如今不論是買了部手機，還是換了臺電腦，開機后都會有連接互聯(lián)網的步驟，這些點點滴滴的積累逐漸匯聚為萬物互聯(lián)的洪流噴薄而出，各種不安因素也防不勝防。隨之而來的還有網絡邊界日益模糊、身份魚龍混雜、數(shù)據(jù)泄露等各類安全挑戰(zhàn)。不過如果企業(yè)網絡能夠基于意圖進行動態(tài)智能隔離的話，那會比零信任策略還要靠譜喲。

[[260739]]

什么叫基于意圖隔離

基于意圖的隔離，就是通過結合AI，能夠根據(jù)業(yè)務意圖來分解業(yè)務和安全需求，然后動態(tài)地應用安全協(xié)議，包括實現(xiàn)機器速度下的檢查與隔離。其如同基于意圖的網絡能夠捕捉業(yè)務意圖，并在整個網絡范圍實施策略和網絡狀態(tài)感知一樣，基于意圖的隔離能夠將工作流需要訪問的服務和資源，轉換為特定的隔離策略實施，一路沿著業(yè)務路徑來保護并隔離它。

這就像當檢測到一個文件是惡意文檔時，殺毒軟件會將其自動隔離起來，不至于傳染給其他一個文件一樣。當然基于意圖的隔離能做的，可不只有這個。除了在前端理解業(yè)務意圖外，基于意圖的隔離要依賴于一個集成安全框架，該框架使部署在網絡不同部分的不同工具能夠相互看到和交互。這會使部署者能夠檢測和響應分布環(huán)境中任何地方發(fā)生的威脅，并動態(tài)地調整管理網絡區(qū)塊的策略。

進入數(shù)字化轉型時代，市場要求企業(yè)以更快的速度響應客戶和消費者的業(yè)務需求。而為了確保此種隔離進度，在移動化環(huán)境下企業(yè)也就需要這種可結合AI并基于意圖的隔離提供安全支撐。

零信任策略有軟肋

網絡世界中威脅可不僅僅來自于外部，致使當下的企業(yè)網絡逐步向“零信任”策略模型靠攏。在“零信任”網絡中，不再有可信的設備、接口和用戶，所有的流量都是不可信任的，仿佛來自任何區(qū)域、設備和員工的訪問都可能引發(fā)安全威脅。

在現(xiàn)實世界里也的確如此，企業(yè)內部員工有意、無意地會對信息安全造成損害，而惡意威脅者也總有辦法侵入網絡。針對企業(yè)網絡似乎只有嚴格執(zhí)行訪問控制和安全檢測的“零信任”策略，才能滿足企業(yè)對網絡的安全要求。

不過實際上，零信任策略也是有一些局限性的。首先，一旦限制訪問過緊，或驗證訪問請求時間過長，都會造成網絡性能的瓶頸。其次，零信任策略還會影響數(shù)據(jù)的機密性、完整性和可用性。再有，零信任也無法解決包括DDOS、人為誤操作、系統(tǒng)更新或網絡問題造成的意外后果等問題。

動態(tài)隔離很必要

既然零信任也不是無所不能的，企業(yè)究竟該實施什么樣的防護策略來自保安全呢?一種基于動態(tài)隔離的策略逐步受到關注。具體來說，動態(tài)隔離策略可根據(jù)業(yè)務和安全需求隔離設備、應用程序和流量。網絡訪問控制可以識別和跟蹤連接到網絡的任何設備，并確定其角色和相應網絡權限。同時允許網絡基于設備角色、生成或處理的數(shù)據(jù)類型等進行隔離。

當然，這里說的動態(tài)隔離與無線部署中的VLAN劃分還不同，因為VLAN劃分沒有足夠的安全性，無法無縫跨越分布式網絡環(huán)境。事實上，企業(yè)應該考慮使用內部隔離防火墻(ISFWS)，它提供傳統(tǒng)下一代防火墻(NGFW)解決方案中無法匹配的網絡內可擴展性、控制范圍和性能，以及VLAN不提供的安全性和控制范圍。

ISFWS允許管理員根據(jù)各種策略動態(tài)、智能地劃分網絡。網絡區(qū)塊則可以基于物理位置(如建筑物或樓層)進行劃分，以動態(tài)移動應用程序或流量，甚至可以基于設備進行限制。此外，策略驅動的隔離還可以根據(jù)用戶身份或設備角色，分配不同級別的安全檢查和跨段清除，滿足橫跨網絡的授權。

結語

在網絡的海洋里，上面貌似風平浪靜，下面卻可能已暗流涌動。對于企業(yè)來說，單一的防護策略總顯得勢單力孤，而基于意圖的隔離則提供了一個整體的、集成的安全體系結構，可以適應不斷變化的安全需求，檢測和緩解高級威脅，并根據(jù)需要授予可變的訪問權限。