是否从事信息安全工作，在新闻、行业会议或同行交流中，有一个词想必很多人都听说过：零信任。很多人认为这是一种面向未来的信息安全方法，对企业的数字化转型和上云至关重要。

那么零信任到底是什么它比大量企业目前采用的方法到底好在哪里本文带您一起探索。

彼时：边界很重要

多年来，IT技术飞速发展，为我们的工作和生活带来了很多新的变化，但有件事始终非常“固执”地维持不变，那就是大部分企业至今依然在采用的“中心辐射型”（Hubandspoke）网络架构。

这种架构曾经是合理的。在互联网成为业务与基础架构的核心之前，企业通常需要通过自己的数据中心来承载各类工作负载，这些数据中心容纳了关键基础架构和五花八门的应用程序。随着企业在各地上线分支办公室、零售店面以及远程办公位置，这些位置的员工同样需要访问位于中心位置的应用程序和数据。因而企业当时建立的网络也反映了这种需求：所有网络最终都要回归至核心数据中心，毕竟数据中心是需要进行各类处理的核心所在。

然而时至今日，攻击者也开始利用这种架构，并催生了一种全新的行业：数据中心安全栈。由于传统的中心辐射型架构需要将庞大的互联网流量汇聚在数据中心，因此需要由更强大的技术和设备来保护这些对业务而言至关重要的命脉。防火墙、入侵检测和预防系统、安全Web网关（SWG）、数据丢失防护……各类系统开始陆续出现在企业网络架构中。

这些部署在中央位置的安全设备进一步巩固了中心辐射型架构作为主要网络架构的地位。简单来说，这种做法实际上就是构筑了一道“城堡加护城河”，并且此时我们有着非常鲜明的网络安全边界：“边界之外皆坏蛋，边界之内皆好人”。

但云计算改变了这一切。现在的安全措施必须能为边界之外的大量用户和应用程序提供支持。

此时：边界消失于无形……

简而言之，应用程序正在四处移动。但它们并不孤单，当今的劳动力市场和工作环境都发生了显著变化，人们进行工作的时间、方式和地点早已超过了办公室小隔间的局限。因此可以说，网络边界早已消失不见。用户与应用程序可能位于护城河内，但也可能位于护城河外。如果遭遇高级持续威胁，我们很可能不经意间让边界内的恶意人员完全访问到企业最宝贵的数据资产。

用20年前的安全访问方法保护当今现代化数字环境，这无疑是错位的，甚至某些情况下是非常危险的。这并非凭空猜想的结论。过去五年来发生的很多数据泄露事件让我们很明显地注意到，大部分数据泄露事件都是网络边界内信任被滥用所导致的。

而另一种情况又进一步加剧了这个问题：一般来说，如果某个应用程序从最开始就打算只在网络边界内部运行和使用，那么通常在安全性上就很容易无法得到重视。

零信任网络架构

该领域的思想领袖，时任Forrester分析师的John Kindervag提出了“零信任”（Zero Trust）解决方案。其背后的理念非常简单，但又非常强大：信任不应该是某些位置的固有特征。简单来说，我们不能仅因为某个系统位于防火墙后面就直接信任它。相反，应该在安全性方面采取悲观观点，首先假定任何计算机、用户和服务器都不可信，除非事实证明并非如此。

零信任基本原则

那么又该如何证明强身份验证和授权，并且在建立信任之前不进行任何数据传输操作。此外还应通过分析、筛选和日志记录等措施来验证所有行为的正确性，并持续观察是否存在代表威胁的信号。

这一根本性转变挫败了过去十多年来我们见过的大部分威胁。攻击者将无法继续花时间找到外围弱点，然后访问护城河内部的敏感数据和应用程序。因为护城河早已不复存在现在，企业网络中可以只有应用程序和用户，而应用程序与用户的每次访问前都要相互验证身份并获得授权。

这就是零信任但企业这又该如何实现

欢迎继续阅读本系列的下篇内容，我们将从Akamai各类产品和解决方案入手，结合零信任的基本原则和理念，告诉大家如何快速构建出行之有效的零信任网络架构，在全新的数字化时代为宝贵的业务和数据提供充分保护。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。