现在不管是买手机还是换电脑,开机后都会有联网的步骤。这些点点滴滴的积累,逐渐汇聚成万物互联的洪流,种种不安因素也让人防不胜防。随之而来的还有网络边界越来越模糊、身份混杂、数据泄露等各种安全挑战。但是,如果企业网络能够基于意图进行动态智能隔离,将比零信任策略更加可靠。什么是基于意图的隔离?Intent-basedisolation是指结合AI,根据业务意图分解业务和安全需求,然后动态应用安全协议,包括机器速度的检查和隔离。正如基于意图的网络可以捕获业务意图并在整个网络中实施策略和网络状态感知一样,基于意图的隔离可以将工作流需要访问的服务和资源转化为特定的隔离策略来实现,并沿着业务路径进行保护和隔离它。这就好比当检测到一个文件是恶意文件时,杀毒软件会自动将其隔离,使其不会传播到其他文件。当然,基于意图的隔离可以做的不止于此。除了了解前端的业务意图外,基于意图的隔离还依赖于一个集成的安全框架,该框架使部署在网络不同部分的不同工具能够相互查看和交互。这使部署人员能够检测和响应分布式环境中任何地方的威胁,并动态调整管理网段的策略。进入数字化转型时代,市场要求企业以更快的速度响应客户和消费者的业务需求。为了保证这种隔离的进行,移动环境中的企业也需要这种可以结合AI和intent-based隔离的安全支持。零信任策略有弱点。网络世界的威胁不仅仅来自于外部,导致当前的企业网络逐渐向“零信任”战略模式靠拢。在“零信任”的网络中,不再有可信的设备、接口和用户,所有的流量都是不可信的,仿佛来自任何区域、设备或员工的访问都可能造成安全威胁。在现实世界中也是如此。企业内部员工都会有意无意地对信息安全造成破坏,恶意威胁总有办法侵入网络。对于企业网络来说,似乎只有严格执行访问控制和安全检测的“零信任”策略才能满足企业的网络安全需求。但事实上,零信任策略也有一定的局限性。首先,一旦限制访问过严,或者验证访问请求耗时过长,都会造成网络性能瓶颈。其次,零信任政策也会影响数据的机密性、完整性和可用性。此外,零信任无法解决DDOS、人为错误操作、系统更新或网络问题导致的意外后果等问题。动态隔离是必要的。既然零信任不是万能的,那么企业应该实施什么样的防护策略来保证安全呢?一种基于动态隔离的策略逐渐引起人们的关注。具体来说,动态隔离策略根据业务和安全需求隔离设备、应用程序和流量。网络访问控制可以识别和跟踪连接到网络的任何设备,并确定其角色和相应的网络权限。它还允许根据设备角色、生成或处理的数据类型等来隔离网络。当然,这里所说的动态隔离不同于无线部署中的VLAN划分,因为VLAN划分没有足够的安全性,不能无缝跨越分布式网络环境。事实上,企业应该考虑使用内部隔离防火墙(ISFWS),它提供传统下一代防火墙(NGFW)解决方案无法比拟的网内可扩展性、控制和性能,以及VLAN无法提供的安全和控制。ISFWS允许管理员根据各种策略动态智能地划分网络。可以根据物理位置(例如建筑物或楼层)划分网络块,以动态移动应用程序或流量,甚至可以根据设备进行限制。此外,策略驱动的隔离还可以根据用户身份或设备角色分配不同级别的安全检查和跨网段清算,以满足全网授权。结语在互联网的海洋中,上面看似风平浪静,下面却可能暗流涌动。对于企业来说,单一的防御策略似乎总是孤立无援的,但基于意图的隔离提供了一个整体的、集成的安全架构,可以适应不断变化的安全需求,检测和缓解高级威胁,并基于可变的访问需求被授予。
