全球化是今天大多數(shù)公司的新常態(tài)，但也帶來了一些嚴(yán)重問題，尤其是涉及到管理大范圍分布式網(wǎng)絡(luò)中的防火墻資產(chǎn)的時候。

總部設(shè)在美國的典型跨國公司，可能在全球數(shù)十個國家設(shè)有辦事處和數(shù)據(jù)中心。即便公司采取積極主動的結(jié)構(gòu)化邏輯化方法實現(xiàn)網(wǎng)絡(luò)安全，每個數(shù)據(jù)中心都有防火墻保護(hù)，所有這些防火墻也必須能協(xié)同工作，讓網(wǎng)絡(luò)流量能在國際網(wǎng)絡(luò)和數(shù)據(jù)中心間安全傳輸。那該怎樣管理呢?有3個關(guān)鍵問題需要考慮。

問題1：時間問題

任何環(huán)境下，防火墻管理核心元素之一，都是配置，尤其是變更控制過程，即應(yīng)用程序網(wǎng)絡(luò)連接更新或修改時更新防火墻規(guī)則。

然而，在全球性網(wǎng)絡(luò)中，分布多國的應(yīng)用程序需要通信和共享信息，這就讓問題變得更加復(fù)雜了?？梢韵胂褚粋€常見景象：一家公司在其全球網(wǎng)絡(luò)中部署了一個新應(yīng)用，因而需要在多個國家實現(xiàn)防火墻策略修改。策略修改本身很容易實現(xiàn)，但問題來了——到底什么時間點上干這事兒呢?

很多大型企業(yè)，策略修改都被限制在特定變更控制窗口時間內(nèi)，目的是為了緩解核心應(yīng)用運營停機(jī)或配置錯誤的風(fēng)險。因此，防火墻策略修改通常選擇在夜間或周末完成，避開高風(fēng)險時段。在對于全球化公司，運營橫跨多個時區(qū)，高風(fēng)險時段各國不同。而且，日歷上的高流量時段也各不相同，圣誕節(jié)前夕對西歐和美國零售商最為關(guān)鍵，春節(jié)則是亞洲零售商最為重視的階段。

所以，公司企業(yè)面臨取舍選擇。他們可以按網(wǎng)絡(luò)中最重要節(jié)點位置的方便，設(shè)置一個通用的變更控制窗口時間，然后希望其他地方設(shè)法配合。這是一種快速方便卻危險的方式?；蛘撸麄兛梢栽诓煌膰以O(shè)置不同的變更控制窗口，盡力協(xié)調(diào)零散的防火墻修改過程。因為合法流量在變更全部完成之前基本是被阻在半途的，這種做法不太可能在變更過程中途引起安全問題——但封鎖不同地點之間的相互通信明顯會造成嚴(yán)重的運營問題。該變更管理過程，要求公司網(wǎng)絡(luò)運營和應(yīng)用程序部署團(tuán)隊之間，要有細(xì)致縝密的協(xié)同。

最后，時間問題沒有簡單的答案。公司需要衡量兩種方法的利弊，選擇最適合的途徑。

問題2：符合法律規(guī)定

在多個國家運營多個數(shù)據(jù)中心的另一個方面，就是多個司法管轄區(qū)問題。不同的國家在地區(qū)管理和信息流動上適用的法律不同;比如說，瑞士，就要求銀行信息不得流出瑞士國境，而澳大利亞政府，則不允許政府或聯(lián)邦信息離境。

這些法律，對跨國企業(yè)數(shù)據(jù)中心管理有著重大技術(shù)性影響，無論是在實地還是在云端。信息必須依據(jù)當(dāng)?shù)乇O(jiān)管要求進(jìn)行分離、儲存和保護(hù)，通常會需要IT團(tuán)隊來處理這些事務(wù)。技術(shù)上講，所有這些必要的分割都可以遠(yuǎn)程實現(xiàn)，甚至外包給服務(wù)提供商，但這依然是公司的一大負(fù)擔(dān)——尤其是在公司遷移到云基礎(chǔ)設(shè)施的時候，因為他們會特別擔(dān)心法律合規(guī)的影響。

如果，最近的8100萬美元SWIFT電匯欺詐案后，孟加拉央行決定正式起訴，那我們有可能真切看到法律合規(guī)問題的真實上演。他們該向哪個警方上訴?國際刑警組織能幫上忙嗎?即使他們查出了罪犯身份，誰來逮捕?誰來提請引渡?

這些問題也沒有唾手可得的答案。最終，公司企業(yè)需要自己擔(dān)負(fù)起理解每一個數(shù)據(jù)存儲傳輸國適用的數(shù)據(jù)保護(hù)法規(guī)的責(zé)任，而且還得將這些合規(guī)條文翻譯成合適的技術(shù)性、法律性合規(guī)相關(guān)動作供其IT安全策略和業(yè)務(wù)部門參照執(zhí)行。

問題3：還有誰?

當(dāng)公司企業(yè)授權(quán)外部公司訪問其網(wǎng)絡(luò)時，局面會變得更加復(fù)雜。這個時候，有必要強(qiáng)調(diào)，這些外部公司也是公司企業(yè)信息安全和合規(guī)態(tài)勢的一部分。最小化此類外部連接的風(fēng)險，依賴于實現(xiàn)審慎的網(wǎng)絡(luò)分段和采用額外控制措施，比如Web應(yīng)用防火墻、數(shù)據(jù)泄露預(yù)防、入侵檢測等。

進(jìn)而，在某個時間點上，公司企業(yè)將不得不對外部連接做出調(diào)整，無論是因為自身或?qū)Ψ絀T團(tuán)隊的既定維護(hù)工作，還是因為計劃外停機(jī)的結(jié)果。由于可能需要與公司外人員的協(xié)調(diào)和調(diào)整現(xiàn)有工作流，同時還要遵守合同性或服務(wù)水平協(xié)議(SLA)責(zé)任，處理會影響到外部連接的變更，就比處理內(nèi)部維護(hù)要復(fù)雜得多。作為該過程的一部分，公司企業(yè)需要確保他們的信息系統(tǒng)允許IT團(tuán)隊識別外部連接，并提供合同相關(guān)技術(shù)信息的訪問，同時還要支持修改過的工作流。

最后，公司企業(yè)應(yīng)該確保與第三方公司簽訂有覆蓋所有外部連接相關(guān)的技術(shù)、業(yè)務(wù)和法律事務(wù)的合約。

要管理全球性網(wǎng)絡(luò)基礎(chǔ)設(shè)施，擁有防火墻管控全球網(wǎng)絡(luò)流量方式的完整實時可見性和控制力，比以往任何時候都來得重要，無論你是想最大化安全與合規(guī)，還是想最小化宕機(jī)時間。