時至今日，我們需要對安全思路及審視角度進行顯著扭轉(zhuǎn)，從而將關(guān)注重點真正放在企業(yè)數(shù)據(jù)的實際所處位置。在這種情況下，防火墻機制則開始一步步淡出我們的主流關(guān)注視野。

[[138305]]

防火墻方案只能保護企業(yè)數(shù)據(jù)曾經(jīng)所處的位置，卻無法適應(yīng)目前的實際要求：目前大量員工開始以分布方式利用移動設(shè)備接入企業(yè)網(wǎng)絡(luò)，并由此建立指向云環(huán)境的通路。有鑒于此，對全部企業(yè)數(shù)據(jù)加以保護的惟一途徑就是將企業(yè)級安全措施推廣到員工設(shè)備以及各類云應(yīng)用程序當(dāng)中。但實際情況在于，業(yè)務(wù)數(shù)據(jù)已經(jīng)幾乎不再受到企業(yè)網(wǎng)絡(luò)邊界的局限。那么IT專業(yè)人士為什么還要使用防火墻這種僅僅適合過去那種簡單需求的安全解決方案?

在這方面，慣性恐怕要負起最大的責(zé)任?？紤]到防火墻長久以來在企業(yè)當(dāng)中的重要地位：早在上世紀(jì)八十年代末，防火墻就已經(jīng)成為網(wǎng)絡(luò)保護領(lǐng)域的核心組成部分。IT部門在此類方案身上投入了大量時間與精力(大家一定還記得當(dāng)初的防火墻實現(xiàn)流程到底有多么雜亂而繁復(fù))，很多企業(yè)自然會繼續(xù)把防火墻視為業(yè)務(wù)安全保障的基石，并在面臨新型安全風(fēng)險時首先想到加大對防火墻機制的投入。不過無論是現(xiàn)有內(nèi)部方案還是下一代機制，防火墻這類產(chǎn)品與安全基石概念間的距離已經(jīng)越來越遠——我們甚至可以說，現(xiàn)在是時候?qū)⑵涮蕹鯥T部門的關(guān)注視野了。

在仍然將防火墻作為主要防御陣線的業(yè)務(wù)環(huán)境當(dāng)中，安全威脅正越來越多地找到突破口被得以滲透進來。為了真正把注意力從防火墻身上轉(zhuǎn)到企業(yè)數(shù)據(jù)實際駐留的位置，我們需要真正對自己的安全審視角度作出扭轉(zhuǎn)。而作為這項工作的第一步，我們應(yīng)當(dāng)放棄防火墻這類解決方案。

在新型安全實踐方案當(dāng)中，我們需要關(guān)注兩大核心要點，從而淘汰以往以邊界為保護重心的陳舊機制：

數(shù)據(jù)會同時駐留在企業(yè)服務(wù)器以及未受保護的員工設(shè)備當(dāng)中

員工們開始越來越多地將快速而便捷的工作方式作為主要業(yè)務(wù)處理手段。這往往意味著他們會將來自企業(yè)計算機以及個人移動手機或平板設(shè)備的業(yè)務(wù)數(shù)據(jù)共享并同步至Dropbox或者Office 365等云服務(wù)當(dāng)中。與此同時，IT部門卻往往對此一無所知：在最近的一份Ponemon調(diào)查報告中我們看到，有81%的IT部門根本沒有意識到自身有多少敏感數(shù)據(jù)被保存在了移動設(shè)備以及云端。這些設(shè)備及云共享應(yīng)用程序并不一定需要跨越企業(yè)網(wǎng)絡(luò)來執(zhí)行，而常常憑借著現(xiàn)有公共熱點及高速蜂窩數(shù)據(jù)即可實現(xiàn)傳輸。

企業(yè)數(shù)據(jù)最終將變得無處不在

這樣的習(xí)慣在與企業(yè)相關(guān)的所有群體當(dāng)中都廣泛存在——包括內(nèi)部員工、承包商、供應(yīng)商、合作伙伴以及客戶等等——而這顯然會最終導(dǎo)致業(yè)務(wù)數(shù)據(jù)變得無處不在。因此，我們需要幫助這些群體實現(xiàn)數(shù)據(jù)保護。更糟糕的是，某些使用習(xí)慣往往隱藏在暗處，我們無法確定實際安全需求(或者要求)是否得到了嚴(yán)格執(zhí)行。

