在BYOD、专有和公共Wi-Fi以及其他接入方式的挑战下,日益多孔的企业边界让传统网络边界安全变得过时。
网络安全从军事、情报、医疗和人身安全领域借用了很多概念和想法,很多时候,这些概念很有帮助,但有时候也会误导人们。企业边界的概念就是一个很好的例子。
最初,安全架构是基于这样的前提,即网络边界安全可以在“内部”(专用线路、服务器、路由器以及受安全专业人员控制由用户使用的设备)构建,并可抵御“外部”(公共网络和外部设备)威胁。内部和外部之间的界限当然就是企业边界。具体而言,网络边界安全由防火墙以及其他受保护设备提供,这些设备物理地隔离企业基础设施与潜在不安全的公共设备及服务。
但现在企业边界内部和外部之间的这种分隔不复存在。用户越来越多地在企业外部工作,通过公共互联网或移动设备及服务来连接。企业数据和应用通常位于云端,并且,最重要的是,我们不能够再假定内部设备受到传统网络边界安全的保护:因为不断有内部人员攻击自己的企业,无论是有意还是不知情的情况下。
我们现在需要的是无边界保护:我们的架构应该是这样,无论用户、应用和资产位于何处,都可以保护它们,而不涉及企业边界。这种保护必须能够抵御长期、多面攻击,例如高级持续性攻击(APT)。
提供有效的网络边界安全
在这种架构中有几个关键构建块:
1. 数据丢失防护(DLP)
第一个关键构建块是DLP产品和应用,它们的形式包括硬件设备、软件应用和基于云的服务。它们可监控结构化数据(数据库、电子表格)以及非结构化数据(电子邮件、Word文档、多媒体文件)以确保只有具有访问权限的人可以查看或修改这些信息。假如索尼影业部署有效的DLP系统,他们就可以避免破坏性的攻击事故。DLP产品供应商包括:Blue Coat Systems、思科、Code Green Networks、GTB Technologies、McAfee、Sophos、赛门铁克、趋势科技、Digital Guardian和Websense。DLP产品中的主要功能包括实时性能、全面支持各种文件格式、协议、语言(并非所有文件都是英文)、易于管理和配置,以及有效整合政策。
2. 安全Web网关
与DLP产品一样,安全Web网关(SWG)的形式包括硬件设备、软件应用和基于云的服务。DLP与SWG的区别在于,虽然DLP产品监控企业的资产来抵御不当的查看、修改或共享,SWG还会流量来抵御恶意软件。SWG供应商包括Barracuda、Blue Coat、思科、McAfee、iSheriff、Sophos、赛门铁克、趋势科技、Websense和Zscaler。这些产品的主要功能包括实时性能、支持多种协议(IPSex和SSL)、沙箱技术、整合社交媒体以及支持移动设备。
3. 安全分析产品和框架
分析工具是安全信息和事件管理(SIEM)产品市场的产物。与SIEM产品一样,安全分析工具旨在发现安全事件,最好是在实时。而与这些工具不同的是,现代安全分析工具通常是基于大数据技术,例如Hadoop。它们通常会结合各种设备与产品来提供对企业安全状态的持续分析。安全分析产品供应商包括Agiliance、Blue Coat、Damballa、FireEye、Guidance Software、HP Arcsight、IBM、Lastline、LogRhythm、McAfee和Splunk。这些产品的主要功能包括与在线数据源的实时整合(保持更新的重要方式)、实时性能和警报,以及修复功能。
总结
企业边界已经消失,无边界时代的出现意味着安全专业人士需要重新考虑其安全架构,消除网络边界安全的假设。同时,这也意味着评估新产品和框架,并着眼于如何实现无缝集成。
原文发布时间为:2015-11-11