《Akamai:Zero Trust安全架构发展蓝图白皮书(28页).pdf》由会员分享,可在线阅读,更多相关《Akamai:Zero Trust安全架构发展蓝图白皮书(28页).pdf(28页珍藏版)》请在三个皮匠报告上搜索。
1、|1Zero Trust 发展蓝图架构Akamai 首席技术官 Charlie Gero 编写的可行实施指南高管简报白 皮 书|2目录网络架构师、安全工程师、CTO、CISO 以及其他 IT 和安全决策者都可以从中受益。对于那些负责界定、配置、部署、实施和管理 Zero Trust 框架的人来说,本蓝图将为他们提供一种分层采用和推广该框架的方法。领导者将在其中发现指导意见和讨论要点,从而帮助他们在内部更好地推广 Zero Trust,并更高效地实现 Zero Trust 架构。谁应该阅读本指南?网络架构的简要历史 3云计算的崛起 4Zero Trust 安全架构 5Akamai 边缘安全服务
2、6应用程序访问与网络访问 8规划 Zero Trust 12最终状态目标 13应用程序访问 13威胁防护 14架构可视化 14从 A 到 B 15阶段前期假设 16用户分组 17用户分组方法 18应用程序推广阶段 181.应用程序预检查阶段 192.访问代理准备阶段 203.测试实验室注册阶段 214.安全升级阶段 225.性能升级阶段 246.外部用户注册阶段 257.内部用户注册阶段 268.VLAN 迁移阶段 27阶段后期操作 28总结和后续步骤 |3对于过去几年发生的所有变革而言,有一件事物始终保持不变:大多数公司所使用的基本集散式网络架构。这一架构在过去十分有效。很久以前,在互联网成
3、为主要的业务场所和核心基础架构之前,公司将它们的工作负载放在数据中心内。这些数据中心托管了关键的基础架构和应用程序。随着分支办事处、零售商店和卫星地点上线,它们也需要访问集中式应用程序。公司扩建了他们的网络来满足这一需求,并将所有网络回程传输至他们的核心数据中心。最终,数据中心仍然是发生所有操作的集中位置。随着时间推移,互联网逐渐成为实用的商业工具,并打破传统格局。自然地,正在实际构建复杂私有全球网络的企业和运营商通过他们所熟知的技术来满足这些私有请求。他们在托管内部应用程序的数据中心内部署这些企业和消费者服务,以及购买互联网链路来提供路由。这意外地产生了双重效果:外部消费者可以进来,而分布在
4、各个分支办事处的内部员工现在可以出去。当时,集散式设计在网络架构方面仍然占据了主导地位。随着时间推移,恶意人员开始利用此架构,导致诞生了一个全新的行业:数据中心安全堆栈。由于集散式架构在数据中心汇集互联网流量,人们开始开发大型高性能设备来保护这些高容量线路。防火墙、入侵检测和防御措施负责管理入站流量,而安全 Web 网关(SWG)则负责管理出站合规性。部署在集中化控制点的安全系统出现激增,这进一步巩固了集散式设计作为主导性网络架构的地位。当时,城堡和护城河安全策略似乎是可行的,而网络边界的概念(边界之外的所有人都是坏人,边界之内的所有人都是好人)仍然占据主导地位。但云服务改变了这一切。现在,安
5、全措施必须在用户和应用程序所在的地方(位于边界之外)满足他们的需求。网络架构的简要历史|4图 1:在传统的边界防护模式中,恶意攻击者会利用边界的弱点,一旦进入其中,他就可以横向移动来访问资源电子邮件网关应用程序安全 Web 网关防火墙虚拟专用网络数据丢失和预防入侵检测系统入侵防范系统用户数据库服务器设备传统边界安全简而言之,您的应用程序可以动态扩展。但它们绝非孤立。如今的员工队伍和工作场所已经发生了变化,人们工作的时间、方式和地点均已经突破了办公室的限制。因此,网络边界不再存在。至少不会再以可识别的方式存在。您的用户和应用程序有可能位于防御层之外,也有可能位于防御层之内,两种情况的可能性相当。
6、在面对先进且持久的威胁时,您很有可能会无意间让恶意攻击者进入边界之内,并获取完整的权限来访问您的重要资产。在当今世界,如果继续使用 20 年前奏效的安全和访问方法,最好的结果可能只是无法满足安全需求,而最差的结果则可能是引火烧身。正如 Forrester Research 所说:云计算的崛起“数据经济使得如今基于边界的网络防护模式变得毫无用处。由于企业会通过复杂业务生态系统内的信息和见解盈利,企业边界的概念已变得过时-甚至会带来危险。”-Forrester,通过 Zero Trust 安全措施来让您的数字化业务从容面对未来挑战|5 传统安全架构如今的现实图 2:不再存在所谓的值得信任的内部环境
