时至今日,我们需要对安全思路及审视角度进行显著扭转,从而将关注重点真正放在企业数据的实际所处位置。在这种情况下,防火墙机制则开始一步步淡出我们的主流关注视野。
防火墙方案只能保护企业数据曾经所处的位置,却无法适应目前的实际要求:目前大量员工开始以分布方式利用移动设备接入企业网络,并由此建立指向云环境的通路。有鉴于此,对全部企业数据加以保护的惟一途径就是将企业级安全措施推广到员工设备以及各类云应用程序当中。但实际情况在于,业务数据已经几乎不再受到企业网络边界的局限。那么IT专业人士为什么还要使用防火墙这种仅仅适合过去那种简单需求的安全解决方案?
在这方面,惯性恐怕要负起最大的责任。考虑到防火墙长久以来在企业当中的重要地位:早在上世纪八十年代末,防火墙就已经成为网络保护领域的核心组成部分。IT部门在此类方案身上投入了大量时间与精力(大家一定还记得当初的防火墙实现流程到底有多么杂乱而繁复),很多企业自然会继续把防火墙视为业务安全保障的基石,并在面临新型安全风险时首先想到加大对防火墙机制的投入。不过无论是现有内部方案还是下一代机制,防火墙这类产品与安全基石概念间的距离已经越来越远——我们甚至可以说,现在是时候将其剔除出IT部门的关注视野了。
在仍然将防火墙作为主要防御阵线的业务环境当中,安全威胁正越来越多地找到突破口被得以渗透进来。为了真正把注意力从防火墙身上转到企业数据实际驻留的位置,我们需要真正对自己的安全审视角度作出扭转。而作为这项工作的第一步,我们应当放弃防火墙这类解决方案。
在新型安全实践方案当中,我们需要关注两大核心要点,从而淘汰以往以边界为保护重心的陈旧机制:
数据会同时驻留在企业服务器以及未受保护的员工设备当中
员工们开始越来越多地将快速而便捷的工作方式作为主要业务处理手段。这往往意味着他们会将来自企业计算机以及个人移动手机或平板设备的业务数据共享并同步至Dropbox或者Office 365等云服务当中。与此同时,IT部门却往往对此一无所知:在最近的一份Ponemon调查报告中我们看到,有81%的IT部门根本没有意识到自身有多少敏感数据被保存在了移动设备以及云端。这些设备及云共享应用程序并不一定需要跨越企业网络来执行,而常常凭借着现有公共热点及高速蜂窝数据即可实现传输。
企业数据最终将变得无处不在
这样的习惯在与企业相关的所有群体当中都广泛存在——包括内部员工、承包商、供应商、合作伙伴以及客户等等——而这显然会最终导致业务数据变得无处不在。因此,我们需要帮助这些群体实现数据保护。更糟糕的是,某些使用习惯往往隐藏在暗处,我们无法确定实际安全需求(或者要求)是否得到了严格执行。
从另一个角度来看,这也意味着如今的数据正以非加密方式存在——或者说处于可受攻击状态——于员工的个人设备之上,而其原本应该完全处于企业内部网络的控制之下。具体来讲,防火墙已经无法对其加以有效保护。
说到这一点,企业往往热衷于构建一套更加坚固、更难以突破的网络保护墙。然而由于数据已经不再局限于网络环境,因此对于此类防火墙的高度依赖反而日益成为最可怕的威胁之一。
了解关于防火墙的三大真相
接下来,我们就从三种实践入手,了解如何在防火墙之外真正保护企业的信息安全。
1.不再受限于传统系统。 尽管下一代防火墙当中包含有深层数据包检测与云令牌机制,但其仍然不足以保护由员工设备上传及下载自消费级云服务的敏感数据。没错,最新一代防火墙确实拥有应用程序识别功能,因此能够避免经过企业方面配置的设备访问某些未经批准的云应用。然而由于员工往往会出于提高生产效率的考量而破坏此类规定,他们仍然能够很轻松地利用自己的个人设备访问这些“必要”的生产力应用程序——无论是通过外部环境实现还是使用移动设备所提供的蜂窝数据传输机制。
为了保护这些分散于消费级云环境以及最终用户设备上的数据,IT部门需要拿出一套能够与现有消费云产品相协作的解决方案——而非一味与其对抗或者加以禁止。这类解决方案应当加入强大的管理能力,并在不破坏用户体验的前提下实现严格控制。
2. 不要加入额外的复杂性元素。另一种常见的解决方案是利用企业级处理措施对消费级应用程序加以禁止——或者限制消费级应用程序的使用方式。这种思路同样难以奏效。理由很简单,很多专业人士会在第一时间使用Dropbox,因为这能够极大提高实际工作效率; 如果我们的附加安全或者备用解决方案过于笨拙或者破坏了云服务的最大优势,人们会倾向于利用非安全性方式加以回避。我们已经告别了以往那种强迫用户改变行为习惯的时代,如今真正的挑战是在允许员工使用应用程序与切实保护敏感企业数据之间找到理想的平衡点。
3. 控制、控制、再控制。无论在哪个领域,安全性必须严格遵循文件指导。将端到端加密延伸至设备当中能够帮助企业有效解决文件同步与远程办公之间存在的合规性差距。而一套集中式仪表板则允许大家清楚地观察到组织内部的各种操作活动,从而帮助我们快速发现异常状态。另外,大家还应该有能力根据需求对数据访问加以阻止——即使是那些处于离线状态的设备,同时清除指向加密文件的访问请求。
以上各项举措都必须被引入消费级云环境当中。单纯在服务器端进行加密还远远不够,而且如果员工不感兴趣、打造自己的企业云应用也很难解决问题。总体来讲,我们需要对存在于各种位置的企业数据进行严格保护。否则,大家只会发现自己在空壳之外建立起了保护之墙,而敏感数据仍然实际暴露在存在着各种变数的风险环境之下。说得直接一点,这种状况完全就是“安全”一词的相反含义。