【Zero Trust架構】Akamai Guardicore micro-segmentation部署比傳統方案更快更輕鬆
Fortune 500 之中,就有超過一半企業採用 Akamai 的服務,包括金融銀行企業、醫療產業,更不乏媒體、OTT、遊戲公司等。最近 Akamai 收購了在 Forrester Micro-segmentation 報告中獲得 leader 的 Guardicore,更進一步鞏固其 Zero Trust 的翹楚地位。今次請來 Akamai 的港澳台灣區域總經理 Victor Wong,講講 micro-segmentation、Zero Trust 及網絡新趨勢。
跨國銀行客戶轉用Guardicore成效顯著
Victor 指出香港市場的特點是有大量 FSI,除了要符合法規,更要面對複雜的網絡環境,「安全方案的成本及複雜性,同要偵測、監控及限制攻擊者的 lateral movement 為企業帶來不少挑戰。」Victor 以一家歐洲跨國銀行客戶作例子,「銀行的業務遍及超過 50 個國家,要符合歐洲、北美、亞洲各地法規,environment segmentation 及第三方訪問的監控備受挑戰,潛在受攻擊面亦必須減細。他們發現傳統 FW 與 VLAN 成本高、效益低,很不理想,決定改用 Guardicore,取其快速、簡單直接的 micro-segmentation,又支援不同平台及網絡環境,東西流量明顯比較清晰。不用3個月已經完成部署,要比傳統 segmentation 快 10 倍。」
Zero Trust架構能對應流量新趨勢
「傳統的堡壘式防護,未必能招架得住雲端、容器化、遠程辦公等新的網絡環境。而 Zero Trust 架構的優勢是能夠解決新的網絡訪問的信任問題。」Zero Trust 架構有三個主要方向:IAM 身份認證管理(如 SSO),ZTNA 零信任網絡訪問(替代 VPN)以及 micro-segmentation。「Guardicore 能在主機探測至進程級別的細粒度,保護本地、遠程和雲端的資產,靈活監控不同分段之間的數據流動,在協議層面、應用程式層面進行識別,從而阻擋 ransomware 的擴散。」
部署比FW、VLAN更快更輕鬆
講起 segmentation,有人可能會覺得複雜,對 Ops 帶來頗大挑戰,又擔心舊的系統又未必支援。「實際上 micro-segmentation 的優點很明顯:部署靈活、成本低、粒度更細、防護精準度高;又可以實現 hybrid 模式,統一集中管理。Guardicore 支援很多舊的系統,例如 Windows 2000。部署只需幾星期,後續的策略調整、設備遷移也輕鬆。」
企業應重新審視安全體系的彈性及擴展力
Victor 寄語企業檢討自己的網絡安全架構。「企業要重新審視其網絡安全架構是否適應目前雲化的基礎架構,安全體系的可適應性、彈性及擴展力。安全體系要以 Zero Trust 為原則,有步驟地去實施(on-premises、雲端),不斷減少受攻擊面,防護東西、南北流量。企業應該著眼長期的安全建設,特別對於那些合規要求比較高的企業,一定要計劃、有步驟地進行部署,在事發前、中及善後時都要有應急的預案。」
查詢網址:https://www.the-moxie.com/project/C121/