7、和不可信任的外部环境用户应用程序设备分支机构位置这不仅仅是理论。过去五年间出现的大量数据泄露证明了这一点,其中大部分数据泄漏都是由网络边界之内的信任滥用所导致的。此问题进一步加剧:有些应用程序设计部署在网络边界之内,它们的安全状态通常堪忧。毕竟,如果您是 10 年 前的开发人员,并且假设只有具有良好意图的授权员工 才能访问您的系统,您的防御意识还会像如今的编码人员(知道大量黑客会尝试攻击基于互联网的应用程序)一样强吗?您要做什么?John Kindervag(此领域的一位思想领袖,当时任职 Forrester 分析师)提出了一个名叫“Zero Trust”的解决方案。它背后的原理十分简单,但又
8、无比强大:信任与位置无关。您不能仅仅因为某个东西位于您的防火墙之内便信任它。反之,您应当针对安全性采取非常悲观的态度,也就是说,在通过其他方式得到证明之前,您不应信任所有计算机、用户和服务器。这种证明方法指的是强大的身份验证和授权,在建立信任之前,不得传输任何数据。此外,应采用分析、筛选和记录来验证行为的正确性,以及持续监控入侵信号。这种基本的转变在过去十年中抵御了大量入侵。攻击者无法再利用边界中的漏洞,然后通过进入防御层来滥用您的敏感数据和应用程序。现在没有护城河了。只有应用程序和用户,每个应用程序或每位用户在访问发生前均必须相互验证身份并验证授权。Zero Trust 安全架构 数据总部|
9、6始终假定网络是 危险的网络上始终存在外部威胁和内部威胁仅凭网络位置,我们不足以决定网络中的信任度所有设备、用户和 网络流均须经过身份验证和授权策略必须是动态的,并通过尽可能多的 数据源计算得出如何实现此目的?有不同的方法可以提供 Zero Trust 架构。一种流行的策略是:完全在自己的 DMZ 内运行的访问代理架构。但这限制了云吸收攻击、为缓存提供无限带宽以及根据需要自动扩展资源的能力。Akamai 边缘安全服务SaaSEnterprise Application Access 客户端 Enterprise Application Access 连接器无客户端IaaS本地Salesforc
10、e Microsoft 365AWS、Azure、Google Cloud PlatformAkamai Intelligent Edge Platform使用客户端Akamai IdPMFA/SSO状况/风险*策略引擎代理访问第三方 IdPWebExchangeSSHRDP*需要客户端图 3:Akamai 基于云的 ZTNA 解决方案可持续、动态地执行访问决策Zero Trust 原则Akamai 是一家云原生公司,自 20 多年前成立以来,一直在网络边缘开展运营。我们设计了一种 Zero Trust 网络访问(ZTNA)技术-身份感知代理。但它位于云端且可按需扩展,并在我们的平台(而不是您
11、的设备)上执行占用大量 CPU 性能的资源并吸收攻击,并且可以通过客户端和无客户端方法-视应用程序类型而定-在更靠近用户的位置交付缓存内容。我们将这套方案称作 Enterprise Application Access,该方案如下所示:|7 (POP)上,位置尽可能接近用户,在这里,Akamai 可以添加额外的服务,比如 Web 应用程序防火墙(WAF)、爬虫程序检测、行为分析和缓存。这旨在为我们提供了出色的性能,并且可以让潜在威胁攻击者尽可能远离您的物理位置、应用程序和数据。在用户和计算机获得授权后,来自客户端的连接会与来自 Enterprise Application Access 连接器
12、的出站连接整合到一起。来自用户会话的流量会通过这个整合的身份感知代理连接流动到 Enterprise Application Access 连接器,然后连接器会连接到请求的应用程序或服务。此时,一个完整的数据路径就建立起来了,然后会根据身份、设备和用户上下文,持续动态地执行所有访问决策。这种访问方法会带来明显的优势。对于性能和安全非常敏感的活动将在更靠近最终用户的边缘开展,Akamai 为此在全球分布了超过 4,100 个 POP。此外,进入应用程序的敏感进入路径使用了反向应用程序隧道,这有效去除了边界的 IP 可见性,并降低了流量攻击的风险。控制所有资产之间的 网络流动授予身份和云访问权限身
13、份验证和授权应用程序访问与网络访问对所有应用程序(IaaS、SaaS 和本地)的最低权限用户访问淘汰 VPN服务插入边缘安全应用程序性能得到提升 加强针对高级威胁的 安全态势在这种架构中,您提供的是您的应用程序的访问权限,而不是整个企业网络的访问权限。然而,您并没有将访问代理放在 DMZ 中,而是在防火墙后运行一个名为 Akamai Enterprise Application Access 连接器的小型虚拟机。它不需要(也不应当)位于 DMZ 中。它的地址应位于私有 IP 空间上,不可直接从互联网访问。实际上,它看上去应当和您放在防火墙后的其他应用程序一样。当 Enterprise Appl