從另一個角度來看，這也意味著如今的數(shù)據(jù)正以非加密方式存在——或者說處于可受攻擊狀態(tài)——于員工的個人設(shè)備之上，而其原本應(yīng)該完全處于企業(yè)內(nèi)部網(wǎng)絡(luò)的控制之下。具體來講，防火墻已經(jīng)無法對其加以有效保護。

說到這一點，企業(yè)往往熱衷于構(gòu)建一套更加堅固、更難以突破的網(wǎng)絡(luò)保護墻。然而由于數(shù)據(jù)已經(jīng)不再局限于網(wǎng)絡(luò)環(huán)境，因此對于此類防火墻的高度依賴反而日益成為最可怕的威脅之一。

了解關(guān)于防火墻的三大真相

接下來，我們就從三種實踐入手，了解如何在防火墻之外真正保護企業(yè)的信息安全。

1.不再受限于傳統(tǒng)系統(tǒng)。 盡管下一代防火墻當(dāng)中包含有深層數(shù)據(jù)包檢測與云令牌機制，但其仍然不足以保護由員工設(shè)備上傳及下載自消費級云服務(wù)的敏感數(shù)據(jù)。沒錯，最新一代防火墻確實擁有應(yīng)用程序識別功能，因此能夠避免經(jīng)過企業(yè)方面配置的設(shè)備訪問某些未經(jīng)批準(zhǔn)的云應(yīng)用。然而由于員工往往會出于提高生產(chǎn)效率的考量而破壞此類規(guī)定，他們?nèi)匀荒軌蚝茌p松地利用自己的個人設(shè)備訪問這些“必要”的生產(chǎn)力應(yīng)用程序——無論是通過外部環(huán)境實現(xiàn)還是使用移動設(shè)備所提供的蜂窩數(shù)據(jù)傳輸機制。

為了保護這些分散于消費級云環(huán)境以及最終用戶設(shè)備上的數(shù)據(jù)，IT部門需要拿出一套能夠與現(xiàn)有消費云產(chǎn)品相協(xié)作的解決方案——而非一味與其對抗或者加以禁止。這類解決方案應(yīng)當(dāng)加入強大的管理能力，并在不破壞用戶體驗的前提下實現(xiàn)嚴(yán)格控制。

2. 不要加入額外的復(fù)雜性元素。另一種常見的解決方案是利用企業(yè)級處理措施對消費級應(yīng)用程序加以禁止——或者限制消費級應(yīng)用程序的使用方式。這種思路同樣難以奏效。理由很簡單，很多專業(yè)人士會在第一時間使用Dropbox，因為這能夠極大提高實際工作效率; 如果我們的附加安全或者備用解決方案過于笨拙或者破壞了云服務(wù)的最大優(yōu)勢，人們會傾向于利用非安全性方式加以回避。我們已經(jīng)告別了以往那種強迫用戶改變行為習(xí)慣的時代，如今真正的挑戰(zhàn)是在允許員工使用應(yīng)用程序與切實保護敏感企業(yè)數(shù)據(jù)之間找到理想的平衡點。

3. 控制、控制、再控制。無論在哪個領(lǐng)域，安全性必須嚴(yán)格遵循文件指導(dǎo)。將端到端加密延伸至設(shè)備當(dāng)中能夠幫助企業(yè)有效解決文件同步與遠程辦公之間存在的合規(guī)性差距。而一套集中式儀表板則允許大家清楚地觀察到組織內(nèi)部的各種操作活動，從而幫助我們快速發(fā)現(xiàn)異常狀態(tài)。另外，大家還應(yīng)該有能力根據(jù)需求對數(shù)據(jù)訪問加以阻止——即使是那些處于離線狀態(tài)的設(shè)備，同時清除指向加密文件的訪問請求。

以上各項舉措都必須被引入消費級云環(huán)境當(dāng)中。單純在服務(wù)器端進行加密還遠遠不夠，而且如果員工不感興趣、打造自己的企業(yè)云應(yīng)用也很難解決問題?？傮w來講，我們需要對存在于各種位置的企業(yè)數(shù)據(jù)進行嚴(yán)格保護。否則，大家只會發(fā)現(xiàn)自己在空殼之外建立起了保護之墻，而敏感數(shù)據(jù)仍然實際暴露在存在著各種變數(shù)的風(fēng)險環(huán)境之下。說得直接一點，這種狀況完全就是“安全”一詞的相反含義。