重定義邊界網路安全：混合才是未來

隨著信息進一步湧向雲端，邊界安全的角色正在發生改變，逐漸成為網路安全多維解決方案的一部分。

邊界防禦的出現，跟伺服器本身一樣古老。說出邊界防禦這詞兒，腦海中就會自然浮現這麼一幅圖景：上鎖的房間中，一排排超大型機櫃在嗡嗡作響，還有防火牆將機器與外部世界隔離開。但除非你在為CIA幹活，否則這場景不太可能是你的日常所見。相反，你保護的數據存於雲端，通過筆記本電腦和手機滿世界流動。API接入，電子郵件發出。當信息遍布各處，安全也必須無處不在，讓那些還記得伺服器真身的人疑惑，現在還會有邊界防禦這種東西嗎？

一、從邊界到授權

邊界是個非常局限的想法，在一個充滿WiFi和雲的世界中，這種東西早已七零八落了。情況變了，我們一貫倚賴的邊界，不再那麼可靠。在以前，IT人員可以說，如果你在我們的網路上——在我們硬線連接的物理網路上，那就有安全協議；如果你跟我們的網路物理連接，我們可以信任你。

雲時代以前，邊界受到殺毒軟體掃描或終端防護工具之類內部防禦的強化。但時移世易，如今僅靠邊界本身已不足夠。只要進入內部，簡直為所欲為。這就像是因為鎖了大門就不再使用保險箱一樣。如此看來，最佳實踐一直沒變：安排「後衛」一向都是個好想法。

然而，我們越快摒棄邊界這種想法越好，因為它會給人一種虛假的安全感。在一個員工分布各地，用各種設備工作的世界裡，邊界已經不存在了。如今，是授權而非防火牆，才是防止員工凌晨2點從拉斯維加斯登錄公司銀行賬戶的。授權一直以來都被認為是種內部防禦。

無論捕獲從賭城登錄行為的是何種安全措施，這種非正常的登錄是很明顯的。但對於美國肯塔基丹維爾市的私立中心學院來說，凌晨2點從倫敦、上海和斯特拉斯堡登錄都是可以的。其85%的學生至少會有一次海外學習經歷，可以登錄該學院的學習管理系統、電子郵件系統和校園內網，無論他們身處何地。

二、基於身份

與任何一所學院一樣，中心學院的數據鏈從高中生聯繫招生辦就開始了，貫穿4年大學學習生涯，然後是畢業生的餘生。於是，從在校生社會安全號到畢業生捐款銀行信息，所有的一切都需要保護好。另外，與所有用人單位一樣，僱員信息也在需保護的數據之列。

中心學院更依靠邊界防禦來保護數據，而不是跟著趨勢預測走：幾年前，所有文章都說「邊界已死，不用管防火牆了」。這一理念流行了一段時間後，「哎呀，你真的還需要照看好防火牆哦。千萬別忽視了它。」幸運的是，邊界安全起起落落，但防火牆、入侵檢測系統和入侵預防系統從未在中心學院失去它們的地位：包含僱員及學生個人可識別信息(PII)的企業資源規劃(ERP)軟體，依然處於傳統邊界罩護之下。

當然不是所有東西都有邊界包圍，也不應該有。就以學院劇場為例，該劇場的SaaS票務平台，就是來自具備自身安全措施的供應商。學生電子郵件也不再身處邊界之後，4年前就已遷移到了微軟 Office 365 上。然後還有其間流轉的全部信息，比如學院網站http://centre.edu的代碼。

反正該網站上沒什麼東西是真心不想公開的。重要的不是防止數據滲出，而是保護網站不被黑。最後，大多數數據由混合系統防護，託管在學院通過雲來訪問的物理伺服器上。這些伺服器有實地邊界防禦，還有內部防禦保護其連接。

中心學院的這種操作就是明證，證明邊界正在改變。邊界和內部安全正演變成為可在內部、雲端或二者之上運營的多層防禦。邊界不僅僅是物理邊界，這一概念隨著時間推移而發生了改變。

回到之前提出的凌晨2點從賭城登錄公司銀行賬戶的例子，僅僅基於登錄地點的安全措施顯然還不夠好。安全需要基於你的身份，以及你在特定時間點上想要做的事。

三、邊界依然存在 只是更加層次化

因此，安全的未來不在於邊界或內部，而是多層面防禦。沒什麼解決方案能覆蓋完全，但有很多不同層次的許可權會隨時間改變。

正如原始邊界防禦表徵「通過的一定是良性的」，深度防禦能夠處理不同用例，並有效創建「安全區」——類似機場。於是，這並不是說用邊界阻隔外客，用內部防禦避免進入之後的麻煩，而是要在一個更高更細化的層次上評估數據和許可權。

中心學院向這一新現實的轉變速度被人為放緩，IT部門預計要用10到12年。因為他們並非佔在新興技術的前沿，他們也慶幸自己沒有處於這個「邊緣」位置。該學院的安全方法也反映出了自身理念——不僅僅是為了贏得內部買入預算的時間，也是為了做出最有利於學院的決策。

邊界確實存在，只是發生了變化，更加層次化了。

無論你在哪兒工作，無論環境有多先進，很多地方實際上發現，自己安全方法的遷移，不過是為了把信息再放回到邊界之內。不管你是福特汽車公司還是中心學院這種小組織，你做的決定都必須考慮到，什麼才是對公司使命真正重要的東西。

推薦閱讀：