14、ication Access 连接器启动时,它会立即与 Akamai 平台建立加密连接。连接到 Akamai 后,它会从 Akamai 服务器下载配置,并准备好为连接提供服务。当内部应用程序用户尝试访问服务时,他们将通过 DNS CNAME 被定向至 Akamai,然后连接到 Akamai Intelligent Edge Platform。假设您的最终用户和他们的设备通过了所有检查,他们随后会被路由以执行身份验证、多因子身份验证(MFA)和单点登录(SSO),然后执行设备身份识别功能。它位于这个 Akamai 入网点 功能:Zero Trust 网络访问|8对员工的网络判断能力没有信心或感到
15、不确定的 CISO 的比例Gartner,保护完全远程办公的员工队伍88%读者可能会倾向于将这种访问方法视为一种 VPN,但他们会给自己带来极大的危害。VPN 提供网络级访问。Akamai Enterprise Application Access 使得用户无需访问网络,即可获得应用程序的访问权限。如果您选择使用简单的 VPN 设置,则您的做法可能与许多公司相同 您允许登录的用户对您的整个网络拥有 IP 级别的访问权限。我们都知道这种做法有多么危险。为什么呼叫中心员工应当对源代码存储库具有 IP 访问权限?或者,为什么使用您的账单系统的合同商应当对信用卡处理终端具有访问权限?应当仅允许他们访问
16、履行其职责所需的资源。要解决此问题,您可以通过 VLAN 将应用程序分区到防火墙内的独立分段中,然后在 VPN 聚合器上为个人用户或组实施传统的基于 IP 范围的规则。但是,这种策略十分脆弱,并且容易出错。可能某人正在执行维护,并将计算机移到新的机架中,或者需要为它们分配新的 IP 范围。突然,用户被锁定,然后他们会致电支持中心。或者,应用程序的架构可能会在软件升级期间发生更改,并且在工作流程中将用户重定向到另一台计算机,而某些用户或组因为防火墙规则未更新而无法访问该计算机。该架构非常复杂,要求应用程序所有者、网络管理员和安全组之间针对所有更改进行极为详细的沟通,从而确保零停机时间。应用程序访
17、问与网络访问|9在过去,我们有明显的证据来证明上述协调失败时通常会发生的情况。管理员想要遵循最佳做法,但如果时间紧迫,他们会添加糟糕的 IP ANY/ANY ALLOW 规则作为快速修复手段,此方法会允许受影响的用户访问所有内容,直到对底层的问题进行诊断并修复为止。但通常没有时间返回修复过去的漏洞。此外,为了解决水平访问毫无管制所带来的安全问题,使用 VPN 时需要大幅提高复杂程度和运营开销,这种复杂程度通常会导致出现漏洞,并要求进行快速修复,从而随着时间的推移,让安全态势出现恶化。性能方面也会出现相同的权衡。使用非常简单的 VPN 时,所有流量都会被定向回数据中心基础架构。由于发夹效应,这会
18、导致对互联网资产以及 SaaS 的访问变得极其缓慢,并且导致数据中心内适用于非业务流量(比如 Facebook 和 YouTube)的互联网上行链路中的拥塞增加。为什么要为位于外部的用户回程传输正常的互联网访问?“在那种将企业数据中心视为连接需求核心的网络安全架构中,会对数字化业务的动态访问需求构成抑制。”-Gartner,网络安全的未来在云端 392 万美元数据泄露给企业造成的平均代价25,575 一次数据泄露中的平均记录数量150 美元(全球)/242 美元(美国)每个记录的平均代价来源:IBM Security/Ponemon Institute,2019 年数据泄露代价研究数据泄露的后
19、果 |10为了克服这个性能阻碍,管理员通常会部署分离的隧道,并再次标记出哪些 IP 范围应通过 VPN 传输,哪些应直接进入互联网。当您只有一个内部边界时,此方法十分有效和简单。但是,当您在 IaaS 提供商内添加多个数据中心和虚拟私有云(VPC)时,它的复杂性会大大增加。那么管理员就必须确定他们是否要在每个数据中心内安装 VPN 聚合器,以及如何有效管理多点分离式隧道。同样,所有这些解决方案都具有理论上的可行性。您可能已在使用其中一些解决方案的组合。问题在于,要良好执行这些解决方案,对其进行维护,以及在实施生命周期内提供适当的安全性和性能,相关任务在操作上通常将变得过于复杂,因此无法持续维持
