重新定義周界網(wǎng)絡(luò)安全：未來是一種混合模式

Terena+Bell著+Charles譯

“周界防御”的想法和服務(wù)器本身一樣古老——一提起這個(gè)詞，就讓人聯(lián)想起上鎖的機(jī)房間里嗡嗡作響的ENIAC那么大的機(jī)器，而防火墻把它們與外部環(huán)境分隔開來。當(dāng)然，您的實(shí)際情況不會(huì)是這樣的——除非您為中央情報(bào)局工作。相反，您所保護(hù)的數(shù)據(jù)是在云中，在世界各地的筆記本電腦和手機(jī)上流入流出。當(dāng)信息無處不在時(shí)，安全也必須如影隨形，讓那些還記得實(shí)體服務(wù)器的人甚至感覺不到還有防護(hù)周界的存在。

Keith Casey指出：“周界是一個(gè)非常有限的概念，在WiFi和云世界中完全被打破了。”除了擔(dān)任多家創(chuàng)業(yè)公司的顧問之外，Casey還是舊金山的身份驗(yàn)證云提供商Okta的API問題分析員。他解釋說：“我們不可能永遠(yuǎn)被圈在安全邊界里，因此，現(xiàn)在的情況完全不同了。以前，IT可以說，如果您在我們的網(wǎng)絡(luò)上——在我們的物理實(shí)體網(wǎng)絡(luò)上，那我們會(huì)為您提供安全協(xié)議保證。如果您有實(shí)際的網(wǎng)絡(luò)訪問權(quán)限，我們可以信任您。”

在云之前，總是可以通過防病毒掃描或者端點(diǎn)防護(hù)工具等內(nèi)部防御措施來不斷增強(qiáng)這種安全周界。Casey指出，“不論以前還是現(xiàn)在，僅有周界本身是不夠的。如果我在里面，就能隨心所欲地活動(dòng)。這就像把前門鎖上了，所以不需要保險(xiǎn)箱。”如果這樣下去，最佳實(shí)踐就不會(huì)改變：有個(gè)“后衛(wèi)”總歸是個(gè)好主意。

然而，Casey說：“我們越早拋棄周界這種想法，就越好，因?yàn)樗o人一種虛假的安全感。”在這樣的一個(gè)世界上——員工在世界各地的多臺(tái)設(shè)備上工作，那么，我們曾經(jīng)熟悉的周界幾乎是不存在的。現(xiàn)在，他所說的所謂授權(quán)（不是防火墻），就是不能讓員工凌晨2點(diǎn)在拉斯維加斯登錄到您公司的銀行賬戶。傳統(tǒng)上，授權(quán)被認(rèn)為是一種內(nèi)部防御措施。

不論應(yīng)采用何種安全措施，從拉斯維加斯登錄都是不受歡迎的。在肯塔基丹維爾中心學(xué)院，凌晨2點(diǎn)來自倫敦、上海和斯特拉斯堡的登錄都是可能的。中心學(xué)院85%的學(xué)生至少在國外學(xué)習(xí)過一次，無論他們在哪里，都能夠訪問電子郵件、學(xué)院的學(xué)習(xí)管理系統(tǒng)和校園內(nèi)聯(lián)網(wǎng)。

像任何一所大學(xué)一樣，中心學(xué)院的數(shù)據(jù)鏈?zhǔn)加谝幻咧猩c招生人員的聯(lián)系，學(xué)生入學(xué)后的四年學(xué)習(xí)，然后畢業(yè)后成為校友，在余生里繼續(xù)參加學(xué)院的活動(dòng)，所有相關(guān)信息都記錄在數(shù)據(jù)鏈上。因此，高級(jí)系統(tǒng)和網(wǎng)絡(luò)協(xié)調(diào)員Shane Wilson必須保證從青少年社保號(hào)碼直至校友們捐贈(zèng)時(shí)所需的銀行資料等各方面的安全。還有，像任何工作場所一樣，也要保護(hù)員工數(shù)據(jù)。

