思杰Citrix谈IT安全的演进:安全已不再限于“城墙”之内

企业网过去被视为堡垒,由防火墙提供保护,而VPN则作为看门人。在当今的混合云世界中,这种方法也有不足之处。相反,企业需要的是混合多云世界的安全架构,这已经成为基本要求。

中世纪的城市被城墙保护着,陌生人经过检查后看门人才会让他们进去。如今的现代大都市地区,离不开电力、互联网、国际供应链和通勤的上班族,不可能以这种方式加以保护。同样,企业网过去被视为堡垒,由防火墙提供保护,而VPN则作为看门人。在当今的混合云世界中,这种方法也有不足之处。相反,企业需要的是混合多云世界的安全架构,这已经成为基本要求。

中国的数字经济蓬勃发展,有报告指出,2020-2025年中国数字经济年均增速将保持在15%左右 1 。数字化已经渗透到我们生活的方方面面,尤其是我们的工作环境。我们越来越依赖智能设备、始终在线的网络、互联网和云服务——无论是在工作中还是在我们的日常生活中。疫情和由此引发的隔离进一步加速了这一演变,微信等通讯工具让人们适应了社交距离,而数字工作场所、在线协作和基于云的视频会议则让学校课程得以继续,企业得以运转。

工作的新世界:移动和远程办公成为很多企业的新常态

对于业务工作来说,此次疫情就像一个名副其实的涡轮增压器:人们过去习惯于在办公室工作,偶尔也在家办公,但疫情已经让移动、分散式工作成为很多企业的新常态。从技术角度来看,这意味着:互联网是新的企业网络,本地业务应用程序被加入了大量的Web应用程序和云服务。

受疫情影响,端点的数量也有了相当大的增长,大量私人拥有的笔记本和移动设备被用于家庭办公。总的来说,对于很多以前的上班族来说,工作环境已经变得更加现代化:从传统的工作场所转变为与地点无关的数字工作场所,工作不再是上下班去办公室打卡,而是可以在任何地方从事的活动。

安全面临新挑战,必须作为企业数字化战略的关键组成部分

疫情也加速了很多重要的趋势,包括安全方面的趋势。甚至在疫情之前,专家们就认为,躲在数字城堡里觉得自己很安全的做法早就行不通了。这场危机让人们更加关注与数字化转型相关的风险。企业最关注的是信息安全,想知道怎样在分散式环境中保护内部企业数据(开发计划、产品路线图、客户和员工数据等),使其免受勒索软件以及工业间谍或者其他滥用行为的侵害。

更糟糕的是,管理个人身份信息(PII)操作的法规越来越严格,实际上迫使企业为数据保护、数据流和数据使用的可追溯性设定更高的标准——关键词是“合规”和“数据主权”。然而,与此同时,无论采取何种保护措施,保持员工的工作效率仍然很重要:安全总是伴随着一些额外的障碍,但这既不能干扰员工的工作活动,也不能影响他们自己安全行事的动机。如今的目标不是安全或良好的用户体验选其一,而是要同时保证。

企业决策者已经认识到,安全必须是其数字化战略的关键组成部分。根据端点安全专家卡巴斯基的一项调查,未来三分之一的IT预算将用于安全领域。

远程工作时代的安全

如此背景下,一种观点逐渐显现出来——如果越来越多的用户和应用程序使用互联网,而部分终端设备不再受内部IT的控制,那么必须彻底改变安全概念。甚至在疫情隔离期之前,通信流已经明显地从内部网络转移到外部网络,因此必须保证远程工作环境的安全。众所周知的公式“内部=好,外部=差”,甚至在疫情之前就不再有效了,而现在,每个人都应该清楚地看到这一点。这就是为什么零信任机制正在取代过时的城堡思维。

“零信任”是指IT安全系统将所有设备视为未知设备,并根据“最少特权”原则对待所有用户,用户只能访问那些在特定时刻获得授权的资源。这意味着安全软件检查用户是否有权进行每一次网络访问和应用程序请求。这与传统的基于VPN的方法形成了鲜明的对比:任何拥有VPN密码的人都可以进入“城堡”,然后可以相对自由地移动。然而,在现代的零信任环境中,安全分析软件一直在监视用户和设备行为是否符合策略。使用人工智能和机器学习技术可以自动分析异常、异常现象和异常行为。当一个用户突然表现出与平常非常不同的行为时,例如,由于用户帐户被劫持,那么这项功能便发挥作用了。

通过云保护云

不仅仅是用户和他们的设备需要被持续监测,还有应用程序方面,因为越来越多的应用程序是以SaaS应用和云实例为特征的。相应的,后者也面临着各种风险:从DDoS(分布式拒绝服务,捆绑分布式请求故意使服务器群过载)到利用漏洞(在某些情况下是众所周知的漏洞)来窃取数据或者进行工业间谍活动。在这里,一种重要的防御机制是通过所谓的WAAP(Web应用程序和API保护)或ADC(应用程序交付控制器)在应用程序层面进行数据流控制。这些安全工具过去是企业网中的设备,如今它们越来越多地被动态部署为云环境中的实例。它们检查与应用程序和云服务的通信是否存在恶意请求,然后会拒绝转发这些请求。应用程序级防御现在是云的标准组成,也是企业安全的标准组成。

