時(shí)至今日，我們需要對(duì)安全思路及審視角度進(jìn)行顯著扭轉(zhuǎn)，從而將關(guān)注重點(diǎn)真正放在企業(yè)數(shù)據(jù)的實(shí)際所處位置。在這種情況下，防火墻機(jī)制則開始一步步淡出我們的主流關(guān)注視野。

[[138305]]

防火墻方案只能保護(hù)企業(yè)數(shù)據(jù)曾經(jīng)所處的位置，卻無法適應(yīng)目前的實(shí)際要求：目前大量員工開始以分布方式利用移動(dòng)設(shè)備接入企業(yè)網(wǎng)絡(luò)，并由此建立指向云環(huán)境的通路。有鑒于此，對(duì)全部企業(yè)數(shù)據(jù)加以保護(hù)的惟一途徑就是將企業(yè)級(jí)安全措施推廣到員工設(shè)備以及各類云應(yīng)用程序當(dāng)中。但實(shí)際情況在于，業(yè)務(wù)數(shù)據(jù)已經(jīng)幾乎不再受到企業(yè)網(wǎng)絡(luò)邊界的局限。那么IT專業(yè)人士為什么還要使用防火墻這種僅僅適合過去那種簡(jiǎn)單需求的安全解決方案?

在這方面，慣性恐怕要負(fù)起最大的責(zé)任?？紤]到防火墻長(zhǎng)久以來在企業(yè)當(dāng)中的重要地位：早在上世紀(jì)八十年代末，防火墻就已經(jīng)成為網(wǎng)絡(luò)保護(hù)領(lǐng)域的核心組成部分。IT部門在此類方案身上投入了大量時(shí)間與精力(大家一定還記得當(dāng)初的防火墻實(shí)現(xiàn)流程到底有多么雜亂而繁復(fù))，很多企業(yè)自然會(huì)繼續(xù)把防火墻視為業(yè)務(wù)安全保障的基石，并在面臨新型安全風(fēng)險(xiǎn)時(shí)首先想到加大對(duì)防火墻機(jī)制的投入。不過無論是現(xiàn)有內(nèi)部方案還是下一代機(jī)制，防火墻這類產(chǎn)品與安全基石概念間的距離已經(jīng)越來越遠(yuǎn)——我們甚至可以說，現(xiàn)在是時(shí)候?qū)⑵涮蕹鯥T部門的關(guān)注視野了。

在仍然將防火墻作為主要防御陣線的業(yè)務(wù)環(huán)境當(dāng)中，安全威脅正越來越多地找到突破口被得以滲透進(jìn)來。為了真正把注意力從防火墻身上轉(zhuǎn)到企業(yè)數(shù)據(jù)實(shí)際駐留的位置，我們需要真正對(duì)自己的安全審視角度作出扭轉(zhuǎn)。而作為這項(xiàng)工作的第一步，我們應(yīng)當(dāng)放棄防火墻這類解決方案。

在新型安全實(shí)踐方案當(dāng)中，我們需要關(guān)注兩大核心要點(diǎn)，從而淘汰以往以邊界為保護(hù)重心的陳舊機(jī)制：

數(shù)據(jù)會(huì)同時(shí)駐留在企業(yè)服務(wù)器以及未受保護(hù)的員工設(shè)備當(dāng)中

員工們開始越來越多地將快速而便捷的工作方式作為主要業(yè)務(wù)處理手段。這往往意味著他們會(huì)將來自企業(yè)計(jì)算機(jī)以及個(gè)人移動(dòng)手機(jī)或平板設(shè)備的業(yè)務(wù)數(shù)據(jù)共享并同步至Dropbox或者Office 365等云服務(wù)當(dāng)中。與此同時(shí)，IT部門卻往往對(duì)此一無所知：在最近的一份Ponemon調(diào)查報(bào)告中我們看到，有81%的IT部門根本沒有意識(shí)到自身有多少敏感數(shù)據(jù)被保存在了移動(dòng)設(shè)備以及云端。這些設(shè)備及云共享應(yīng)用程序并不一定需要跨越企業(yè)網(wǎng)絡(luò)來執(zhí)行，而常常憑借著現(xiàn)有公共熱點(diǎn)及高速蜂窩數(shù)據(jù)即可實(shí)現(xiàn)傳輸。

企業(yè)數(shù)據(jù)最終將變得無處不在

這樣的習(xí)慣在與企業(yè)相關(guān)的所有群體當(dāng)中都廣泛存在——包括內(nèi)部員工、承包商、供應(yīng)商、合作伙伴以及客戶等等——而這顯然會(huì)最終導(dǎo)致業(yè)務(wù)數(shù)據(jù)變得無處不在。因此，我們需要幫助這些群體實(shí)現(xiàn)數(shù)據(jù)保護(hù)。更糟糕的是，某些使用習(xí)慣往往隱藏在暗處，我們無法確定實(shí)際安全需求(或者要求)是否得到了嚴(yán)格執(zhí)行。

