【51CTO 1月4日外電頭條】如今的企業(yè)面臨這種形勢(shì)：遍布全球的分公司和眾多可信賴的合作伙伴不斷訪問(wèn)本企業(yè)的資源。這些企業(yè)對(duì)企業(yè)（B2B）交互有許多越過(guò)了界限分明的傳統(tǒng)網(wǎng)絡(luò)邊界，取代了有時(shí)限制重重的數(shù)據(jù)交換和通信方法。與之而來(lái)的是，安全控制機(jī)制同樣需要不斷完善--特別是由于出現(xiàn)了新的訪問(wèn)方法，因而構(gòu)建了一個(gè)全新的合作伙伴生態(tài)系統(tǒng)。

由于前方面臨新的挑戰(zhàn)，就有必要認(rèn)識(shí)到不斷演進(jìn)的B2B安全架構(gòu)，那樣才能真正了解未來(lái)。

在過(guò)去，企業(yè)通過(guò)靜態(tài)控制機(jī)制來(lái)加固網(wǎng)絡(luò)邊界。這種架構(gòu)只適合靜態(tài)的、已知的通信渠道，而硬件設(shè)備與應(yīng)用層之間基本上沒(méi)什么協(xié)調(diào)性。

而如今，安全控制機(jī)制越過(guò)網(wǎng)絡(luò)邊界來(lái)滿足企業(yè)的特定要求。用來(lái)加固關(guān)鍵應(yīng)用和數(shù)據(jù)安全的技術(shù)保護(hù)眾多對(duì)象，從網(wǎng)絡(luò)邊界、核心應(yīng)用、服務(wù)器場(chǎng)到數(shù)據(jù)庫(kù)，不一而足?；诜擒娛聟^(qū)（DMZ）的部署方法并沒(méi)有被取代，而是由關(guān)鍵分界點(diǎn)處保護(hù)應(yīng)用和數(shù)據(jù)的控制機(jī)制所補(bǔ)充。由于安全設(shè)備頻繁地與后端基礎(chǔ)設(shè)施進(jìn)行聯(lián)系以執(zhí)行控制，所以這些設(shè)備更能夠識(shí)別用戶身份。

在未來(lái)，隨著應(yīng)用和數(shù)據(jù)控制機(jī)制出現(xiàn)在云環(huán)境，基于云的服務(wù)將補(bǔ)充應(yīng)用和數(shù)據(jù)安全?；谠频姆磹阂廛浖?、腳本分析、URL過(guò)濾、入侵防護(hù)系統(tǒng)（IPS）和Web 應(yīng)用防火墻等技術(shù)，將成為安全專業(yè)人員用來(lái)保護(hù)B2B交易安全的主要工具。與此同時(shí)，企業(yè)會(huì)尋求更加分布式的執(zhí)行方法，這些方法需要網(wǎng)絡(luò)和物理技術(shù)仍然留在企業(yè)內(nèi)部。

展望未來(lái)，由于行業(yè)的重大事態(tài)發(fā)展對(duì)當(dāng)前的安全構(gòu)架提出了挑戰(zhàn)，許多用來(lái)保護(hù)B2B交易安全的傳統(tǒng)控制機(jī)制將滿足不了需求。比如說(shuō)，由于企業(yè)開(kāi)始使用移動(dòng)設(shè)備和用到Web 2.0應(yīng)用的交互媒體，企業(yè)之間的交易和交互實(shí)現(xiàn)"移動(dòng)性"并不罕見(jiàn)。這種內(nèi)容具有動(dòng)態(tài)性，從而帶來(lái)了應(yīng)用和Web安全所特有的新威脅。

此外，如今的云服務(wù)為企業(yè)與B2B合作伙伴共享應(yīng)用提供了新的方式。由于云服務(wù)的規(guī)模、靈活性和成本結(jié)構(gòu)，企業(yè)無(wú)法忽視這個(gè)極其誘人的選擇。但是作為安全專業(yè)人員，你的任務(wù)是要認(rèn)識(shí)到安全和隱私方面的問(wèn)題。

智能計(jì)算（Smart Computing）也會(huì)對(duì)如今的安全架構(gòu)提出挑戰(zhàn)。隨著智能電網(wǎng)（Smart Grid）和智能城市（Smart City）等項(xiàng)目開(kāi)始啟動(dòng)，企業(yè)會(huì)面臨復(fù)雜而廣泛的合作伙伴關(guān)系，有些關(guān)系天生不是傳統(tǒng)的關(guān)系。由于高度互聯(lián)的生態(tài)系統(tǒng)加大了網(wǎng)絡(luò)威脅，提高了對(duì)數(shù)據(jù)機(jī)密性的要求，這種事態(tài)發(fā)展將需要安全和風(fēng)險(xiǎn)評(píng)估與管理。

到目前為止，大家很少想到采用一種新架構(gòu)，以滿足這些影響B(tài)2B交互的重大事態(tài)發(fā)展的需要。弗雷斯特研究公司設(shè)計(jì)出了對(duì)于將來(lái)的安全B2B交互來(lái)說(shuō)極其重要的四層訪問(wèn)控制機(jī)制。

