標籤:

重定義邊界網路安全:混合才是未來

隨著信息進一步湧向雲端,邊界安全的角色正在發生改變,逐漸成為網路安全多維解決方案的一部分。

邊界防禦的出現,跟伺服器本身一樣古老。說出邊界防禦這詞兒,腦海中就會自然浮現這麼一幅圖景:上鎖的房間中,一排排超大型機櫃在嗡嗡作響,還有防火牆將機器與外部世界隔離開。但除非你在為CIA幹活,否則這場景不太可能是你的日常所見。相反,你保護的數據存於雲端,通過筆記本電腦和手機滿世界流動。API接入,電子郵件發出。當信息遍布各處,安全也必須無處不在,讓那些還記得伺服器真身的人疑惑,現在還會有邊界防禦這種東西嗎?

一、從邊界到授權

邊界是個非常局限的想法,在一個充滿WiFi和雲的世界中,這種東西早已七零八落了。情況變了,我們一貫倚賴的邊界,不再那麼可靠。在以前,IT人員可以說,如果你在我們的網路上——在我們硬線連接的物理網路上,那就有安全協議;如果你跟我們的網路物理連接,我們可以信任你。

雲時代以前,邊界受到殺毒軟體掃描或終端防護工具之類內部防禦的強化。但時移世易,如今僅靠邊界本身已不足夠。只要進入內部,簡直為所欲為。這就像是因為鎖了大門就不再使用保險箱一樣。如此看來,最佳實踐一直沒變:安排「後衛」一向都是個好想法。

然而,我們越快摒棄邊界這種想法越好,因為它會給人一種虛假的安全感。在一個員工分布各地,用各種設備工作的世界裡,邊界已經不存在了。如今,是授權而非防火牆,才是防止員工凌晨2點從拉斯維加斯登錄公司銀行賬戶的。授權一直以來都被認為是種內部防禦。

無論捕獲從賭城登錄行為的是何種安全措施,這種非正常的登錄是很明顯的。但對於美國肯塔基丹維爾市的私立中心學院來說,凌晨2點從倫敦、上海和斯特拉斯堡登錄都是可以的。其85%的學生至少會有一次海外學習經歷,可以登錄該學院的學習管理系統、電子郵件系統和校園內網,無論他們身處何地。

二、基於身份

與任何一所學院一樣,中心學院的數據鏈從高中生聯繫招生辦就開始了,貫穿4年大學學習生涯,然後是畢業生的餘生。於是,從在校生社會安全號到畢業生捐款銀行信息,所有的一切都需要保護好。另外,與所有用人單位一樣,僱員信息也在需保護的數據之列。

中心學院更依靠邊界防禦來保護數據,而不是跟著趨勢預測走:幾年前,所有文章都說「邊界已死,不用管防火牆了」。這一理念流行了一段時間後,「哎呀,你真的還需要照看好防火牆哦。千萬別忽視了它。」幸運的是,邊界安全起起落落,但防火牆、入侵檢測系統和入侵預防系統從未在中心學院失去它們的地位:包含僱員及學生個人可識別信息(PII)的企業資源規劃(ERP)軟體,依然處於傳統邊界罩護之下。

當然不是所有東西都有邊界包圍,也不應該有。就以學院劇場為例,該劇場的SaaS票務平台,就是來自具備自身安全措施的供應商。學生電子郵件也不再身處邊界之後,4年前就已遷移到了微軟 Office 365 上。然後還有其間流轉的全部信息,比如學院網站centre.edu的代碼。

反正該網站上沒什麼東西是真心不想公開的。重要的不是防止數據滲出,而是保護網站不被黑。最後,大多數數據由混合系統防護,託管在學院通過雲來訪問的物理伺服器上。這些伺服器有實地邊界防禦,還有內部防禦保護其連接。

中心學院的這種操作就是明證,證明邊界正在改變。邊界和內部安全正演變成為可在內部、雲端或二者之上運營的多層防禦。邊界不僅僅是物理邊界,這一概念隨著時間推移而發生了改變。

回到之前提出的凌晨2點從賭城登錄公司銀行賬戶的例子,僅僅基於登錄地點的安全措施顯然還不夠好。安全需要基於你的身份,以及你在特定時間點上想要做的事。

三、邊界依然存在 只是更加層次化

因此,安全的未來不在於邊界或內部,而是多層面防禦。沒什麼解決方案能覆蓋完全,但有很多不同層次的許可權會隨時間改變。

正如原始邊界防禦表徵「通過的一定是良性的」,深度防禦能夠處理不同用例,並有效創建「安全區」——類似機場。於是,這並不是說用邊界阻隔外客,用內部防禦避免進入之後的麻煩,而是要在一個更高更細化的層次上評估數據和許可權。

中心學院向這一新現實的轉變速度被人為放緩,IT部門預計要用10到12年。因為他們並非佔在新興技術的前沿,他們也慶幸自己沒有處於這個「邊緣」位置。該學院的安全方法也反映出了自身理念——不僅僅是為了贏得內部買入預算的時間,也是為了做出最有利於學院的決策。

邊界確實存在,只是發生了變化,更加層次化了。

無論你在哪兒工作,無論環境有多先進,很多地方實際上發現,自己安全方法的遷移,不過是為了把信息再放回到邊界之內。不管你是福特汽車公司還是中心學院這種小組織,你做的決定都必須考慮到,什麼才是對公司使命真正重要的東西。

推薦閱讀:

教你分析知乎用戶系列之一
挖到CVE是一種什麼感受?
花無涯FAQ答疑係列之「如何成為一名黑客」

TAG:网络安全 |