为了为未来的网络做好准备,组织必须从根本上重新构想他们现有的安全工具。对于许多组织而言,数字化转型中最有问题的方面之一是边缘的迅速崛起,它在许多方面已经取代了传统的静态网络边界。基于边缘的网络模型的出现使组织能够更动态地扩展其网络以适应移动用户、IoT和端点设备,构建灵活且响应迅速的WAN和云连接,并启用分布式处理。边缘计算边缘计算使组织能够分析靠近网络边缘的关键数据,以近乎实时地响应事件——这是许多行业的要求,包括医疗保健、电信、制造和金融。当然,边缘不仅仅是一种东西。智能手机、物联网设备和移动笔记本电脑等设备越来越需要人们能够在更靠近数据生成位置的地方处理数据,而不是将数据远距离发送到物理或虚拟数据中心。时间敏感的服务,例如高速运行的智能汽车,或在支持5G的终端用户设备上运行的新型带宽密集型沉浸式应用程序,需要实时响应,这意味着这些服务通常需要能够实现自主决策而不是将数据发送到数据中心或云进行处理。将边缘设备连接到核心网络或从边缘汇集资源可以采用多种形式。当然,智能设备可以生成返回公司网络的加密VPN连接。更复杂的系统,例如部署在零售店或分支机构的本地LAN,可以利用更复杂的边缘设备,例如专用路由器、路由交换机、集成接入设备(IAD)、多路复用器和SD-WAN解决方案计划。即使是云中的容器也有独特的基于边缘的要求。无论如何,边缘设备需要协同工作,以提供稳健且严格管理的进入企业或服务提供商核心网络的入口。事实上,每次端点或物联网设备、云容器或分支机构需要连接回核心环境以交付或收集数据、处理信息或运行应用程序或工作负载时,您都会创建一个边界。您还可以创建多边缘环境,例如,当分支机构具有特定的SD-WAN连接时,能够支持与其他分支机构和核心数据中心的互连,并隔离与公共网络或云应用程序或环境的连接。保护边缘从安全的角度来看,需要保护这些边缘。正如我们一次又一次地看到的那样,一个组织的安全取决于其最薄弱的环节。应用程序、关键资源、敏感交易、PII和其他数据经常通过这些边缘连接移动,组织有财务责任和越来越多的法律责任来保护这些信息。但并非所有边缘连接都是平等的。连接到公共网络的分支网络上的设备可能不需要与工程师讨论新知识产权开发所需的远程视频会议连接相同级别的安全性。组织需要在保护关键数据和管理有限资源(例如带宽技术开销)之间取得平衡。建立信任级别随着需要访问不断扩展和日益互连的网络的设备数量不断增加,您如何保护每个新的边缘连接?这需要围绕六项技术构建分层安全策略:1.通过VPN和连接进行数据保护VPN加密需要成为边缘连接的基本要求,尤其是对于那些通过公共可用网络连接的设备。但是,基本的SSL和IPSec加密可能不适用于某些交易,组织可能需要提高进行某些交互或访问某些数据或资源所需的加密级别。单点连接可能也不够。组织还需要考虑开发和维护网状VPN覆盖,允许多个设备、应用程序和分支机构通过公共网络安全地交互和互连。2.通过NAC寻求网络访问的设备建立身份和策略需要在连接的瞬间进行识别,需要基于对设备和用户的认证,他们想要访问的资源,以及其他相关数据(包括地点和时间)制定本次对接的相关政策。此外,分配给设备的任何策略都需要遵循它,以便数据路径和网络设备的安全性可以参与这些策略的实施。3.分段和微分段保??护一旦设备被识别并指定访问策略,确保安全的下一个最佳步骤是将其动态分配到特定网段进行密切监控,以防止未经授权的访问授权资源并立即隔离那些开始行为不端的设备或应用程序。4.可以查看、管理和检查数据的物理和基于云的安全性我们不仅需要保护连接,还需要检查连接中包含的应用程序和数据是否无法被外界访问。这意味着安全工具需要能够:5.集中管理可见性和控制设备需要能够通过单一的集中管理和编排解决方案共享和关联威胁情报,以便能够发布一致的策略,识别异常行为,并通过安全解决方案之间的紧密关联做出一致的响应。6.通过SD-WAN要求的分支机构连接分支机构的WAN边缘需要高级网络功能、广泛的安全解决方案、分支机构位置之间的深度互连以及通过动态网状VPN覆盖对其他边缘进行复杂集成。结论边缘设备和边缘计算的持续发展正在彻底改变当今的网络,而即将到来的5G只会加速这一变革。在预测数字化转型的未来时,有两件事是肯定的:让我们走到今天的传统安全解决方案不会让我们走得太远;一种通用的边缘安全方法肯定会失败。为了为未来的网络做好准备,组织必须从根本上重新构想他们现有的安全解决方案。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
