隨著信息進一步涌向云端,邊界安全的角色正在發(fā)生改變,逐漸成為網(wǎng)絡安全多維解決方案的一部分。
邊界防御的出現(xiàn),跟服務器本身一樣古老。說出邊界防御這詞兒,腦海中就會自然浮現(xiàn)這么一幅圖景:上鎖的房間中,一排排超大型機柜在嗡嗡作響,還有防火墻將機器與外部世界隔離開。但除非你在為CIA干活,否則這場景不太可能是你的日常所見。相反,你保護的數(shù)據(jù)存于云端,通過筆記本電腦和手機滿世界流動。API接入,電子郵件發(fā)出。當信息遍布各處,安全也必須無處不在,讓那些還記得服務器真身的人疑惑,現(xiàn)在還會有邊界防御這種東西嗎?
一、從邊界到授權
邊界是個非常局限的想法,在一個充滿WiFi和云的世界中,這種東西早已七零八落了。情況變了,我們一貫倚賴的邊界,不再那么可靠。在以前,IT人員可以說,日本游戲代理 歐洲服務器,如果你在我們的網(wǎng)絡上——在我們硬線連接的物理網(wǎng)絡上,那就有安全協(xié)議;如果你跟我們的網(wǎng)絡物理連接,directadmin安裝 directadmin漢化,我們可以信任你。
云時代以前,邊界受到殺毒軟件掃描或終端防護工具之類內(nèi)部防御的強化。但時移世易,如今僅靠邊界本身已不足夠。只要進入內(nèi)部,簡直為所欲為。這就像是因為鎖了大門就不再使用保險箱一樣。如此看來,最佳實踐一直沒變:安排“后衛(wèi)”一向都是個好想法。
然而,我們越快摒棄邊界這種想法越好,因為它會給人一種虛假的安全感。在一個員工分布各地,用各種設備工作的世界里,邊界已經(jīng)不存在了。如今,是授權而非防火墻,才是防止員工凌晨2點從拉斯維加斯登錄公司銀行賬戶的。授權一直以來都被認為是種內(nèi)部防御。
無論捕獲從賭城登錄行為的是何種安全措施,這種非正常的登錄是很明顯的。但對于美國肯塔基丹維爾市的私立中心學院來說,凌晨2點從倫敦、上海和斯特拉斯堡登錄都是可以的。其85%的學生至少會有一次海外學習經(jīng)歷,可以登錄該學院的學習管理系統(tǒng)、電子郵件系統(tǒng)和校園內(nèi)網(wǎng),無論他們身處何地。
二、基于身份
與任何一所學院一樣,中心學院的數(shù)據(jù)鏈從高中生聯(lián)系招生辦就開始了,貫穿4年大學學習生涯,然后是畢業(yè)生的余生。于是,從在校生社會安全號到畢業(yè)生捐款銀行信息,所有的一切都需要保護好。另外,與所有用人單位一樣,雇員信息也在需保護的數(shù)據(jù)之列。
中心學院更依靠邊界防御來保護數(shù)據(jù),而不是跟著趨勢預測走:幾年前,所有文章都說“邊界已死,不用管防火墻了”。這一理念流行了一段時間后,“哎呀,你真的還需要照看好防火墻哦。千萬別忽視了它。”幸運的是,邊界安全起起落落,但防火墻、入侵檢測系統(tǒng)和入侵預防系統(tǒng)從未在中心學院失去它們的地位:包含雇員及學生個人可識別信息(PII)的企業(yè)資源規(guī)劃(ERP)軟件,依然處于傳統(tǒng)邊界罩護之下。
當然不是所有東西都有邊界包圍,也不應該有。就以學院劇場為例,該劇場的SaaS票務平臺,就是來自具備自身安全措施的供應商。學生電子郵件也不再身處邊界之后,4年前就已遷移到了微軟 Office 365 上。然后還有其間流轉(zhuǎn)的全部信息,比如學院網(wǎng)站centre.edu的代碼。
反正該網(wǎng)站上沒什么東西是真心不想公開的。重要的不是防止數(shù)據(jù)滲出,而是保護網(wǎng)站不被黑。最后,大多數(shù)數(shù)據(jù)由混合系統(tǒng)防護,托管在學院通過云來訪問的物理服務器上。這些服務器有實地邊界防御,還有內(nèi)部防御保護其連接。
中心學院的這種操作就是明證,證明邊界正在改變。邊界和內(nèi)部安全正演變成為可在內(nèi)部、云端或二者之上運營的多層防御。邊界不僅僅是物理邊界,這一概念隨著時間推移而發(fā)生了改變。
回到之前提出的凌晨2點從賭城登錄公司銀行賬戶的例子,僅僅基于登錄地點的安全措施顯然還不夠好。安全需要基于你的身份,以及你在特定時間點上想要做的事。
三、邊界依然存在 只是更加層次化
因此,安全的未來不在于邊界或內(nèi)部,而是多層面防御。沒什么解決方案能覆蓋完全,但有很多不同層次的權限會隨時間改變。
正如原始邊界防御表征“通過的一定是良性的”,深度防御能夠處理不同用例,并有效創(chuàng)建“安全區(qū)”——類似機場。于是,這并不是說用邊界阻隔外客,用內(nèi)部防御避免進入之后的麻煩,而是要在一個更高更細化的層次上評估數(shù)據(jù)和權限。
中心學院向這一新現(xiàn)實的轉(zhuǎn)變速度被人為放緩,IT部門預計要用10到12年。因為他們并非占在新興技術的前沿,他們也慶幸自己沒有處于這個“邊緣”位置。該學院的安全方法也反映出了自身理念——不僅僅是為了贏得內(nèi)部買入預算的時間,也是為了做出最有利于學院的決策。
邊界確實存在,只是發(fā)生了變化,更加層次化了。