從另一個(gè)角度來看，這也意味著如今的數(shù)據(jù)正以非加密方式存在——或者說處于可受攻擊狀態(tài)——于員工的個(gè)人設(shè)備之上，而其原本應(yīng)該完全處于企業(yè)內(nèi)部網(wǎng)絡(luò)的控制之下。具體來講，防火墻已經(jīng)無法對(duì)其加以有效保護(hù)。

說到這一點(diǎn)，企業(yè)往往熱衷于構(gòu)建一套更加堅(jiān)固、更難以突破的網(wǎng)絡(luò)保護(hù)墻。然而由于數(shù)據(jù)已經(jīng)不再局限于網(wǎng)絡(luò)環(huán)境，因此對(duì)于此類防火墻的高度依賴反而日益成為最可怕的威脅之一。

了解關(guān)于防火墻的三大真相

接下來，我們就從三種實(shí)踐入手，了解如何在防火墻之外真正保護(hù)企業(yè)的信息安全。

1.不再受限于傳統(tǒng)系統(tǒng)。 盡管下一代防火墻當(dāng)中包含有深層數(shù)據(jù)包檢測(cè)與云令牌機(jī)制，但其仍然不足以保護(hù)由員工設(shè)備上傳及下載自消費(fèi)級(jí)云服務(wù)的敏感數(shù)據(jù)。沒錯(cuò)，最新一代防火墻確實(shí)擁有應(yīng)用程序識(shí)別功能，因此能夠避免經(jīng)過企業(yè)方面配置的設(shè)備訪問某些未經(jīng)批準(zhǔn)的云應(yīng)用。然而由于員工往往會(huì)出于提高生產(chǎn)效率的考量而破壞此類規(guī)定，他們?nèi)匀荒軌蚝茌p松地利用自己的個(gè)人設(shè)備訪問這些“必要”的生產(chǎn)力應(yīng)用程序——無論是通過外部環(huán)境實(shí)現(xiàn)還是使用移動(dòng)設(shè)備所提供的蜂窩數(shù)據(jù)傳輸機(jī)制。

為了保護(hù)這些分散于消費(fèi)級(jí)云環(huán)境以及最終用戶設(shè)備上的數(shù)據(jù)，IT部門需要拿出一套能夠與現(xiàn)有消費(fèi)云產(chǎn)品相協(xié)作的解決方案——而非一味與其對(duì)抗或者加以禁止。這類解決方案應(yīng)當(dāng)加入強(qiáng)大的管理能力，并在不破壞用戶體驗(yàn)的前提下實(shí)現(xiàn)嚴(yán)格控制。

2. 不要加入額外的復(fù)雜性元素。另一種常見的解決方案是利用企業(yè)級(jí)處理措施對(duì)消費(fèi)級(jí)應(yīng)用程序加以禁止——或者限制消費(fèi)級(jí)應(yīng)用程序的使用方式。這種思路同樣難以奏效。理由很簡(jiǎn)單，很多專業(yè)人士會(huì)在第一時(shí)間使用Dropbox，因?yàn)檫@能夠極大提高實(shí)際工作效率; 如果我們的附加安全或者備用解決方案過于笨拙或者破壞了云服務(wù)的最大優(yōu)勢(shì)，人們會(huì)傾向于利用非安全性方式加以回避。我們已經(jīng)告別了以往那種強(qiáng)迫用戶改變行為習(xí)慣的時(shí)代，如今真正的挑戰(zhàn)是在允許員工使用應(yīng)用程序與切實(shí)保護(hù)敏感企業(yè)數(shù)據(jù)之間找到理想的平衡點(diǎn)。

3. 控制、控制、再控制。無論在哪個(gè)領(lǐng)域，安全性必須嚴(yán)格遵循文件指導(dǎo)。將端到端加密延伸至設(shè)備當(dāng)中能夠幫助企業(yè)有效解決文件同步與遠(yuǎn)程辦公之間存在的合規(guī)性差距。而一套集中式儀表板則允許大家清楚地觀察到組織內(nèi)部的各種操作活動(dòng)，從而幫助我們快速發(fā)現(xiàn)異常狀態(tài)。另外，大家還應(yīng)該有能力根據(jù)需求對(duì)數(shù)據(jù)訪問加以阻止——即使是那些處于離線狀態(tài)的設(shè)備，同時(shí)清除指向加密文件的訪問請(qǐng)求。

以上各項(xiàng)舉措都必須被引入消費(fèi)級(jí)云環(huán)境當(dāng)中。單純?cè)诜?wù)器端進(jìn)行加密還遠(yuǎn)遠(yuǎn)不夠，而且如果員工不感興趣、打造自己的企業(yè)云應(yīng)用也很難解決問題。總體來講，我們需要對(duì)存在于各種位置的企業(yè)數(shù)據(jù)進(jìn)行嚴(yán)格保護(hù)。否則，大家只會(huì)發(fā)現(xiàn)自己在空殼之外建立起了保護(hù)之墻，而敏感數(shù)據(jù)仍然實(shí)際暴露在存在著各種變數(shù)的風(fēng)險(xiǎn)環(huán)境之下。說得直接一點(diǎn)，這種狀況完全就是“安全”一詞的相反含義。