Akamai 助力构建 Zero Trust 成熟度模型

支持为联邦机构和部门实现CISA的跨领域功能 前言 Zero Trust安全已成为保护敏感政府数据、关键基础设施和国家安全系统的黄金标准。面对现代威胁，联邦机构和部门不能再依赖基于边界的传统安全模型。网络犯罪分子变得越来越狡猾，他们利用了凭据盗窃、勒索软件和内部攻击等诸多高级手段。为应对此情况，联邦机构正加速将其安全策略向Zero Trust框架调整。但这只是一种零散的转变，还需要采取更多措施来保护联邦系统。 美国网络安全和基础架构安全局(CISA)的Zero Trust成熟度模型可以帮助联邦机构和部门实施安全原则，以消除隐含信任并执行严格的验证机制。该模型构建于五大基础支柱之上：身份、设备、网络、应用程序和工作负载、数据。此外，还有三种跨领域功能：监测与分析、自动化与编排以及治理，可以确保实施全面且一致的网络安全防护。 要想实现这些目标，就需要将微分段视为Zero Trust安全的核心原则，使其成为内部（即东西向）网络防御的基本组成部分。通过对工作负载分段以及限制横向移动，联邦机构可以遏制潜在的违规行为并实施Zero Trust政策。此外，还应实施全面的应用程序编程接口(API)安全解决方案以保护外部（即南北）通信，确保只有授权实体才能访问政府应用程序。 本白皮书探讨了实现Zero Trust成熟度的重要步骤，重点介绍了Akamai的高级安全解决方案（包括Akamai Guardicore Segmentation、Akamai API Security和Akamai EnterpriseApplication Access）如何帮助联邦机构和部门遵循CISA指导并增强其网络安全态势。 从基于边界的安全防护转向Zero Trust 传统的网络安全依赖基于边界的防御，它会假设只要能进入网络的实体都可以被信任。但面对现代网络威胁，这一模式已经屡屡失效。为获取敏感信息的访问权限，攻击者会利用保护不力的凭据和配置错误的安全设置，并使用横向移动技术绕过传统防御机制。 而Zero Trust则要求对用户、设备、应用程序和网络流量进行持续验证，从而消除隐含信任。每次访问请求都会经过身份验证和授权，并根据实时风险评估进行持续监控。即使攻击者侵入了部分网络，这种方法也可以显著减小攻击面，并防止未经授权的访问。 CISA的Zero Trust成熟度模型 CISA的Zero Trust成熟度模型为联邦机构和部门逐步增强其安全框架提供了路线图（见图）。该模型构建于五大关键支柱之上： •身份：实施强有力的身份验证、授权和访问控制，确保只有合法用户才能与敏感资源互动•设备：监控、保护和验证端点设备，确保它们必须符合安全策略才能访问政府网络•网络：实施微分段和高级访问控制策略，防止未经授权的横向移动•应用程序和工作负载：实施基于身份的严格访问策略、运行时安全性和API安全控制，从而保护应用程序和工作负载•数据：确保敏感的政府数据得到加密、监控和保护，防止未经授权的访问并避免被泄露 除了这几大支柱外，该模型还集成了适用于所有Zero Trust组件的三大关键跨领域功能： •监测与分析：持续监控、记录和异常检测，以实时识别和抵御威胁•自动化与编排：AI驱动的安全防护自动化，以实施策略、响应威胁并简化访问控制•治理：集中的策略执行以确保遵守联邦法规，例如《联邦信息安全现代化法案》(FISMA)和美国国家标准与技术研究所(NIST)特殊出版物800-207 微分段与API安全防护的重要性 在传统的网络安全模型中，通常是使用基于网络的防火墙将网络划分为宽泛的分段。虽然这种方法可以提供一定程度的安全防护，但它缺乏彻底保护现代分布式环境所需的精细度。在联邦环境中，基于网络的分段通常会导致过度调配；也就是说，用户和应用程序可以访问的资源要多于其实际需求。这会在无意之中为横向移动创造条件。攻击者只要破坏网络的一个部分，就能毫无障碍地移动到更敏感的区域。 微分段概念引入了对网络内东西向流量的精细控制，从而解决了这一挑战。在微分段环境中，每个应用程序、工作负载或服务都与其他部分隔离开来，并且根据特定策略来限制访问。这可以确保用户、设备和应用程序只能与其获得明确访问授权的资源进行通信。通过实施基于身份的应用程序感知分段，微分段可以限制网络攻击的潜在损害、减小攻击面，并强化Zero Trust原则。 在南北向网络流量方面，联邦网络越来越依赖API来推动系统之间的通信。这样，API端点保护就成为了首要之务。近年来，包括注入攻击、撞库攻击和未经授权数据访问在内的API攻击愈演愈烈。联邦机构和部门需要全面的API安全解决方案，它们应该为API提供全生命周期保护，从而使安全人员能够实时发现、监控和保护其API流量。API发现尤为重要——企业存在未被发现的API这种情况很常见。 Akamai Zero Trust解决方案概览 身份 Akamai MFA是一种免密钥FIDO2身份验证解决方案，可以保护员工帐户免受网络钓鱼和其他中间机器攻击。它能确保只有经过强有力身份验证的员工才能访问自己负责的帐户。其他访问都会被拒绝，并且可以预防员工帐户接管。 设备 Akamai Guardicore Segmentation是一款出色的微分段解决方案，旨在限制勒索软件和其他恶意软件的传播。通过在设备上持续监控和执行策略，Akamai GuardicoreSegmentation可以验证设备配置、软件安装和潜在漏洞，从而确保只有符合要求的设备才能访问网络。此外，该解决方案还支持采用无代理方法来保护物联网设备。 Akamai Enterprise Application Access是一款全面的Zero Trust网络访问解决方案，可以确保只有经过身份验证的用户和设备才能访问应用程序。EnterpriseApplication Access可以验证设备的身份和安全态势，从而对Akamai GuardicoreSegmentation的功能形成了补充。