在我的IT职业生涯的早期,Sun Microsystems被认为是一个计算机梦想家。Sun很早就创造了一个有趣的公司口号:“The network is the computer.”这是什么意思?这意味着IT基础设施以松散耦合的体系结构连接在一起,通过以太网电缆和TCP/IP协议等网络技术连接在一起。因此,正确地设计网络以达到网络可用性、性能和业务利益最大化是至关重要的。
是的,自上世纪90年代初以来,情况已经发生了变化。有些网络位于云中,有些是虚拟的,有些依赖于应用程序到应用程序的连接,但是网络仍然以某种方式将IT系统连接在一起。
在这一变革过程中,网络安全也不得不与时俱进。在我看来,现代网络安全必须支持以下几点:
端到端覆盖
检查入口/出口流量的周边安全性已经不够了。必须将现代网络安全控制装入所有网段,以检查东/西流量,云中的网络通信,以及从远程工作者到软件即服务(SaaS)应用的网络通信,其中流量从不接触公司网络。换句话说,应检查所有网络流量。
加密/解密功能
根据ESG的研究,目前50%到60%的网络流量是加密的,而且未来还将继续增加。(注:原作者为ESG员工。)这意味着一个全面的网络安全体系结构必须包括在多个控制点解密和检查流量的能力。现代网络安全技术也应该能够检测可疑流量,而不需要在所有情况下解密。这种功能已经包含在思科加密流量分析(ETA)等产品和Barac.io等供应商提供的独立解决方案中。
以业务为中心的分割
减少攻击面应该是所有现代网络安全技术的首要要求。这相当于两个功能:1)在应用层之间分割东/西流量;2)在用户/设备和基于网络的服务之间强制执行软件定义的外围网络分割规则。这些功能常常被含糊地称为“零信任”。
中央控制平面和分布式执法
这个是“必备的”。“所有网络安全控制(即物理的、虚拟的、基于云的)必须报告到管理活动的公共控制平面(即配置管理、策略管理、变更管理等)。中央控制平面很可能是基于云的,所以CISO应该准备好规避风险的审计人员和业务经理来应对这一变化。有了中央指挥和控制的指示,网络安全系统必须被检测以阻止恶意流量,并执行策略,而不管它们的位置或形式因素。请注意,虽然每个网络安全供应商都将推销自己的中央管理服务,但第三方软件供应商(如FireMon、Skybox和Tufin)可能会在其中发挥作用。
全面的监控和分析
正如一句古老的安全谚语所说:“网络不会说谎。”“由于所有网络攻击都使用网络通信作为其杀伤链的一部分,安全分析师必须能够访问OSI堆栈所有层的端到端网络流量分析(NTA)。最好的NTA工具将用检测规则、启发式、脚本语言和机器学习来补充基本的流量监控,这些工具可以帮助分析人员检测未知的威胁,并将恶意活动映射到MITRE ATT&CK框架中。CISO必须投入广泛的网络,因为有很多强大的解决方案可以从纯游戏的初创公司(如Bricata、Corelight、DarkTrace、IronNet、Vectra Networks等)、网络专家(如思科、ExtraHop、NETSCOUT等)和网络安全供应商(如Fidelis、FireEye、Lastline、HPE等)中选择。当然要慎重购买!
网络安全技术必须支持细粒度策略和规则,可以根据用户位置、网络配置或新发现的威胁/漏洞等方面的变化进行即时更改。组织必须能够在任何需要的时候或任何地方启动/关闭或更改网络安全服务。现代网络安全控制必须能够适应物联网(IoT)设备和协议,这些设备和协议具有与标准操作系统相同的强有力的策略和实施。最后,必须围绕易于访问的API构建网络安全体系结构,以实现快速集成。
Sun Microsystems早已不复存在(现在是Oracle的一部分),但是无论网络的形式如何,网络仍然非常重要。现代网络安全体系结构不仅可以保护所有的网络流量,还可以帮助组织减少攻击面,提高威胁检测/响应能力,帮助降低网络风险。