20、正确性。在许多情况下,公司会说服自己,由于员工可以访问他们的应用程序,因此一切肯定都处于理想状态。然后他们猝不及防地发现,上述其中一个快速修复手段导致出现了灾难性的漏洞或性能下降,并导致出现工作中断或员工工作效率大幅下滑。|11这并不是说 VPN 完全没有价值。实际上恰恰相反。比如,在多数据中心基础架构的站点到站点访问中,VPN 就极为有用。这里的意思是,在讨论用户访问应用程序的情景时,网络级访问并不是应当使用的正确模式。这是因为,网络级访问会导致用户必须在简洁性与安全性和性能之间有所取舍,无法实现良好地兼顾。应用程序级访问是 Akamai Enterprise Application Acc
21、ess 等基于代理的策略如此具有吸引力的原因。借助应用程序级访问,性能和安全性与复杂性不再相关。这一点十分明显,可以轻轻松松解释明白。您只需将所有相互之间具有本地关联(例如,均托管在相同的数据中心或相同的 VPC 中)的应用程序放置到专用网络 IP 空间或受限 VLAN 中,然后在该微边界中放置访问代理即可。应用程序所有者在访问代理上设置自己的安全策略-即谁可以访问,以及访问的原因,甚至用户可以位于任意位置。内部和外部没有区别,因为不存在包含最终用户的网络边界。远程办公或位于咖啡店中的员工与位于办公室中的员工相同。唯一重要的是,用户是否具有授权或者计算机是否安全。借助应用程序级访问,可以兼顾出
22、色的性能和轻松的部署及使用。用户只需直接使用互联网来访问应用程序,而无需考虑应用程序托管在何处以及用户位于何处,使得互联网可以将数据包路由到它们的目的地,无需经过不在路径中的聚合器或中介。实际上,借助应用程序级访问,内部网络通常可以融入到简单的访客 Wi-Fi 中。请记住,要让 Zero Trust 真正有效,您不能将内部用户和外部用户区别对待。默认情况下,他们均不受信任。借助应用程序级访问,性能和安全性与复杂性不再相关。远程办公或位于咖啡店中的员工与位于办公室中的员工相同。唯一重要的是,用户是否具有授权或者计算机是否安全。|12您面临哪些挑战?关键的成功因素是什么?您希望解决什么问题?考虑:
23、保护您的用户。防止恶意软件感染用户。保护您的资产。对所有交易进行身份验证/授权。知道您的用户是谁。不要信任他们中任何一个人。规划 Zero Trust回顾关键目标|13应用程序访问 在现代化 Zero Trust 部署中,所有应用程序应根据位置和目的划分到自己的微边界中。这些微边界应位于带有私有 IP 空间的私有 VLAN 上,并且只有它们前面的访问代理才可以直接访问它们。我们让每家公司自行决定是否要在微边界中提供进一步的微分段,以便在应用程序遭受攻击时,阻止水平升级和移动。我们在此类实际操作中看到了理论价值,但实际上却发现,要处理好这些分段,会面临极大的复杂性,使得我们无法正确评判它们增加的
24、安全性。如果有人尝试解开复杂应用程序在边界背后的接触点,他们可以证明,将应用程序相互分离的做法是多么容易带来漏洞。但是,如果您的环境允许您通过简单且可维护的方式来执行此策略,我们鼓励您采用它。所有用户(无论是内部还是外部)都需要通过身份感知访问代理访问所有应用程序-比如 Akamai Enterprise Application Access 不仅执行标准身份验证,还会执行 MFA。此外,还应该通过强大的设备态势功能来获取设备条件,以获得某些应用程序的访问权限。此外,我们深信,Zero Trust 不会止于身份验证和授权。现代化堆栈还需要对通过访问代理的流量执行某种程度的检查和分析。这有助于抵
25、御高级持久威胁,以及蓄意的恶意最终用户。应增设在访问代理之上的一个关键安全系统是 WAF,以便确保不会从您的最终用户那里向您的内部应用程序发起(有意或无意)应用程序级攻击。可以为非 API 站点使用其他高级系统,比如人类/爬虫程序检测,以帮助确保恶意软件不会伪装在有效的端点背后。在您上线应用程序,并通过访问代理面向用户推出服务时,DDoS 防御变得更加重要。您应与提供商(可以吸收针对您的微边界和访问代理发起的攻击)进行协调,从而在高强度负载下实现连续运行。端点不再“归您所有”。BYOD 和越来越多的移动办公人员使得 IT 部门不再能够控制连接到企业网络和访问数据的端点。-Forrester,Z