如果发现设备不符合要求或存在安全风险，Enterprise Application Access可以限制其访问敏感应用程序。 网络 Akamai API Security可实现对南北向流量的持续发现和实时分析，使联邦安全专家拥有了对整个API资产的全面监测能力。该解决方案可以检测未知API、识别漏洞并分析API行为，使安全团队能够在这个快速增长的攻击面中检测攻击并消除风险。 Akamai App & API Protector将Web应用程序防火墙、爬虫程序抵御、API安全性和第7层分布式拒绝服务(DDoS)防护整合到一个解决方案中。它能够快速识别漏洞，抵御整个网络和API资产所面临的各种威胁。 Akamai Secure Internet Access Enterprise是一款基于云的安全域名服务(DNS)防火墙，它能确保用户和设备在任何位置都能安全地连接到互联网，而且不存在其他安全解决方案固有的复杂性和管理开销。 Akamai Guardicore Segmentation提供了对网络流量的精细控制，从而确保只允许存在合法流量。 Akamai Zero Trust解决方案概览 应用程序和工作负载 无论员工、第三方承包商、合作伙伴和移动用户身在何处，AkamaiEnterpriseApplication Access都能为其提供Zero Trust访问。 Akamai Guardicore Segmentation可帮助监测并了解应用程序和工作负载。 数据 Akamai Secure Internet Access Enterprise提供了内容过滤、高级威胁防护和数据丢失预防等功能，从而实现安全的数据访问。它支持数据清单管理，可预防未经授权访问和数据泄露。 Akamai Guardicore Segmentation：东西向流量防护的关键因素 Akamai Guardicore Segmentation是一款出色的微分段解决方案，旨在帮助各大实体（特别是联邦机构和部门）在本地和云环境中实施精细的安全控制 工作负载和应用程序的精细分段 与在网络级别控制访问的传统分段不同，Akamai Guardicore Segmentation是在应用程序和工作负载级别实施安全策略。这样可以确保访问受到严格限制。例如，在一家联邦机构中，可以将人力资源(HR)应用程序限制为仅与其指定的HR数据库进行通信，从而在遭受攻击时阻止攻击者横向移动。 基于身份的微分段 在实施分段时，Akamai Guardicore Segmentation基于的是用户和设备身份，而不只是基于IP地址。这样可以确保根据角色、信任程度和实时验证来动态授予访问权限。例如，可以将承包商和第三方合作伙伴限制为仅能访问自己需要的系统，从而降低未经授权访问的风险。 动态实施策略 Akamai Guardicore Segmentation可以根据实时因素（如用户行为、设备健康状况和网络活动）不断调整安全策略。如果检测到可疑活动，例如数据传输量异常，Akamai GuardicoreSegmentation可以自动限制访问、阻止流量或提醒安全团队。这种主动型方法可确保安全策略不断发展，以应对新出现的威胁。 通过集成Akamai Guardicore Segmentation的微分段，企业可以加强其Zero Trust架构、最大限度地降低风险，并对其网络保持严格的访问控制。 案例研究 联邦环境中的Akamai Guardicore Segmentation 为保护内部系统免遭横向移动攻击，一家联邦机构最近实施了Akamai的微分段解决方案。在采用Akamai Guardicore Segmentation之前，该机构依赖基于网络的传统分段技术，这种技术提供的精细度有限，并且允许在不同网络分段之间进行广泛访问。当网络的任何部分受到攻击时，这将产生巨大的横向移动风险。 利用Akamai Guardicore Segmentation，该机构能够： •实施精细的分段：通过在应用程序级别进行工作负载分段，该机构降低了横向移动的风险，并能确保每个应用程序只能与自己需要的资源进行通信。 •提升监测能力：该解决方案的可视化工具为该机构提供了对其内部流量的深入洞察，使安全团队能够实时识别并抵御潜在威胁。 •增强安全性：通过将Akamai Guardicore Segmentation与其现有身份管理和访问控制系统集成，该机构得以在整个网络中实施Zero Trust，同时确保根据实时风险评估对访问进行持续监控和动态调整。 这一示例展现了Akamai Guardicore Segmentation在提高网络安全性、降低横向移动风险，以及确保始终将权限保持在最低限度方面的强大功能。 API安全防护：保护南北向流量 Akamai提供了多种可确保API安全的解决方案。Akamai的API安全平台可以确保全面监测API交互，并实时自动检测和抵御针对南北向流量的威胁。凭借高级行为分析，联邦机构和部门能够： •识别影子API，防止其被攻击者利用 •监控API流量模式，以检测未经授权的访问企图 •实施API速率限制，防止滥用和拒绝服务攻击 •识别已忘记、被忽略或未知的API，以发现潜在攻击路径 •列出所有API，且不受配置或类型限制（包括RESTful、GraphQL、SOAP、XML-RPC、JSON-RPC和gRPC） Akamai Secure Internet Access Enterprise是一款基于云的DNS防火墙，可以帮助安全团队确保所有线上和线下用户及设备安全连接到互联网。它可以主动阻止恶意DNS请求，包括恶意软件、勒索软件、网络钓鱼和低吞吐量DNS数据泄露。Secure Internet AccessEnterprise无需部署、管理和升级任何应用程序，从而降低了安全工作的复杂性。该解决方案简单直