从

在本系列的上篇文章中，我们简要介绍了零信任安全方法是什么，以及为何要使用该方法。本篇，我们将一起来看看如何借助Akamai产品和解决方案快速构建适合自己实际情况的零信任网络架构。

首先别忘了，对于零信任，我们曾提出几个最基本的原则：

接下来我们就一起围绕这些原则，开始自己的零信任之旅吧。

Akamai Edge Security Services

零信任架构的实现方式有很多，一种非常流行的方式是在自己的DMZ（Demilitarized Zone，隔离区）中运行访问代理。但这种方式削弱了借助云平台削弱攻击，获得无限带宽的缓存，以及按需自动扩展资源的能力。

作为一家云原生公司，自20多年前成立以来，Akamai始终在边缘位置运营自己的服务。我们设计了一种零信任网络访问（ZTNA）技术：身份感知代理。这种代理运行在云中，可按需扩展，在Akamai的平台（而非用户设备）上执行需要耗费大量CPU资源的操作，借此削弱攻击并将缓存的内容交付给距离最近的用户。这套名为Enterprise Application Access的技术，其基本架构是这样的：

在上述架构中，我们可以向特定应用程序（而非整个企业网络）提供访问。但此时并不需要在DMZ中放置访问代理，而是可以在防火墙之后运行一个名为Akamai Enterprise Application Access Connector的小型虚拟机，该虚拟机没必要，也不应该放在DMZ中。它使用了私有IP地址，无法直接通过互联网访问，并且在表现上，它与我们放在防火墙之后的其他应用程序完全相同。

Enterprise Application Access Connector启动后，便会立即与Akamai平台建立加密连接，随后即可从Akamai服务器下载配置信息，开始为用户和应用程序的访问提供服务。

当内部应用程序试图访问一个服务时，会通过DNS CNAME重定向至Akamai Intelligent Edge Platform?。如果最终用户和他们的设备顺利通过了所有检查，即可通过路由依次进行身份验证、多重身份验证（MFA）、单点登录（SSO），最终执行获得批准的操作。

访问应用程序，而非访问整个网络

是否觉得上述方式与目前大部分企业广泛使用的虚拟专用网络技术差不多？并非如此！虚拟专用网络技术提供的是网络级的访问能力，一旦顺利通过身份验证，将能在内网中通行无阻；Akamai Enterprise Application Access确保了用户只能访问自己有权访问的特定应用程序，而非整个网络。

性能问题同样不容忽视。在最简单形态的虚拟专用网络中，所有流量都要回流至位于中央的数据中心基础架构，这可能导致某些互联网应用或SaaS应用访问速度大受影响，并加剧企业互联网上行链路拥堵情况。对于不在本地的用户，他们访问互联网应用所产生的流量，又为何要返回企业数据中心“绕一圈”呢？

为降低性能负担，通常需要部署分离隧道（Split tunnel），并标记哪些IP地址段的访问需要通过虚拟专用网络传输，哪些可以直接发送到互联网。当企业网络只有一个内部边界时，这是一种简单有效的方法。然而随着数据中心和虚拟私有云（VPC）的采用，这种方式也变得日益复杂。

Akamai Enterprise Application Access在这种情况下基于代理，可以实现应用程序级别访问的方法就更有吸引力了。在应用程序级别的访问中，性能与安全性变得与复杂性彻底无关。在咖啡馆中远程办公的员工，与身处办公室的员工可以获得完全相同的体验。这一切只需要一个基本前提：用户已获得必要授权，并且所用的设备在安全性方面满足要求。

总结

在零信任架构的构建过程中，重点在于要明确三个关键目标：

随后需要明确：传统的中心辐射型网络架构以及配套的“城堡和护城河”安全边界，已经无法在当今云和移动的世界中提供企业所需的性能和安全性。这是所有企业都不得不面对的问题。简而言之，位于边界内部不意味着就是安全的，因为边界本身早已不复存在！

Akamai旗下丰富的云安全服务相互结合，可顺利构建全面的零信任安全架构，不仅可以在云原生世界中提供安全的应用程序访问途径，而且可以借助云的强大能力几乎完全消除对且内部网络的需求。

通过利用先进的分布式ZTNA解决方案，并配合Akamai Intelligent Edge Platform?强大的功能，企业可以用简单、轻松、快捷的方式顺利步入“无边界”世界，并借助Akamai在业界二十多年来所积累的，久经考验的经验和技术大幅缓解可能遭遇的风险，获得更流畅的性能。