在基于意圖的隔離面前 零信任也認慫
如今不論是買了部手機,還是換了臺電腦,開機后都會有連接互聯(lián)網的步驟,這些點點滴滴的積累逐漸匯聚為萬物互聯(lián)的洪流噴薄而出,各種不安因素也防不勝防。隨之而來的還有網絡邊界日益模糊、身份魚龍混雜、數(shù)據(jù)泄露等各類安全挑戰(zhàn)。不過如果企業(yè)網絡能夠基于意圖進行動態(tài)智能隔離的話,那會比零信任策略還要靠譜喲。
什么叫基于意圖隔離
基于意圖的隔離,就是通過結合AI,能夠根據(jù)業(yè)務意圖來分解業(yè)務和安全需求,然后動態(tài)地應用安全協(xié)議,包括實現(xiàn)機器速度下的檢查與隔離。其如同基于意圖的網絡能夠捕捉業(yè)務意圖,并在整個網絡范圍實施策略和網絡狀態(tài)感知一樣,基于意圖的隔離能夠將工作流需要訪問的服務和資源,轉換為特定的隔離策略實施,一路沿著業(yè)務路徑來保護并隔離它。
這就像當檢測到一個文件是惡意文檔時,殺毒軟件會將其自動隔離起來,不至于傳染給其他一個文件一樣。當然基于意圖的隔離能做的,可不只有這個。除了在前端理解業(yè)務意圖外,基于意圖的隔離要依賴于一個集成安全框架,該框架使部署在網絡不同部分的不同工具能夠相互看到和交互。這會使部署者能夠檢測和響應分布環(huán)境中任何地方發(fā)生的威脅,并動態(tài)地調整管理網絡區(qū)塊的策略。
進入數(shù)字化轉型時代,市場要求企業(yè)以更快的速度響應客戶和消費者的業(yè)務需求。而為了確保此種隔離進度,在移動化環(huán)境下企業(yè)也就需要這種可結合AI并基于意圖的隔離提供安全支撐。
零信任策略有軟肋
網絡世界中威脅可不僅僅來自于外部,致使當下的企業(yè)網絡逐步向“零信任”策略模型靠攏。在“零信任”網絡中,不再有可信的設備、接口和用戶,所有的流量都是不可信任的,仿佛來自任何區(qū)域、設備和員工的訪問都可能引發(fā)安全威脅。
在現(xiàn)實世界里也的確如此,企業(yè)內部員工有意、無意地會對信息安全造成損害,而惡意威脅者也總有辦法侵入網絡。針對企業(yè)網絡似乎只有嚴格執(zhí)行訪問控制和安全檢測的“零信任”策略,才能滿足企業(yè)對網絡的安全要求。
不過實際上,零信任策略也是有一些局限性的。首先,一旦限制訪問過緊,或驗證訪問請求時間過長,都會造成網絡性能的瓶頸。其次,零信任策略還會影響數(shù)據(jù)的機密性、完整性和可用性。再有,零信任也無法解決包括DDOS、人為誤操作、系統(tǒng)更新或網絡問題造成的意外后果等問題。
動態(tài)隔離很必要
既然零信任也不是無所不能的,企業(yè)究竟該實施什么樣的防護策略來自保安全呢?一種基于動態(tài)隔離的策略逐步受到關注。具體來說,動態(tài)隔離策略可根據(jù)業(yè)務和安全需求隔離設備、應用程序和流量。網絡訪問控制可以識別和跟蹤連接到網絡的任何設備,并確定其角色和相應網絡權限。同時允許網絡基于設備角色、生成或處理的數(shù)據(jù)類型等進行隔離。
當然,這里說的動態(tài)隔離與無線部署中的VLAN劃分還不同,因為VLAN劃分沒有足夠的安全性,無法無縫跨越分布式網絡環(huán)境。事實上,企業(yè)應該考慮使用內部隔離防火墻(ISFWS),它提供傳統(tǒng)下一代防火墻(NGFW)解決方案中無法匹配的網絡內可擴展性、控制范圍和性能,以及VLAN不提供的安全性和控制范圍。
ISFWS允許管理員根據(jù)各種策略動態(tài)、智能地劃分網絡。網絡區(qū)塊則可以基于物理位置(如建筑物或樓層)進行劃分,以動態(tài)移動應用程序或流量,甚至可以基于設備進行限制。此外,策略驅動的隔離還可以根據(jù)用戶身份或設備角色,分配不同級別的安全檢查和跨段清除,滿足橫跨網絡的授權。
結語
在網絡的海洋里,上面貌似風平浪靜,下面卻可能已暗流涌動。對于企業(yè)來說,單一的防護策略總顯得勢單力孤,而基于意圖的隔離則提供了一個整體的、集成的安全體系結構,可以適應不斷變化的安全需求,檢測和緩解高級威脅,并根據(jù)需要授予可變的訪問權限。