随着信息进一步向云端流动,边界安全的角色正在发生变化,逐渐成为多维网络安全解决方案的一部分。边界防御的出现与服务器本身一样古老。说到外围防御这个词,脑海中浮现的自然形象是锁着的房间里嗡嗡作响,一排排超大机柜和防火墙将机器与外界隔开。但除非你为中央情报局工作,否则这种场景不太可能是你每天都能看到的。相反,您保护的数据驻留在云端,并通过笔记本电脑和手机在全球范围内流动。API访问,已发送电子邮件。当信息无处不在的时候,安全也一定无处不在,这让记得真实服务器的人不禁疑惑,现在还会有边防这种东西吗?1.从border到authorizedborder是一个非常有限的想法。在WiFi和云的世界里,那种事情早已分崩离析。世事变了,我们一直依赖的界限不再那么可靠。过去,IT人员会说,如果您在我们的网络上——在我们的硬连线物理网络上,有安全协议;如果您实际连接到我们的网络,我们就可以信任您。在云时代之前,边界通过内部防御来加强,例如防病毒扫描或端点保护工具。但时代变了,如今仅靠边界是不够的。只要进入内部,就可以为所欲为。这就像不再使用保险箱,因为你锁上了门。所以最好的做法是一样的:有一个“守卫”总是一个好主意。然而,我们越早放弃边界的想法越好,因为它们会造成一种虚假的安全感。在员工分散并在各种设备上工作的世界中,界限不再存在。如今,在拉斯维加斯凌晨2点,阻止员工登录公司银行账户的是授权,而不是防火墙。长期以来,授权一直被认为是一种内部防御。无论捕获来自赌场的登录行为的安全措施如何,这种异常登录都是显而易见的。但对于位于肯塔基州丹维尔的私立中央大学来说,凌晨2点从伦敦、上海和斯特拉斯堡登录就可以了。85%的学生至少有过一次海外留学经历,无论身在何处都可以登录学院的学习管理系统、电子邮件系统和内联网。2.基于身份与任何高校一样,中央学院的数据链路从高中生联系招生办公室开始,贯穿4年的大学学习生涯,一直延续到研究生的余下生活。因此,从在读学生的社会安全号码到毕业生捐赠的银行信息,一切都需要保护。此外,与所有雇主一样,员工信息也是需要保护的数据之一。中央研究院更多地依赖边界防御来保护数据,而不是趋势预测:几年前,所有文章都说“边界已死,忘记防火墙”。过了一会儿,这个哲学变成了,“哎呀,你真的需要照顾好你的防火墙。不要忽视它。”幸运的是,周边安全有起有落,但防火墙、入侵检测系统和入侵防御系统从未在中央大学中失去一席之地:包含员工和学生个人身份信息(PII)的企业资源规划(ERP)软件仍然存在在传统边界的保护下。当然,并不是所有东西都有边界,也不应该。以学院剧院为例。剧院的SaaS票务平台来自供应商,有自己的安全措施。学生电子邮件在4年前不再处于边界后被转移到MicrosoftOffice365。然后是在两者之间流动的所有信息,例如学院网站center.edu的代码。无论如何,网站上没有您真的不想公开的内容。重要的不是防止数据泄露,而是保护网站不被黑客入侵。最后,大多数数据由混合系统保护,托管在学院通过云访问的物理服务器上。这些服务器具有保护其连接的物理外围防御和内部防御。中央学院的这种操纵证明了界限正在改变。周边和内部安全正在演变成多层防御,可以在本地、云端或两者兼有。边界不仅仅是物理边界,这个概念随着时间的推移而改变。回到凌晨2点从赌场登录公司银行账户的示例,仅基于登录位置的安全措施显然不够好。安全需要基于你是谁,以及你想在给定时间点做什么。3.边界仍然存在,只是层次更多。因此,安全的未来不在于边界或内部,而在于多层防御。没有解决方案可以涵盖所有内容,但是有许多不同级别的权限会随着时间的推移而变化。正如原始周界防御的特点是“通过的一定是好的”,纵深防御能够处理不同的用例并有效地创建“安全区”——类似于机场。因此,这并不是说用边界来阻挡外来者,用内部防御来避免进入后的麻烦,而是在更高、更细化的层面上评估数据和权限。中央学院向这一新现实的过渡被人为地放慢了,IT部门预计需要10到12年的时间。因为他们不在新兴技术的最前沿,所以他们也庆幸自己不在这个“边缘”位置。该学院的安全方法也反映了它的理念——不仅要为内部预算争取时间,还要做出对学院最有利的决定。边界确实存在,它们只是改变并变得更加分层。无论您在哪里工作,无论环境多么先进,许多地方实际上发现他们的安全方法的迁移只是试图将信息放回边界内。无论您是福特汽车公司还是中央学院这样的小型组织,您做出的决定都必须考虑对公司使命真正重要的因素。