26、ero Trust 实用实施指南最终状态目标|14最后,为了确保您的应用程序拥有出色的性能以及用户不仅可以接受这种访问方式的改变,还可以对它表示拥护,您的访问代理的前面应设置可以提供性能优势的网络。具体而言,CDN 和互联网路由覆盖应成为您的资源的一部分,以便不仅提供访问,还要让它具备比之前的方法更高的性能。威胁防护Akamai Enterprise Application Access 等解决方案可以保护您的应用程序免受恶意攻击者的侵害。但是,该如何保护用户,以防止他们因为遭到入侵-感染恶意软件的设备或通过网络钓鱼链接和着陆页面窃取的凭据-而无意中成为此类攻击者?在此情况下,防范和检测对于
27、Web 流量至关重要。一种方法是部署基于云的安全 Web 网关解决方案,比如 Akamai Enterprise Threat Protector。这将检查用户的每一个 Web 请求,并应用实时威胁情报和先进的恶意软件分析技术,以确保只交付安全的内容。恶意请求和内容会被主动阻止。无论您的用户从何处进行连接,为了提供一致的保护,您可以在笔记本电脑上安装一个轻量级代理。架构可视化综合来看,我们预计,当您的用户和应用程序位于完全实现 Zero Trust 的环境中时,其状态将如下所示:图图 4 4:Zero Trust Zero Trust 架构规定,只有经过身份验证和授权的用户和设备才能访问应用程
28、序和数据。同时,它可以保护这些应用程序和用户免受架构规定,只有经过身份验证和授权的用户和设备才能访问应用程序和数据。同时,它可以保护这些应用程序和用户免受互联网上高级威胁的侵害。互联网上高级威胁的侵害。I Ia aa aS SX XS Sa aa aS SY YWWe eb b4 45 56 6D DD Do oS S/WWA AF F3 31 1E ED DG GE E P PL LA AT TF FOOR RMM2 |15迄今为止,我们已经相当全面地了解了 Zero Trust,包括全面支持 Zero Trust 的企业应当具有什么样的特征。但是,正如安全性一样(即越简单就越容易实现),新
29、架构的部署也必须简单,并且可以分阶段执行。任何具有显著规模的公司都无法在一夜之间将整个基础架构转换为这种状态。Zero Trust 本身是一种策略,它的部署也是如此。我们认为,用于达成全面 Zero Trust 架构的理想策略是,在一开始通过易于管理的小批量将应用程序转变为 Zero Trust 访问模型。批量大小取决于您可以投入的资源数量,某些公司一次只能转换一个资源。无论如何,要进行转换的每个应用程序都将经历多个阶段,才能实现全面的 Zero Trust。在每个阶段,您都将确认应用程序可以正确运行,并且按照预期实现授权。Enterprise Application Access 支持 HT
30、TP(S)、VNC、RDP 和 SSH 应用程序,并且无需安装客户端。还可通过使用客户端来实现设备态势评估以及支持额外的协议。可以根据第三方威胁信号情报(例如设备是否已被入侵或是否符合端点安全策略)做出访问决策。要成功做到这一点,您必须:清楚说明,Zero Trust 是能最终获得客户信任的策略。Zero Trust 是一种架构概念,它旨在最终保护您的重要资产,进而保护您的员工、客户乃至整个社会。将技术需求转化为商业利益。展示您的 Zero Trust 计划如何为业务计划(比如数字化转型、云迁移和支持远程员工队伍)提供支持。-Forrester,Zero Trust 实用实施指南从 A 到 B
31、将您的 Zero Trust 策略和路线图直接提交给董事会|16阶段前期假设对于您的网络的阶段前期状态做了以下假设:您的当前边界中的应用程序和用户可以直接通过 IP 相互访问 您已在当前边界中安装了 Akamai Enterprise Application Access 连接器 您已创建了一个隔离的 VLAN,以便最终替换企业 应用程序 您已在隔离的 VLAN 中安装了 Akamai Enterprise Application Access 连接器 您的外部企业用户将继续在分阶段实施过程中安装 VPN,以便访问尚未转换的应用程序在满足这些前提条件后,我们现在可以开始讨论每个应用程序在实现全
32、面转换的过程中将经历的阶段。这些阶段设计得非常细致,因此在您更加熟悉这个流程后,可能会想要将其中部分阶段组合到一起。|17当应用程序通过企业应用程序访问首次提供访问时,这些用户将负责确认应用程序的功能完整性。他们应足够熟悉应用程序的工作语义,以便同时测试标准行为和边缘案例。由于还增设了一些额外的安全功能和性能功能,这些用户还应具有相应的背景来测试安全功能能否按预期运行,并且真正实现足够的性能提升。我们鼓励具有大量应用程序的组织考虑投资此类工具:允许定期和自动执行标准的非应用程序特定功能,比如通用性能测试以及某些安全检查,并且无需大量人力监督。应使用此类工具执行的特定安全检查包括 SQL 注入、