對(duì)此，和趨勢預(yù)測相比，Wilson更依賴于周界防御，而趨勢預(yù)測的是——“幾年前，所有的文章都說，‘周界已經(jīng)消亡。再也沒有周界了。不要擔(dān)心防火墻，然后這作為概念存在了一段時(shí)間，再后來，‘哦，您真的還需要這樣做。不要忽視它。”幸運(yùn)的是，隨著周界安全問題日益嚴(yán)重，防火墻、入侵檢測系統(tǒng)和入侵防御系統(tǒng)在中心學(xué)院從未失去其地位：企業(yè)資源規(guī)劃（ERP）軟件——包含了員工和學(xué)生個(gè)人身份信息（PII），仍然處于傳統(tǒng)的安全周界內(nèi)。

Wilson承認(rèn)，任何東西周圍都沒有周界，也不應(yīng)該有。以學(xué)院劇場為例，它使用供應(yīng)商提供的自己有安全功能的SaaS票務(wù)平臺(tái)，學(xué)生的電子郵件也不在安全周界里面了。四年前，Wilson把它遷移到了微軟Office 365。然后是之間的所有信息，比如學(xué)院網(wǎng)站centre.edu的代碼。

Wilson說：“網(wǎng)站上的所有信息都是向外界敞開的。對(duì)此，重要的不是阻止信息滲出，而是不被黑掉。”最后，大部分?jǐn)?shù)據(jù)都受到了混合系統(tǒng)的保護(hù)，而該系統(tǒng)托管在學(xué)院通過云訪問的物理服務(wù)器上。這些服務(wù)器有本地防御、周界防御，以及內(nèi)部防御措施來保護(hù)連接。

Casey介紹說，這種做法證明了周界正在發(fā)生變化，周界和內(nèi)部安全正在向分層防御演變，在內(nèi)部運(yùn)行，在云中運(yùn)行或者兩者兼而有之。他說：“我們應(yīng)該知道，周界不是固定不變的，而是隨著時(shí)間的推移而不斷變化。”回到拉斯維加斯的例子，他補(bǔ)充說，“僅僅基于位置的安全措施是不夠的。我們應(yīng)該根據(jù)用戶是誰以及在那個(gè)具體的時(shí)刻想要干什么來保證安全。”

因此，安全的未來不在周界，也不在內(nèi)部。這是一種多方面的防御，看起來兩者都有點(diǎn)像。Casey繼續(xù)說：“我們的想法是沒有能涵蓋一切的解決方案，但是有很多隨著時(shí)間的推移而發(fā)生變化的不同等級(jí)的權(quán)限。”周界防御最初的說法是，“如果通過了，就一定會(huì)沒事”，他說，“縱深防御可以支持各種應(yīng)用情形，有效地建立有權(quán)限才能訪問的‘安全區(qū)——就像在機(jī)場一樣。”一旦進(jìn)入安全區(qū)，并不意味著周界不讓您出去，呆在里面就不會(huì)有麻煩。這實(shí)際上是按照更高等級(jí)要求，更巧妙的對(duì)數(shù)據(jù)和權(quán)限進(jìn)行評(píng)估。

Wilson說：“Casey是對(duì)的。周界確實(shí)存在，只是有所不同——它更優(yōu)先。”

中心學(xué)院有意放緩了向這一新現(xiàn)實(shí)的過渡，大概需要10到12年的時(shí)間。Wilson承認(rèn)，“我們不是最前沿的，但我們很高興沒有這樣做。”中心學(xué)院是一所小規(guī)模的文科學(xué)院，其聲譽(yù)在于教會(huì)學(xué)生在作出決定之前獨(dú)立進(jìn)行合乎邏輯的思考。Wilson的安全措施必須考慮到學(xué)院的因素，因?yàn)橹挥羞@樣做，他才能得到內(nèi)部支持，而且他的部門也能做出對(duì)學(xué)院最有利的決定。他補(bǔ)充道，“坦白地說，我的信息也在這個(gè)系統(tǒng)中，確保我們的系統(tǒng)是安全的，這也符合我自己的最大利益。”

無論您在哪里工作，也不論環(huán)境怎樣變化，都是如此。Wilson說，“很多地方實(shí)際上發(fā)現(xiàn)他們已經(jīng)把東西遷走了，為的是把這些信息放回到安全周界里。”他總結(jié)說，您做出決定時(shí)必須考慮到“無論是福特汽車公司還是中心學(xué)院，對(duì)于企業(yè)使命來說，什么才是是真正重要的。”endprint