如今不论是买了部手机,还是换了台电脑,开机后都会有连接互联网的步骤,这些点点滴滴的积累逐渐汇聚为万物互联的洪流喷薄而出,各种不安因素也防不胜防。随之而来的还有网络边界日益模糊、身份鱼龙混杂、数据泄露等各类安全挑战。不过如果企业网络能够基于意图进行动态智能隔离的话,那会比零信任策略还要靠谱哟。
什么叫基于意图隔离
基于意图的隔离,就是通过结合AI,能够根据业务意图来分解业务和安全需求,然后动态地应用安全协议,包括实现机器速度下的检查与隔离。其如同基于意图的网络能够捕捉业务意图,并在整个网络范围实施策略和网络状态感知一样,基于意图的隔离能够将工作流需要访问的服务和资源,转换为特定的隔离策略实施,一路沿着业务路径来保护并隔离它。
这就像当检测到一个文件是恶意文档时,杀毒软件会将其自动隔离起来,不至于传染给其他一个文件一样。当然基于意图的隔离能做的,可不只有这个。除了在前端理解业务意图外,基于意图的隔离要依赖于一个集成安全框架,该框架使部署在网络不同部分的不同工具能够相互看到和交互。这会使部署者能够检测和响应分布环境中任何地方发生的威胁,并动态地调整管理网络区块的策略。
进入数字化转型时代,市场要求企业以更快的速度响应客户和消费者的业务需求。而为了确保此种隔离进度,在移动化环境下企业也就需要这种可结合AI并基于意图的隔离提供安全支撑。
零信任策略有软肋
网络世界中威胁可不仅仅来自于外部,致使当下的企业网络逐步向“零信任”策略模型靠拢。在“零信任”网络中,不再有可信的设备、接口和用户,所有的流量都是不可信任的,仿佛来自任何区域、设备和员工的访问都可能引发安全威胁。
在现实世界里也的确如此,企业内部员工有意、无意地会对信息安全造成损害,而恶意威胁者也总有办法侵入网络。针对企业网络似乎只有严格执行访问控制和安全检测的“零信任”策略,才能满足企业对网络的安全要求。
不过实际上,零信任策略也是有一些局限性的。首先,一旦限制访问过紧,或验证访问请求时间过长,都会造成网络性能的瓶颈。其次,零信任策略还会影响数据的机密性、完整性和可用性。再有,零信任也无法解决包括DDOS、人为误操作、系统更新或网络问题造成的意外后果等问题。
动态隔离很必要
既然零信任也不是无所不能的,企业究竟该实施什么样的防护策略来自保安全呢?一种基于动态隔离的策略逐步受到关注。具体来说,动态隔离策略可根据业务和安全需求隔离设备、应用程序和流量。网络访问控制可以识别和跟踪连接到网络的任何设备,并确定其角色和相应网络权限。同时允许网络基于设备角色、生成或处理的数据类型等进行隔离。
当然,这里说的动态隔离与无线部署中的VLAN划分还不同,因为VLAN划分没有足够的安全性,无法无缝跨越分布式网络环境。事实上,企业应该考虑使用内部隔离防火墙(ISFWS),它提供传统下一代防火墙(NGFW)解决方案中无法匹配的网络内可扩展性、控制范围和性能,以及VLAN不提供的安全性和控制范围。
ISFWS允许管理员根据各种策略动态、智能地划分网络。网络区块则可以基于物理位置(如建筑物或楼层)进行划分,以动态移动应用程序或流量,甚至可以基于设备进行限制。此外,策略驱动的隔离还可以根据用户身份或设备角色,分配不同级别的安全检查和跨段清除,满足横跨网络的授权。
结语
在网络的海洋里,上面貌似风平浪静,下面却可能已暗流涌动。对于企业来说,单一的防护策略总显得势单力孤,而基于意图的隔离则提供了一个整体的、集成的安全体系结构,可以适应不断变化的安全需求,检测和缓解高级威胁,并根据需要授予可变的访问权限。