33、跨站点脚本、爬虫程序检测以及命令注入。这是企业应用程序访问将实施到的第一组生产用户,其中包括将在您的网络边界之外访问应用程序的所有有效用户。该用户组将通过动态方式运作。换句话说,当用户到达外部时,他们将动态进入该组,而当他们返回网络边界之内时,他们将动态离开。这是企业应用程序访问将实施到的最后一组生产用户,这将完成应用程序的所有用户的迁移。该用户组包括网络边界之内将访问此应用程序的所有有效用户。与上述外部用户组类似,该用户组内的成员关系是动态的。用户将在进入您的内部网络边界时自动加入该组,并且将在离开时加入外部用户组。您的应用程序阶段流程中,将涉及面向部分用户组分阶段缓慢实施该功能。我们提议为
34、每个应用程序定义三组常规用户:外部用户测试实验室用户分组内部用户|18用户分组方法在我们的分阶段实施示例中,我们将使用 Akamai Enterprise Application Access 产品作为我们的访问代理。Akamai 通过使用 DNS,在它的分布式网络中注册了应用程序:应用程序主机名已 CNAME 到 Akamai,以便将用户路由到我们的平台。因此,执行主机名查询的用户将导致连接至 Akamai 的 CNAME 链进入 Akamai 的全球网络。查询导致返回原始内部 A 记录的用户将继续使用过时的边界方法访问应用程序。对于每个应用程序,我们将利用此架构来将不同的用户组分阶段实施到
35、企业应用程序访问上,在这个过程中,我们会控制哪些用户组将遵循 CNAME 链,以及哪些用户会收到内部 A 记录。我们会通过使用 DNS 视图(也称作水平分隔 DNS)来实现此目的,以便定义上述三个用户组。通过 DNS 视图,两个或更多查询相同主机名的用户可以根据他们的源 IP 收到完全不同的答案。例如,位于中国且查询 www.foo.bar 的用户可能会收到一个独立的 IP,而位于英国的用户可能会收到一个完全不同的 IP-尽管他们查询的是完全相同的主机名。我们在使用此方法时,会按照用户组的源 CIDR 块来组织不同的用户组。所有测试实验室用户将驻留在一个 CIDR 块中,内部用户将位于定义了您
36、的整个内部网络的 CIDR 块中,而外部用户将来源于不匹配前两个用户组的所有 IP。企业在如今的现代化环境中部署的所有常见 DNS 服务器都支持此功能。现在我们已理解如何划分不同的用户组,我们可以开始讨论实际的应用程序实施阶段。以下几页说明了成功推广应用程序的八个阶段,以及您在每个阶段需要考虑的因素。如果您对您的具体应用程序要求或迁移方法有任何疑问,请联系您的 Akamai 客户经理,或在此处联系我们的安全专家。当今企业在现代环境中部署的所有常见 DNS 服务器都支持这种用户分组方法。应用程序推广阶段|191.应用程序预检查阶段在此阶段中,您通过检查来确保应用程序满足您已部署 的访问代理的要求
37、。在 Akamai Enterprise Application Access 的情况下,您将确保应用程序具有支持的协议。考虑:哪些应用程序在远程访问方面的问题更为显著?哪些群体的用户使用此应用程序?这些应用程序托管在何处?使用什么虚拟环境?概念验证(POC)期间的成功结果是什么?无客户端协议包括 HTTP、HTTP(S)、RDP 或 SSH。在有客户端的情况下,支持 TCP 和 UDP 应用程序。|202.访问代理准备阶段接下来您将配置您的访问代理,以便识别应用程序以及它的特定安全和访问权限。在 Akamai Enterprise Application Access 的情况下,您将在云中配
38、置此 设置。考虑:是否存在任何出站代理?您使用什么目录源进行用户身份验证?您有与您的应用程序关联的 MFA 吗?您是否正在寻求为您的本地、云和公共应用程序扩展 SSO?配置将立刻推送到您的所有 Akamai Enterprise Application Access 连接器以及整个 Akamai 平台,使得所有 Akamai POP 都能够为您的最终用户服务。|213.测试实验室注册阶段 现在访问代理已可以识别相关应用程序,您可以开始注册用户。在此阶段,假设您使用的是 Akamai Enterprise Application Access 代理,您将如上所述修改您的 DNS 视图,以便测试实