企业使用的云资源越多,通信流的变化就越大:数据流不再发生在企业数据中心的本地客户端和服务器之间,而是发生在移动用户(无论他们在哪里)和云(无论物理云数据中心在哪里)之间。这反过来意味着,数字化和云资源的使用越深入,传统的VPN就越不合理。这是因为VPN通常会将用户访问重定向到企业数据中心。然而,如果用户实际想要访问的是Microsoft 365等SaaS应用程序,VPN就相当于绕道而行,根据物理定律,这会增加延迟,从而减慢应用程序访问速度,损害用户体验。

这必须通过各种手段加以防止——毕竟,即使在分散式环境中,企业也希望保持员工的工作效率不变。Gartner表示,他们称之为SASE(Secure Access Service Edge,安全访问服务边缘)的安全架构将成为未来的安全概念:SASE将基于云的网络和安全服务相结合,取代防火墙、VPN和其他本地安装的安全设备。在网络方面,SD-WAN(软件定义的广域网)优化用户访问性能,例如,自动将Microsoft 365请求路由到最近的Azure Hub,为视频会议选择服务质量最好的连接。在安全方面,SASE通过一系列安全服务来完善这种混合云优化网络:基本网络安全、CASB(云访问安全代理,即保护用户访问云的实体)、零信任、安全Web网关、FWaaS(防火墙即服务,即基于云的防火墙功能),以及其他服务。Gartner认为,零信任和SASE是当前九大安全主题中的两个,这是有充分理由的。

安全紧随应用程序进入云端

简言之,随着应用程序出现在云端,安全堆栈现在也将从本地部署转移到云中。然而,这一演变仍处于早期阶段:很多企业正是出于安全原因而一直在尽力采用云计算,因此,现在要从云端获得安全功能时,心理上会很难接受。但是在这方面,就像SaaS一样,云专家一般可以提供至少与客户公司IT部门一样严密的安全功能。

然而,这一演进阶段可能需要一段时间,一些安全功能还会保留在本地,至少暂时如此。一个例子是DLP(数据泄漏预防)以及验证PII的处理是否符合规定。这是因为这些功能对了解要保护的信息环境提出了很高的要求——从数据集的重要性到企业内部流程和文档工作流的各个方面。因此,在可预见的未来,IT安全仍将是混合的:本地安全和云相辅相成。

尽管城墙外的安全基础设施和面向云的安全基础设施都发生了变化,但有一点是不变的:安全合作伙伴生态系统仍然非常重要。没有一家供应商——即使是零信任或者SASE早期应用者,能够完全靠自己为公司提供全面的保护。因此,为“工作的未来”建立可靠的安全供应商生态系统是非常重要的,要涵盖整个需求链:从生物特征识别多重身份验证以便可靠的证明用户身份的身份管理,到应用程序和云安全;从反勒索软件到零信任和SASE;从确保工业控制系统的安全到发现威胁——任何地方都会有发展空间,甚至在基于云的安全世界里,专家们都有机会填补空白。

最后而且也非常重要的是,有一个因素仍然是一样的:尽管有各种创新,但企业不能忽视备份,也不能放弃对员工持续进行安全意识培训。毕竟,防范网络钓鱼和勒索软件这两种广为诟病的攻击最有效的“堡垒”是细心的员工,他们不会打开可疑的电子邮件,会向IT部门报告可疑的电子邮件,同时以在线和离线的方式备份数据——最好是在外部站点上备份。

结论:安全已不再限于城墙之内

疫情推动了未来的工作,现在必须而且将来也一定会在“安全的未来”方向上实现类似的飞跃。企业IT进入云端的旅程已经历时数年了,而且仍在进行中:大部分企业仍处于云转型的过程中——而且最近由于应对疫情而加快了进度。尽管如此,2020年是第一个投资于云的资金超过本地IT基础设施的年份。下一演进阶段将是让云更加安全。这也很可能是令很多企业举步维艰的一个阶段。因此,与绝大多数企业的云基础设施一样,未来几年的安全也将是混合的。

在为安全的未来工作选择合适的提供商时,企业最重要的一点是要有选择的自由——不仅在选择解决方案时,而且在决定他们希望以多快的速度将单个安全组件迁移到云上时也是如此。然而,从长远来看,这可能是分散式员工保持工作效率的唯一途径:通过集成了IT安全功能的基于云的数字工作场所,以及覆盖所有必要安全功能的合作伙伴生态系统。

早在中世纪,随着城市居民冒险走出城墙,与远方的商业伙伴进行贸易和交流知识,人们提升了生产力,不断繁荣发展。那时,沿着贸易路线的旅程是艰难而危险的。然而,如今,企业可以将他们的城墙抛在身后,而风险要小得多。他们所要做的就是确保他们的数字工作场所集成了现代安全机制,并且他们可以依靠值得信赖的合作伙伴来解决所有剩余的安全问题。

来源:业界供稿

0赞

好文章,需要你的鼓励

2021

05/19

18:45

分享

点赞

邮件订阅
白皮书