零信任应用程序访问 Akamai让企业业务访问畅通无阻

至顶网计算频道 04月10日 新闻消息（文/李祥敬）：进入2020年，一场突如其来的疫情让整个社会进入了非常时期。企业员工不得不选择在家办公，这就给企业，特别是企业IT管理者，带来了非常大的挑战。如果企业的IT基础设施以及相关的安全保障无法做到位的话，那么这两个月实际上会出现各种各样的安全风险及问题，会严重影响业务。

比较典型的问题就是我们选择在家办公后，原来需要在办公室处理的一些业务和访问的一些应用，在家很难访问。我们需要额外的手段和技术进行实现。另外，这些手段和技术支持处于一种应急状态，如何保证信息安全性就变得至关重要——因为我们不能把系统开放给互联网的同时，忽视安全问题，让企业的核心业务资产受到威胁。

另一方面，员工在家办公，企业很容易想到配置VPN的方法，让员工接入到企业内网环境使用相关应用。不过，即使进行这样的部署，在这特殊时期，很多厂商也很难及时保障扩容、设备上架。

在这样的背景下，Akamai提出了零信任企业应用访问方案。Akamai大中华区企业事业部高级售前技术经理马俊告诉记者，对于客户来讲，基于零信任安全模型的应用访问方式能够实现快速交付落地；在保证用户体验的同时，保证安全；整体降低用户的运营成本、简化管理，并且提供更多的可见性。

Akamai大中华区企业事业部高级售前技术经理马俊

当前，企业面对的是复杂的应用环境。为了实现员工有效、安全访问业务应用系统，企业采用了VPN的接入方式。不过随着业务发展的多样化，企业不光面对出差在外的员工，还有合作伙伴、外包商、供应商等，这些用户的安全保障等使用权限其实不尽相同。另外，员工接入设备的多样性也带来了企业应用场景的复杂性。

除了用户侧，企业应用的部署方式也在变化。从传统的数据中心到云端，企业应用上云成为潮流。但现在并不是所有的应用都已完成了云转型。大部分企业还处于一种混合的形态。很多应用在私有数据中心，另有一些运行在云上，这也造成了企业应用环境的复杂性。

马俊指出，这两种复杂性对企业的安全管理带来了极大挑战。目前企业大多采用的是VPN架构。这种架构通过防火墙上的控制，把企业的内网和外网，天然分为两个不同的维度——安全区域和不安全区域。

但这种架构存在很多局限性，比如应用直接面对公网威胁、VPN部署和防火墙规则不灵活、多应用情况下的单点登录和对访问终端安全没有控制方式。当认证通过后，企业的所有员工或访问者均可越过防火墙，这就造成了很多数据泄露发生在企业内部的情况。

VPN在防火墙上要求有一个连通的保障，这种接入也给黑客提供了一个攻击界面。如果黑客调用大量的IoT设备攻击这样的防火墙端口，便可能造成企业的公有或私有数据中心出现不可访问，也就是DDoS拒绝服务的情况。

另外，VPN的管理也非常复杂。众多繁杂的防火墙策略导致企业的管理和日后调整出现更多不确定性，在影响上线周期的同时，还会带来安全隐患。从用户体验来讲，如果用户使用这种VPN访问方式，当他需要拨入多个数据中心获取数据时，便不得不管理多个帐号或一个帐号进行多次登录。这对于外包人员，特别是临时的访问，会非常不灵活，企业在开通和注销权限方面需要进行大量操作。

针对企业面对的种种挑战，Akamai通过五个方面提供解决方案——即访问的安全性、网络的安全性、访问审计的安全性、管理的易用性和运营成本支出。

马俊表示，Akamai提供的方案是不允许防火墙设置任何“由外向内”的访问。“我们会通过在企业内部建立一个叫‘连接器’的模块，主动透过防火墙向外访问。这个访问的路径不需要在防火墙上开任何端口，也不需要VPN设备，就可作为一个反向代理，把数据中心应用的数据和数据中心内部对于权限管理的控制集成在一起。”实际上，Akamai并不修改现有VPN或现有安全策略，而是在它之外提供了一整套完整框架，所以企业在使用Akamai的零信任方案后，安全防护水平会得到很大加强。

目前，零信任主要有三种比较公认的实践方法。第一种是传统网络设备厂商通过在网络层进行微分段的方法实现、第二种是软件定义边界、第三种就是Akamai的身份代理模型。Akamai最优势的部分是其智能边缘平台，这个平台能够提供非常大的容量、非常强的灵活性，还能跟Akamai已有的安全、WAF、抗DDoS和爬虫治理能力以及整个平台的广泛分布性相结合。

基于身份代理模型，Akamai可以把用户内部或是用户已经部署在公有云上的应用，映射到Akamai智能边缘网络平台。这样的好处是不会依赖于传统的VPN、网络隧道模式，而通过最常用的浏览器、最通用的HTTPS协议进行实现。所以Akamai方案的适用性会更高，无论对于传统企业还是创新性要求较高的企业都普遍适用。此外，Akamai的智能边缘平台已在互联网上平稳运行二十年，其可靠性得到验证，因此Akamai的企业用户在使用上也会非常放心。

具体而言，“连接器”主动把内部数据通过安全的连接向Akamai的云端进行传送。用户的所有访问都不会直接和数据中心的边界产生任何联系，而是通过Akamai智能边缘的云基础设施进行连接。如果有其他公有云，比如SaaS或IaaS的应用，企业也可通过在Akamai已有的云上进行权限管理，确定每一次访问是否可信、符合权限。

马俊表示：“Akamai把原来单向的进向流量分为两段，一段是用户向云端的访问，一段是连接器从数据中心主动向外传送的访问。这些可以通过Akamai一个集中的门户进行控制。这是Akamai相对于传统IT的优势。统一的门户在提供极大的灵活性和安全保障的同时，还可以把原来的很多工作集中至一起进行处理。”

对用户来讲，在进入门户时，用户需要完成多因子的身份认证。Akamai的方案可以完成短信、邮件、APP的一次性密码认证。同时，Akamai还支持目前主流的无密码方法——即通过一种集成在用户手机中的认证器，通过验证码和点击的方法完成认证。整个过程不需要用户输入任何口令，就能够快速访问。“这是整个数字化转型中一个重要环节，我们希望满足企业业务和安全需求的同时，保证用户的良好体验。”

（编辑：济源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!