重定義邊界網絡安全:混合才是未來

發布日期:2017-12-13首頁 > IT資(zī)訊

随着信息進一(yī)步湧向雲端,邊界安全的角色正在發生(shēng)改變,逐漸成爲網絡安全多維解決方案的一(yī)部分(fēn)。


705-1G213164002494.jpg
 

邊界防禦的出現,跟服務器本身一(yī)樣古老。說出邊界防禦這詞兒,腦海中(zhōng)就會自然浮現這麽一(yī)幅圖景:上鎖的房間中(zhōng),一(yī)排排超大(dà)型機櫃在嗡嗡作響,還有防火(huǒ)牆将機器與外(wài)部世界隔離(lí)開(kāi)。但除非你在爲CIA幹活,否則這場景不太可能是你的日常所見。相反,你保護的數據存于雲端,通過筆記本電(diàn)腦和手機滿世界流動。API接入,電(diàn)子郵件發出。當信息遍布各處,安全也必須無處不在,讓那些還記得服務器真身的人疑惑,現在還會有邊界防禦這種東西嗎(ma)?

  一(yī)、從邊界到授權

邊界是個非常局限的想法,在一(yī)個充滿WiFi和雲的世界中(zhōng),這種東西早已七零八落了。情況變了,我(wǒ)們一(yī)貫倚賴的邊界,不再那麽可靠。在以前,IT人員(yuán)可以說,如果你在我(wǒ)們的網絡上——在我(wǒ)們硬線連接的物(wù)理網絡上,那就有安全協議;如果你跟我(wǒ)們的網絡物(wù)理連接,我(wǒ)們可以信任你。

雲時代以前,邊界受到殺毒軟件掃描或終端防護工(gōng)具之類内部防禦的強化。但時移世易,如今僅靠邊界本身已不足夠。隻要進入内部,簡直爲所欲爲。這就像是因爲鎖了大(dà)門就不再使用保險箱一(yī)樣。如此看來,最佳實踐一(yī)直沒變:安排“後衛”一(yī)向都是個好想法。

然而,我(wǒ)們越快摒棄邊界這種想法越好,因爲它會給人一(yī)種虛假的安全感。在一(yī)個員(yuán)工(gōng)分(fēn)布各地,用各種設備工(gōng)作的世界裏,邊界已經不存在了。如今,是授權而非防火(huǒ)牆,才是防止員(yuán)工(gōng)淩晨2點從拉斯維加斯登錄公司銀行賬戶的。授權一(yī)直以來都被認爲是種内部防禦。

無論捕獲從賭城登錄行爲的是何種安全措施,這種非正常的登錄是很明顯的。但對于美國肯塔基丹維爾市的私立中(zhōng)心學院來說,淩晨2點從倫敦、上海和斯特拉斯堡登錄都是可以的。其85%的學生(shēng)至少會有一(yī)次海外(wài)學習經曆,可以登錄該學院的學習管理系統、電(diàn)子郵件系統和校園内網,無論他們身處何地。

  二、基于身份

與任何一(yī)所學院一(yī)樣,中(zhōng)心學院的數據鏈從高中(zhōng)生(shēng)聯系招生(shēng)辦就開(kāi)始了,貫穿4年大(dà)學學習生(shēng)涯,然後是畢業生(shēng)的餘生(shēng)。于是,從在校生(shēng)社會安全号到畢業生(shēng)捐款銀行信息,所有的一(yī)切都需要保護好。另外(wài),與所有用人單位一(yī)樣,雇員(yuán)信息也在需保護的數據之列。

中(zhōng)心學院更依靠邊界防禦來保護數據,而不是跟着趨勢預測走:幾年前,所有文章都說“邊界已死,不用管防火(huǒ)牆了”。這一(yī)理念流行了一(yī)段時間後,“哎呀,你真的還需要照看好防火(huǒ)牆哦。千萬别忽視了它。”幸運的是,邊界安全起起落落,但防火(huǒ)牆、入侵檢測系統和入侵預防系統從未在中(zhōng)心學院失去(qù)它們的地位:包含雇員(yuán)及學生(shēng)個人可識别信息(PII)的企業資(zī)源規劃(ERP)軟件,依然處于傳統邊界罩護之下(xià)。

當然不是所有東西都有邊界包圍,也不應該有。就以學院劇場爲例,該劇場的SaaS票(piào)務平台,就是來自具備自身安全措施的供應商(shāng)。學生(shēng)電(diàn)子郵件也不再身處邊界之後,4年前就已遷移到了微軟 Office 365 上。然後還有其間流轉的全部信息,比如學院網站centre.edu的代碼。

反正該網站上沒什麽東西是真心不想公開(kāi)的。重要的不是防止數據滲出,而是保護網站不被黑。最後,大(dà)多數數據由混合系統防護,托管在學院通過雲來訪問的物(wù)理服務器上。這些服務器有實地邊界防禦,還有内部防禦保護其連接。

中(zhōng)心學院的這種操作就是明證,證明邊界正在改變。邊界和内部安全正演變成爲可在内部、雲端或二者之上運營的多層防禦。邊界不僅僅是物(wù)理邊界,這一(yī)概念随着時間推移而發生(shēng)了改變。

回到之前提出的淩晨2點從賭城登錄公司銀行賬戶的例子,僅僅基于登錄地點的安全措施顯然還不夠好。安全需要基于你的身份,以及你在特定時間點上想要做的事。

  三、邊界依然存在 隻是更加層次化

因此,安全的未來不在于邊界或内部,而是多層面防禦。沒什麽解決方案能覆蓋完全,但有很多不同層次的權限會随時間改變。

正如原始邊界防禦表征“通過的一(yī)定是良性的”,深度防禦能夠處理不同用例,并有效創建“安全區”——類似機場。于是,這并不是說用邊界阻隔外(wài)客,用内部防禦避免進入之後的麻煩,而是要在一(yī)個更高更細化的層次上評估數據和權限。

中(zhōng)心學院向這一(yī)新現實的轉變速度被人爲放(fàng)緩,IT部門預計要用10到12年。因爲他們并非占在新興技術的前沿,他們也慶幸自己沒有處于這個“邊緣”位置。該學院的安全方法也反映出了自身理念——不僅僅是爲了赢得内部買入預算的時間,也是爲了做出最有利于學院的決策。

  邊界确實存在,隻是發生(shēng)了變化,更加層次化了。

無論你在哪兒工(gōng)作,無論環境有多先進,很多地方實際上發現,自己安全方法的遷移,不過是爲了把信息再放(fàng)回到邊界之内。不管你是福特汽車(chē)公司還是中(zhōng)心學院這種小(xiǎo)組織,你做的決定都必須考慮到,什麽才是對公司使命真正重要的東西。