云安全

随着信息进一步涌向云端,边界安全的角色正在发生改变,逐渐成为网络安全多维解决方案的一部分。

边界防御的出现,跟服务器本身一样古老。说出边界防御这词儿,脑海中就会自然浮现这么一幅图景:上锁的房间中,一排排超大型机柜在嗡嗡作响,还有防火墙将机器与外部世界隔离开。但除非你在为CIA干活,否则这场景不太可能是你的日常所见。相反,你保护的数据存于云端,通过笔记本电脑和手机满世界流动。API接入,电子邮件发出。当信息遍布各处,安全也必须无处不在,让那些还记得服务器真身的人疑惑,现在还会有边界防御这种东西吗?

一、从边界到授权

边界是个非常局限的想法,在一个充满WiFi和云的世界中,这种东西早已七零八落了。情况变了,我们一贯倚赖的边界,不再那么可靠。在以前,IT人员可以说,如果你在我们的网络上——在我们硬线连接的物理网络上,那就有安全协议;如果你跟我们的网络物理连接,我们可以信任你。

云时代以前,边界受到杀毒软件扫描或终端防护工具之类内部防御的强化。但时移世易,如今仅靠边界本身已不足够。只要进入内部,简直为所欲为。这就像是因为锁了大门就不再使用保险箱一样。如此看来,最佳实践一直没变:安排“后卫”一向都是个好想法。

然而,我们越快摒弃边界这种想法越好,因为它会给人一种虚假的安全感。在一个员工分布各地,用各种设备工作的世界里,边界已经不存在了。如今,是授权而非防火墙,才是防止员工凌晨2点从拉斯维加斯登录公司银行账户的。授权一直以来都被认为是种内部防御。

无论捕获从赌城登录行为的是何种安全措施,这种非正常的登录是很明显的。但对于美国肯塔基丹维尔市的私立中心学院来说,凌晨2点从伦敦、上海和斯特拉斯堡登录都是可以的。其85%的学生至少会有一次海外学习经历,可以登录该学院的学习管理系统、电子邮件系统和校园内网,无论他们身处何地。

二、基于身份

与任何一所学院一样,中心学院的数据链从高中生联系招生办就开始了,贯穿4年大学学习生涯,然后是毕业生的余生。于是,从在校生社会安全号到毕业生捐款银行信息,所有的一切都需要保护好。另外,与所有用人单位一样,雇员信息也在需保护的数据之列。

中心学院更依靠边界防御来保护数据,而不是跟着趋势预测走:几年前,所有文章都说“边界已死,不用管防火墙了”。这一理念流行了一段时间后,“哎呀,你真的还需要照看好防火墙哦。千万别忽视了它。”幸运的是,边界安全起起落落,但防火墙、入侵检测系统和入侵预防系统从未在中心学院失去它们的地位:包含雇员及学生个人可识别信息(PII)的企业资源规划(ERP)软件,依然处于传统边界罩护之下。

当然不是所有东西都有边界包围,也不应该有。就以学院剧场为例,该剧场的SaaS票务平台,就是来自具备自身安全措施的供应商。学生电子邮件也不再身处边界之后,4年前就已迁移到了微软 Office 365 上。然后还有其间流转的全部信息,比如学院网站centre.edu的代码。

反正该网站上没什么东西是真心不想公开的。重要的不是防止数据渗出,而是保护网站不被黑。最后,大多数数据由混合系统防护,托管在学院通过云来访问的物理服务器上。这些服务器有实地边界防御,还有内部防御保护其连接。

中心学院的这种操作就是明证,证明边界正在改变。边界和内部安全正演变成为可在内部、云端或二者之上运营的多层防御。边界不仅仅是物理边界,这一概念随着时间推移而发生了改变。

回到之前提出的凌晨2点从赌城登录公司银行账户的例子,仅仅基于登录地点的安全措施显然还不够好。安全需要基于你的身份,以及你在特定时间点上想要做的事。

三、边界依然存在 只是更加层次化

因此,安全的未来不在于边界或内部,而是多层面防御。没什么解决方案能覆盖完全,但有很多不同层次的权限会随时间改变。

正如原始边界防御表征“通过的一定是良性的”,深度防御能够处理不同用例,并有效创建“安全区”——类似机场。于是,这并不是说用边界阻隔外客,用内部防御避免进入之后的麻烦,而是要在一个更高更细化的层次上评估数据和权限。

中心学院向这一新现实的转变速度被人为放缓,IT部门预计要用10到12年。因为他们并非占在新兴技术的前沿,他们也庆幸自己没有处于这个“边缘”位置。该学院的安全方法也反映出了自身理念——不仅仅是为了赢得内部买入预算的时间,也是为了做出最有利于学院的决策。

边界确实存在,只是发生了变化,更加层次化了。

无论你在哪儿工作,无论环境有多先进,很多地方实际上发现,自己安全方法的迁移,不过是为了把信息再放回到边界之内。不管你是福特汽车公司还是中心学院这种小组织,你做的决定都必须考虑到,什么才是对公司使命真正重要的东西。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2018-01-04 10:29:19
云安全 微软等回应英特尔芯片漏洞:已发安全更新防止被利用
针对英特尔公司的芯片漏洞问题,微软公司在周三表示,已发布Windows更新防止这一芯片层面的安全漏洞被利用,并且正在为云服务开发更新。 <详情>
2018-01-03 14:56:11
市场情报 美创科技再次入选《中国网络安全企业50强》安全指数一路飙升
日前,企业级信息安全市场专业新媒体“安全牛”发布《中国网络安全企业50强》(2017年下半年),美创科技作为国内领先的数据安全厂商,再次强势入围榜单。 <详情>
2018-01-03 11:12:00
云安全 《中国网络安全企业50强》(2017年下半年)
根据本次调查报告的统计,入围50强的企业2017年上半年安全年收入总额为102.7亿元,相比2016年同期增长23%。结合企业自身预估的2017年全年收入,预计国内企业安全市场2017年 <详情>
2018-01-03 10:21:41
云安全 云安全:再见 2017,你好 2018!
随着越来越多的公司企业面临云迁移挑战,安全与合规,将成2018热门话题。2018年,几项重要新规将推动云安全迈向更高台阶,更好地保护消费者和终端用户,比如5月份就将完全 <详情>
2018-01-03 10:07:19
云安全 细数2017全球最惊心动魄的网络安全事件
2017年,对于全球互联网用户来说无疑是惊心动魄的一年。在这一年里,伴随永恒之蓝出现的勒索病毒席卷全球、美国中情局绝密文件被泄露、乌克兰遭黑客围攻……尤其是Wannacry <详情>