39、验室组的成员在进行查询时,为特定应用程序主机名 CNAME 到 Akamai。在此操作之后,测试实验室的成员将在尝试访问指定的应用程序时,被定向至 Akamai 的全球网络。在此过程中,测试实验室成员应确认身份验证可以正确运行,MFA 经过了适当配置,以及 SSO 适用于之前注册的所有其他应用程序。更加重要的是,应在此时运行与应用程序的功能正确性有关的深入测试。考虑:如今用户如何访问这些应用程序?哪些群体的用户会进行测试?如何确定成功?会给用户多长时间进行测试?|224.安全升级阶段现在,测试实验室的成员已能够使用企业应用程序访问来安全访问应用程序,您应当考虑启用在传统边界模型中无法实现的高级
40、安全功能。在此部分,我们将参考与 Akamai Enterprise Application Access 代理良好兼容(以及由它启用)的特定 Akamai 安全产品。但是,无论您是否使用这些特定的产品,一般的建议和部署阶段仍然适用。我们建议至少要启用 Akamai Kona Site Defender 产品,以便获得 WAF 功能。启用此功能后,测试实验室的成员应当确认 WAF 平台能够拒绝针对应用程序发起的 SQL 注入、跨站点脚本和命令行注入攻击。在此阶段,应用程序所有者还应考虑实施爬虫程序(而非人工检测),以便对安全性进行简单而强有力的补充。如果相关应用程序不是 API 服务器,而且不
41、应该以编程方式访问,您可以通过 Akamai Bot Manager 产品启用此功能。您可以指示平台拒绝那些无法确定(通过高级分析进行充分确定)源自人类的连接。这大大有利于阻止恶意软件,以及隐藏在有效用户会话背后的其他高级持久威胁。在此阶段,您还会确定是否指定的应用程序应限制为只由托管设备访问。如果属于这种情况,并且您向最终设备部署证书,您可以将您的公共证书颁发机构证书上传到 Akamai Enterprise Application Access,以便拒绝由未托管的计算机发起的所有连接。|23最后,也可以启用基于地理位置和 IP 的限制。如果您知道应使用基于特定 CIDR 的白名单或黑名单,
42、或者知道应当被拒绝访问的地区,可以在此时对此功能进行启用和测试。现在,您已经保护了您自己的应用程序,我们建议您 考虑那些不属于您的应用程序,特别是那些位于互联网上的应用程序。您如何保护访问 G Suite 或 Dropbox 等基于 Web 的企业应用程序的流量?我们建议启用 Akamai Enterprise Threat Protector,这是一个基于云的安全 Web 网关,它可以代理所有互联网流量,以便进行分析和检查。无论您启用了哪些功能,您的测试实验室都应当在此阶段确保安全选项不仅可以正常运行,并且还不会阻止应用程序的功能正确性。考虑:是否需要任何地理限制?如何向您的用户提供 DNS
43、?采用何种类型的移动设备管理(MDM)解决方案?|245.性能升级阶段现在已注册了应用程序,并实施了安全功能,接下来该思考性能是否不足。在基于传统边界的访问和安全策略中,企业经常会因数据中心位置以及分支办事处之间的相关链路而出现性能受限。有时,可以部署内部缓存等功能来缓解这些问题,但是当员工外出时,这些功能的效果将大打折扣。这是因为,只有在更靠近最终用户时,缓存功能才能充分发挥其性能。在此阶段,您将评估您的应用程序是否需要性能升级。如果需要,请利用您可以使用的缓存和其他技术。如果您已在使用 Akamai Enterprise Application Access,您将获得一项明显的升级:通过我
44、们的 Ion 产品启用 Akamai 的 CDN。此功能可在 Akamai 的 25 万台服务器中实现全球缓存,从而为您的最终用户提供出色的性能-无论他们身处何处。此外,通过启用此功能,您可以访问 Akamai 的网络,在此网络中,前向纠错(FEC)、路由优化以及数据包复制功能提供了接近于零的数据包丢失以及基于性能的路由。值得注意的是,可以选择性地推迟此阶段,直到进入以下外部用户注册阶段为止,因为外部用户在位于网络边界之外时,可以更充分地对相对性能增益进行评估。无论使用哪种方法,我们都建议在此阶段以及应用程序注册之前使用性能规范,以便准确评估性能增益。可以通过使用浏览器插件、瀑布图或第三方性能
45、监测服务来实现此目的。考虑:您的用户位于何处?应用程序位于何处?|25在到达此阶段时,应用程序已进行注册并通过 Akamai Enterprise Application Access 提供访问,应用了显著的安全升级,可选择性地提升更多性能,并且经过内部测试实验室测试,以确保它能够按预期运行。现在是时候将它向更广泛的受众推广了。此时,我们建议分阶段将此策略实施给外部用户。这种访问方式最终将导致为这些用户移除 VPN。此外,这些用户更为频繁地受到性能问题影响,并且处于更容易受到攻击的环境中,他们的位置使得您的应用程序和数据都面临着风险。通过为这组用户提供更好的性能和安全性,Akamai Ente
