top of page
    • 5月17日

Akamai 實現零信任的5個步驟

文章來源 / Akamai Office Blog


長期以來,零信任架構一直是網路安全的聖杯,承諾針對不斷演變的威脅提供無與倫比的保護,然而,現代IT環境的複雜性通常使這目標看似遙不可及。這就是為什麼 Akamai Guardicore 平台的設計旨在讓擁有最多樣化、最複雜基礎架構的企業也能實現零信任。

 

實施零信任可能看起來令人怯步,但有五個關鍵步驟可以實現它:

  1. 從最佳的微分段(micro-segmentation)和零信任網路存取 (Zero Trust Network Access,ZTNA) 開始。

  2. 利用單一控制台實現可見性與控制。

  3. 整合基礎設施,以實現部署和維護的優化。

  4. 利用人工智慧 (AI) 提高效率。

  5. 協助確保系統符合您的原則。

 

從最佳的微分段(micro-segmentation)和ZTNA開始

在2023年的一份報告中,Gartner 建議「實施微分段和/或ZTNA,來實現零信任網路 (ZTN) 態勢」。讓我們探討為什麼這些技術是零信任的基礎,以及為什麼它們必須是同類中最好的。

 

預設情況下,IT系統信任的流量比必要的還要多,允許的訪問也比必要的要多。從根本上說,零信任是理解哪些訪問和流量是必要的,並阻止其他一切。

 

對於內部(東西向)流量,微分段是唯一能夠提供足夠顆粒度的理解和控制的工具,以實現零信任的可行性(圖 1)。Guardicore Segmentation是一種高顆粒度的微分段解決方案,允許企業不僅在端口和進程層面進行阻止,甚至可以達到服務層面,其結果是減少攻擊面高達99.93%。

圖1:(左)微分段之前的攻擊面(右)微分段之後的攻擊面。微分段透過提供東/西流量的可見性、顆粒度和控制來減少攻擊面。

 

但實現零信任並不意味著解決橫向移動面。您還需要確保您的員工只能存取他們完成工作所需的應用程式。當員工分散在世界各地遠距辦公時,這是一項具有挑戰性的任務。

 

這就是ZTNA發揮作用的地方,它為全球用戶提供精確的存取權限,無論他們身在何處,也無論應用程式位於何處。Akamai Guardicore Access 特別適合應對這項挑戰,因為它具有內建的 FIDO2、防網路釣魚多因子認證(MFA),使員工的訪問安全且無縫。

 

因此,微分段和ZTNA都是實現零信任所必要條件,到目前為止,如果您想要兩者兼具,則必須單獨部署和管理。但現在情況已不再如此,因為Akamai Guardicore平台將微分段與ZTNA整合,為組織提供了一個強大的框架,以正確地開始其零信任之旅。

 

利用單一控制台實現可見性與控制

如果您繼續嘗試使用不同的安全工具和策略來實現零信任,那麼零信任仍將遙不可及。透過單一控制台對整體網路進行統一查看,這意味著無縫地管理縱橫向流量,並在地端和雲端資產以及遠端和辦公室內的員工之間擁有一致的執行策略。

 

您需要在同一個地方查看南北向訪問和東西向流量模式,以便快速有效地建立和維護零信任策略。在不同控制台之間切換,僅能看到部分情況是不可行的,將所有內容放在一張地圖上,策略需求會變得清晰明確。

圖2:Akamai Guardicore Platform在單一控制台上創建環境的視覺地圖,以快速展示流量模式。

此外,這些產品還可從共享信號中受益,例如:當微分段意識到 ZTNA 正在嘗試授予訪問權限時,可以減少誤報。Akamai Guardicore Platform的設計是使訪問得以允許,並且不會被微分段規則阻擋,如果要在追求零信任的過程中取得實質進展,就必須將東西向流量和南北向訪問的可視性和控制結合起來。

 

整合基礎設施,以實現部署和維護的優化

您的企業可以透過單一代理解決方案簡化部署和管理,從而加快並簡化零信任目標的實現,企業需要這麼做來支援廣泛且多樣化的資產群,包括傳統和現代作業系統、地端和雲端應用程式、物聯網 (IoT) 設備、容器等。

 

傳統上,支援所有這些系統的所有零信任工作需要多個代理,這對於部署和維護來說是一場惡夢,更不用說它們可能對受保護設備的性能和可靠性產生負面影響。

 

Akamai Guardicore Platform擁有一個單一代理,支援微分段、ZTNA、DNS 防火牆等,這將減少對終端用戶和工作負載的影響,減輕部署團隊的壓力,並簡化零信任所有元件的維護。

 

Akamai Guardicore Platform可在您的基礎架構中快速有效地部署零信任,同時將對系統效能和停機時間的影響降至最低,當代理無法使用時,該平台提供無代理保護。

 

利用人工智慧 (AI) 提高效率

某些與零信任相關的任務,如界定合規工作範圍、發現漏洞以及回應事件,需要CISO花費大量時間和技術知識來快速完成。

 

例如,CISO被要求在特定時間範圍內是否與一組特定資產建立了特定類型的連結,這是回應事件時的重要資訊,在這些情況下,時間至關重要,因為CISO無法選擇這些攻擊何時發生。

 

當CISO最好的分析師可能不在場,即使有,這些分析師也必須手動搜尋日誌,並將訊息進行關聯才能回答問題,這就是需要利用人工智慧的地方,CISO只需要透過簡單詢問「過去24小時內,我的生產環境中是否有任何SSH或RDP流量?」來獲得答案。

 

Akamai Guardicore Platform利用 AI 來執行與網路日誌進行自然語言通訊、標記資產清單、簡化漏洞評估查詢和策略建議等任務,這可以實現更快的事件回應、合規工作和整體安全營運。

 

協助確保系統符合您的原則

零信任要求遵守其核心原則:默認將實體視為不可信任、強制執行最低權限存取以及維護全面的安全監控,Akamai Guardicore Platform的設計使這些原則不僅是理想的,而且是可執行的策略。

 

微分段和 ZTNA 是一個很好的開始,但它們並不是完整的解決方案,借助 MFA、DNS 防火牆和進階威脅搜尋功能等全面的安全措施,企業可以繼續其零信任之旅,並超越建立強大基礎(圖 3)。

圖 3:Akamai Guardicore Platform提供了採用零信任原則的統一方法

 

實現零信任

Akamai Guardicore Platform平台提供了實用且有效的零信任實作方法。透過提供最佳的解決方案、統一的可視性和控制、簡化的部署、基於AI效率以及遵守零信任原則,它使各種規模和複雜程度的企業都可以實現零信任。



Comentarios

bottom of page