安全、成本與體驗并重：Akamai MFA護航全數(shù)字化工作場所轉(zhuǎn)型

3月29日消息 受全球新冠肺炎疫情影響，居家辦公將成為大多數(shù)公司的“新常態(tài)”。美國推特公司甚至宣布，將允許旗下所有員工“永久居家辦公”。

對于員工而言，這的確是個很大的便利；但對于企業(yè)的IT部門而言，卻是個巨大的挑戰(zhàn)。IT部門將不得不面對繁重的運維壓力和薄弱的遠(yuǎn)程安全防控能力挑戰(zhàn)，特別是層出不窮的網(wǎng)絡(luò)釣魚攻擊。如何解決在遠(yuǎn)程辦公的浪潮中，所面臨的數(shù)字化安全問題，需要CIO們仔細(xì)考慮。

作為負(fù)責(zé)提供安全數(shù)字化體驗的智能邊緣平臺，Akamai區(qū)域副總裁暨大中華區(qū)總經(jīng)理李昇指出：“中國區(qū)的企業(yè)很多都采用移動優(yōu)先策略來實施遠(yuǎn)程辦公，高度分散的遠(yuǎn)程區(qū)域辦公意味著企業(yè)需要關(guān)注面臨的風(fēng)險，特別是在實施訪問控制時防范風(fēng)險。Akamai針對性的推出了Akamai MFA解決方案，使用智能手機應(yīng)用程序?qū)F(xiàn)有智能手機轉(zhuǎn)變?yōu)橛布踩荑€，無需單獨部署和管理硬件安全密鑰，將成為向安全數(shù)字化工作場所轉(zhuǎn)型的強大催化劑。”

Akamai區(qū)域副總裁暨大中華區(qū)總經(jīng)理李昇

防范網(wǎng)絡(luò)釣魚：安全、成本與體驗并重

Akamai亞太及日本地區(qū)企業(yè)安全產(chǎn)品管理高級總監(jiān)Nick Hawkins指出，隨著公司資產(chǎn)不斷向線上遷移并且對地點的依賴性日益降低（遠(yuǎn)程工作隊伍、基于云的內(nèi)部應(yīng)用等），應(yīng)用安全和訪問控制也必須更新?lián)Q代。

Akamai亞太及日本地區(qū)企業(yè)安全產(chǎn)品管理高級總監(jiān)Nick Hawkins

在眾多防護手段中，多因素身份驗證（MFA）通常被視為一項對身份認(rèn)證訪問安全措施的重要補充，但許多企業(yè)機構(gòu)并沒有充分認(rèn)識到將MFA加入到訪問環(huán)境安全層所產(chǎn)生的影響。雖然與單因素的用戶名/密碼認(rèn)證相比，傳統(tǒng)的MFA能夠大大降低風(fēng)險，但由于它依靠個人來驗證和連接安全請求與審核，因此仍然容易被多種認(rèn)證安全規(guī)避方法所破解。所以它容易遭受一些類型的攻擊，包括網(wǎng)絡(luò)釣魚、中間人攻擊、重放攻擊和社會工程陷阱等。

解決傳統(tǒng)MFA問題的建議方法是使用基于FIDO2的認(rèn)證機制。該認(rèn)證機制會對登錄證書進行加密，并且這些證書永遠(yuǎn)不會離開用戶的設(shè)備。然而到目前為止，成功實現(xiàn)這種認(rèn)證的唯一方法是使用物理安全密鑰。但是要實施物理安全措施會產(chǎn)生前期硬件成本、長期管理和實施成本以及員工丟失密鑰和需要更換密鑰等令人頭疼的問題。

針對這一問題，Akamai MFA使用基于標(biāo)準(zhǔn)的身份驗證方法以及智能手機應(yīng)用程序來取代物理安全密鑰，為員工提供了可防范網(wǎng)絡(luò)釣魚的易用體驗。該解決方案利用的FIDO2可提供端到端加密和密封的請求/響應(yīng)流，使得企業(yè)在不增加成本的情況下獲得出色的多因素身份驗證安全性，并且提供了基于身份驗證需求增長而升級的簡單路徑。此外，方案還杜絕了提供物理安全密鑰所帶來的成本和物流問題，同時還能讓員工可以獲得更完美的體驗。

多維度入手：夯實多層次安全策略

對于企業(yè)級用戶而言，安全強度、實施成本和用戶體驗是三個最為關(guān)注的維度。在Akamai看來，企業(yè)安全始終需要在三者之間實現(xiàn)微妙的平衡。在大多數(shù)解決方案中，越是增加安全組件的強度，成本就越高并且用戶體驗通常會變得越差。

但作為一項比較獨特的創(chuàng)新解決方案，Akamai MFA可以同時滿足提高應(yīng)用安全，同時降低運營成本，改善用戶體驗三大訴求，為用戶和網(wǎng)絡(luò)安全團隊提供了更強大、更安全的體驗，同時幫助企業(yè)機構(gòu)實現(xiàn)安全、成本和用戶體驗之間的最佳平衡。

當(dāng)然，Akamai MFA只是Akamai整體安全解決方案的拼圖之一。Nick Hawkins指出，企業(yè)級安全必須是一個多層次的安全策略。MFA是用戶訪問驗證的一個組成部分，應(yīng)被放入一個更大的應(yīng)用訪問安全架構(gòu)中，該架構(gòu)應(yīng)能夠驗證身份、確定訪問權(quán)限并且還可以確定設(shè)備的健康和狀態(tài)，并與企業(yè)機構(gòu)的首選身份提供程序（IDP）集成。比如Akamai的Enterprise Application Access很好地展示了如何將所有這些元素整合到一個安全應(yīng)用訪問解決方案中。

該實踐中，來自IDP的信息可以用于確定哪些組的員工可以訪問哪些應(yīng)用。然后，可以使用Akamai MFA等解決方案向用戶發(fā)出安全訪問驗證請求，確保訪問應(yīng)用的用戶獲得授權(quán)和相關(guān)的認(rèn)證。此外，還可以通過設(shè)備狀態(tài)驗證等附加檢查來確認(rèn)用于訪問的設(shè)備是否符合所有相關(guān)的安全標(biāo)準(zhǔn)，比如操作系統(tǒng)補丁級別、磁盤加密等。如果設(shè)備未通過所有驗證檢查，設(shè)備狀態(tài)驗證程序?qū)⒔蛊湓L問應(yīng)用，即使用戶已獲得授權(quán)和認(rèn)證也不例外。

在可用性方面，Akamai MFA部署在Akamai智能邊緣平臺之上，可通過具有韌性和性能的、全球覆蓋的Enterprise Center進行集中激活和管理。該服務(wù)可與Microsoft Azure AD、Okta和Akamai自己的Enterprise Application Access等市場領(lǐng)先的身份提供程序相集成。對于安全Shell（SSH）和Windows登錄用例，該服務(wù)還支持其他集成。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。