46、rprise Application Access 将让您即刻受益。建议您在通过 DNS 视图修改进入此阶段之前,向这些用户发送通知,以避免此转变让用户感到猝不及防。如果此时一切均已配置妥当,除了增加的性能以外,他们应当几乎无法察觉到转变。但是,提前通知可以提醒用户密切留意功能正确性。这样一来,如果出现任何偏差,他们可以知道原因,并且准备好联系正确的管理员。考虑:目前是否有第三方访问您的网络?如何提供远程访问?这种现有模型面临的挑战是什么?哪个远程用户组的需求最少,但访问量最大?6.外部用户注册阶段|26在此阶段,外部用户已经注册了一段时间,所有运行漏洞都已得到修复。您可以从您的 DNS 视图
47、特定配置中移除对应用程序的所有引用,并将它作为 CNAME 条目添加到通用视图中。然后,所有用户应立即开始使用您的 Akamai Enterprise Application Access 代理来访问此应用程序。所有用于通知外部用户的流程也应在此阶段应用于内部用户。希望能够通过之前的六个阶段发现和修复所有错误或错误配置。假设配置正确,此时应用程序将成功过渡到 Akamai Enterprise Application Access 上,所有用户都能更加轻松、快速和安全地进行访问。考虑:还有哪些群体需要访问此应用程序?如今如何提供远程访问?这种现有模型面临的挑战是什么?这些特定用户以外的群体是否
48、可以访问该应用程序?7.内部用户注册阶段 |278.VLAN 迁移阶段 在内部用户注册阶段中度过了适当的时间后,您最终可以将应用程序转变到隔离的 VLAN 中。在此之前,尽管所有有效用户都会使用 DNS 通过 Akamai Enterprise Application Access 进行定向,仍然可通过应用程序服务器的 IP 地址对服务器本身进行直接访问,因此服务器容易受到您的网络边界内的恶意软件攻击。最后的这个阶段消除了所有直接 IP 访问,使应用程序与除访问代理以外的一切有效隔断。完成此操作之后,应用程序将正式且完整地过渡到 Akamai Enterprise Application Ac
49、cess。考虑:如何实施网络控制?如今,这些应用程序具有什么类型的网络级访问?这些应用程序可以细分吗?谁是网络利益相关者?|28阶段后期操作 所有应用程序过渡到企业应用程序访问之后,您可以开始研究从最终用户系统全面移除 VPN 客户端。此外,您现在可以考虑将您的内部用户网络转变为访客 Wi-Fi,因为所有应用程序访问现在都已过渡到 Zero Trust 访问模型中。最后,您应在此阶段考虑保护回连到您的数据中心的连接,帮助抵御高级 DDoS 攻击。Akamai Prolexic 产品正是可以为您提供此类帮助的解决方案。总结和后续步骤在如今的云和移动环境中,传统的集散式网络架构以及它们使用的城堡和
50、护城河式安全边界已经无法有效提供性能和安全保障。这是所有公司都必须开始面对的问题,以免陷入容易遭受攻击的状态。未能向更安全的企业安全架构转型是当今企业数据泄露的头号原因,并且情况只会越来越糟。简而言之,边界不能为您保证安全,因为边界本身不再存在。如何开始向 Zero Trust 架构过渡?Akamai 的云安全服务可以组合构建一个全面的 Zero Trust 架构,这不仅可以在云原生环境中实现安全的应用程序访问,还可以利用云来几乎完全消除对于内部公司网络的需求。通过使用高级分布式 ZTNA 解决方案以及全球 Akamai Intelligent Edge Platform 提供的强大助力,您最
51、终可以非常轻松地迁移到一个没有边界的环境中。在此过程中,您将分阶段过渡应用程序,几乎完全消除了您的迁移风险,并且 Akamai 在久经考验的性能和安全解决方案方面拥有 22 年的丰富经验,这可以为您带来帮助。随着您向着 Zero Trust 架构继续迁移,您可以放心,Akamai 将在每个步骤为您提供助力,帮助您将网络转变为先进的架构,从而不仅可以为您的应用程序和数据提供访问,还可以提供易于管理的访问方式,与此同时维持高水平的安全性和性能。Akamai 的安全专家可以与您合作,为您制定一条分阶段、定制化的 Zero Trust 迁移途径。安排一次 30 分钟的研讨会,以讨论您的现状、期望的最终状态、业务优先事项、漏洞和最关心的问题。