1、應(yīng)用訪問(wèn)控制：將來(lái)會(huì)在網(wǎng)絡(luò)邊界處出現(xiàn)與IAM集成的應(yīng)用控制。

當(dāng)應(yīng)用和服務(wù)通過(guò)云環(huán)境來(lái)托管時(shí)，應(yīng)用訪問(wèn)、授權(quán)和驗(yàn)證就變得越發(fā)重要。身份和訪問(wèn)管理（IAM）會(huì)扮演重要角色，因?yàn)樗膳c授權(quán)管理一起為應(yīng)用定義角色、職責(zé)和訪問(wèn)級(jí)別。應(yīng)用控制的另一個(gè)核心功能是身份聯(lián)合（identity federation）。由于B2B安全依賴這種聯(lián)合，所以控制用戶對(duì)關(guān)鍵資源的訪問(wèn)顯得很重要。

2、數(shù)據(jù)訪問(wèn)控制：加密和端點(diǎn)控制功能很重要。

雖然數(shù)據(jù)訪問(wèn)控制沒(méi)有一個(gè)簡(jiǎn)明的定義，但我對(duì)它所下的定義是：當(dāng)企業(yè)與多方共享數(shù)據(jù)時(shí)，對(duì)數(shù)據(jù)進(jìn)行的授權(quán)和保護(hù)。幾項(xiàng)技術(shù)將構(gòu)筑這一控制層，原因是企業(yè)想分類、抽象、加密和發(fā)現(xiàn)數(shù)據(jù)，并且控制誰(shuí)可以訪問(wèn)數(shù)據(jù)。將來(lái)有必要制定一項(xiàng)策略，以便在網(wǎng)絡(luò)的不同點(diǎn)執(zhí)行權(quán)限管理。

3、網(wǎng)絡(luò)訪問(wèn)控制：架構(gòu)訪問(wèn)控制將決定網(wǎng)絡(luò)層。

B2B交互依賴入侵檢測(cè)系統(tǒng)、入侵防護(hù)系統(tǒng)和安全信息管理等工具，以應(yīng)對(duì)各種威脅。所以，架構(gòu)訪問(wèn)控制能夠在網(wǎng)絡(luò)的不同部分采用執(zhí)行機(jī)制，并且從多個(gè)渠道確保B2B環(huán)境安全。

4、物理訪問(wèn)控制：基于身份的控制會(huì)成為新領(lǐng)域。

客戶越來(lái)越要求基于身份證件和互聯(lián)網(wǎng)協(xié)議（IP）的攝像頭等物理控制系統(tǒng)完全集成到企業(yè)網(wǎng)絡(luò)和IT安全控制機(jī)制中。比如說(shuō)，一些企業(yè)可能禁止在邊界入口點(diǎn)未通過(guò)身份證件驗(yàn)證的員工連接到企業(yè)網(wǎng)絡(luò)。其他物理設(shè)備也會(huì)備受歡迎，比如全球定位系統(tǒng)（GPS）、無(wú)線頻率識(shí)別（RFID）、傳感器和智能卡，以提供基于位置的服務(wù)，而這種服務(wù)可將用戶的身份與物理系統(tǒng)聯(lián)系起來(lái)。

沒(méi)有什么方案可以輕松解決B2B安全--這需要在每一個(gè)訪問(wèn)控制層采取多項(xiàng)技術(shù)，以建立起全面的架構(gòu)。貴企業(yè)需要確定一系列常用的技術(shù)，比如網(wǎng)絡(luò)訪問(wèn)控制（NAC）、反惡意軟件、入侵防護(hù)系統(tǒng)（IPS）、數(shù)據(jù)泄密防護(hù)（DLP）和身份和訪問(wèn)管理（IAM），它們可以幫你為多個(gè)入口點(diǎn)實(shí)施控制機(jī)制。然后在物理層、網(wǎng)絡(luò)層、數(shù)據(jù)層和應(yīng)用層，使用支持可信網(wǎng)絡(luò)連接元數(shù)據(jù)接入點(diǎn)接口（TNC IF-MAP）、開(kāi)放虛擬格式（OVF）和安全聲明標(biāo)記語(yǔ)言（SAML）等標(biāo)準(zhǔn)的API，將這些技術(shù)集成起來(lái)。

原文：http://www.csoonline.com/article/597474/the-4-tiers-of-a-secure-b2b-framework?page=1

 【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】

【編輯推薦】

1. 設(shè)置邊界路由器訪問(wèn)控制
2. 通過(guò)Linux防火墻提高網(wǎng)絡(luò)的訪問(wèn)控制
3. 用網(wǎng)絡(luò)分段與訪問(wèn)控制NAC隔離攻擊很簡(jiǎn)單！
4. 數(shù)據(jù)庫(kù)應(yīng)用安全：如何平衡加密與訪問(wèn)控制