想要迎接未来的网络,各组织机构必须从根本上重新构想他们现有的的安全工具。
对许多组织机构来说,数字转型最容易出现的问题之一是边缘的迅速崛起,它在许多方面已经取代了传统的静态网络边界。基于边缘的网络模型的出现使组织机构能够更动态地扩展其网络,迎接移动用户、物联网和终端设备,构建灵活并响应迅速的WAN和云连接,并实现分布式处理。
边缘计算
边缘计算使组织机构能够分析靠近网络边缘的重要数据,以便对事件作出近乎实时的响应——很多行业都有这个需求,包括医疗、电信、制造业和金融业。
当然,边缘不仅仅是一个东西。像智能手机、物联网设备和移动笔记本电脑等设备越来越需要人们能够处理离越接近数据产生位置的数据,而不是将数据远距离发送到物理或虚拟数据中心。对时间敏感的服务,如高速运行的智能汽车,或在支持5G的终端用户设备上运行的需要消耗大量带宽的新沉浸式应用,都要求进行实时响应,这意味着这些服务常常需要能够在本地进行自主决策,而不是将数据发送到数据中心或云进行处理。
边缘设备
从边缘连接到核心网络或集中资源可以采取多种形式。当然,一个智能设备可以生成一个加密的VPN连接回公司网络。更复杂的系统,如部署在零售店或分支机构的本地LAN,可以利用更复杂的边缘设备,如专用路由器、路由交换机、集成接入设备(IADs)、多路复用器和SD-WAN解决方案。甚至云中的容器也有独特的基于边缘的要求。无论如何,边缘设备需要协同工作,提供强大且严格管理的企业或服务提供商核心网络入口。
事实上,每当一个终端或物联网设备、云容器或分支机构需要连接回核心环境以交付或收集数据、处理信息、或运行应用程序或工作负载时,你就创建了一个边界。你还可以创建多边缘环境,例如,当分支机构具有特定的SD-WAN连接时,能够支持与其他分支机构和核心数据中心的互连,并将连接分离到公共网络或云应用程序或环境中。
保护边缘
从安全性的角度来看,这些边缘都需要被保护。正如我们一再看到的那样,一个组织机构的安全只取决于它最薄弱的一环。应用程序、关键资源、敏感交易、PII以及其他数据经常在这些边缘连接处移动,而组织机构对保护这些信息负有财务责任,而且法律责任也越来越重。
但并不是所有的边缘连接都是相同的。连接到公共网络的分支网络上的设备可能不需要与工程师在讨论新知识产权发展需要的远程视频会议连接相同的安全级别。组织机构需要在保护关键数据和管理有限的资源(如带宽技术开销)之间取得平衡。
建立信任等级
随着需要访问不断扩展和日益互连的网络的设备数量不断增加,该如何确保每个新的边缘连接的安全性?
这需要围绕以下六种技术构建分层的安全策略:
1. 通过VPN保护数据和连接
VPN加密需要成为边缘连接的基本要求,特别是对那些通过公共可用网络进行连接的设备。然而基本SSL和IPSec加密可能不适用于某些交易,组织机构可能需要提高进行某些交互或访问某些数据或资源所需的加密级别。
而且单点连接可能也不够用。组织机构还需要考虑开发和维护一个网状VPN覆盖层,允许多个设备、应用程序和分支机构通过公共网络安全地进行交互和互连。
2. 通过NAC用于建立身份和策略
寻求网络访问的设备需要在连接那一刻就被识别,而且需要根据设备和用户的身份验证,他们想要访问的资源,以及其他相关数据(包括进行连接的位置和时间)为此连接制定相关策略。此外,分配给该设备的任何策略都需要遵循它,以便数据路径的安全和网络设备能够参与到这些策略的实施中。
3. 分段和微分隔保护
一旦识别了一个设备,并且已经指定了一个访问策略,为确保安全下一步最好是将其动态分配到一个特定的网段以进行严密监控,防止其访问未经授权的资源,并立即隔离那些开始行为异常的设备或应用程序。
4. 可以查看、管理和检查数据的物理和基于云的安全
我们不仅需要确保连接的安全,还需要检查连接中包含的应用程序和数据不会被外界获取。这意味着安全工具需要能够:
- 在网络速度下能为加密数据提供深度检查
- 各种安全解决方案——从NGFW,IPS到应用程序安全和沙箱——都需要能够根据连接的性质实现不同级别的安全性
- 检测到的安全事件需要能在整个分布式网络中触发一致的响应
5. 集中管理可见性和控制
设备需要能够通过单一、集中的管理和编排解决方案共享和关联威胁情报,以便能够一致地发布策略、识别异常行为,并通过安全解决方案之间的紧密关联进行一致的响应。
6. 通过SD-WAN要求分支连接
分支机构的WAN边缘需要高级网络功能、广泛的安全解决方案、分支机构位置之间的深度互连以及通过动态网状VPN覆盖的其他边缘的复杂集成。
结论
边缘设备和边缘计算不断发展正在彻底改变当今的网络,而即将到来的5G只会加速推动这种转变。在预测数字化转型的未来时,有两事情是肯定的:
- 将我们带到今天的传统安全解决方案不能让我们走得更远;
- 一刀切的边缘安全方法肯定会失败。想要迎接未来的网络,组织机构必须从根本上重新构想他们现有的安全解决方案。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】