想要迎接未來的網(wǎng)絡(luò)，各組織機(jī)構(gòu)必須從根本上重新構(gòu)想他們現(xiàn)有的的安全工具。

[[266263]]

對許多組織機(jī)構(gòu)來說，數(shù)字轉(zhuǎn)型最容易出現(xiàn)的問題之一是邊緣的迅速崛起，它在許多方面已經(jīng)取代了傳統(tǒng)的靜態(tài)網(wǎng)絡(luò)邊界?；谶吘壍木W(wǎng)絡(luò)模型的出現(xiàn)使組織機(jī)構(gòu)能夠更動(dòng)態(tài)地?cái)U(kuò)展其網(wǎng)絡(luò)，迎接移動(dòng)用戶、物聯(lián)網(wǎng)和終端設(shè)備，構(gòu)建靈活并響應(yīng)迅速的WAN和云連接，并實(shí)現(xiàn)分布式處理。

邊緣計(jì)算

邊緣計(jì)算使組織機(jī)構(gòu)能夠分析靠近網(wǎng)絡(luò)邊緣的重要數(shù)據(jù)，以便對事件作出近乎實(shí)時(shí)的響應(yīng)——很多行業(yè)都有這個(gè)需求，包括醫(yī)療、電信、制造業(yè)和金融業(yè)。

當(dāng)然，邊緣不僅僅是一個(gè)東西。像智能手機(jī)、物聯(lián)網(wǎng)設(shè)備和移動(dòng)筆記本電腦等設(shè)備越來越需要人們能夠處理離越接近數(shù)據(jù)產(chǎn)生位置的數(shù)據(jù)，而不是將數(shù)據(jù)遠(yuǎn)距離發(fā)送到物理或虛擬數(shù)據(jù)中心。對時(shí)間敏感的服務(wù)，如高速運(yùn)行的智能汽車，或在支持5G的終端用戶設(shè)備上運(yùn)行的需要消耗大量帶寬的新沉浸式應(yīng)用，都要求進(jìn)行實(shí)時(shí)響應(yīng)，這意味著這些服務(wù)常常需要能夠在本地進(jìn)行自主決策，而不是將數(shù)據(jù)發(fā)送到數(shù)據(jù)中心或云進(jìn)行處理。

邊緣設(shè)備

從邊緣連接到核心網(wǎng)絡(luò)或集中資源可以采取多種形式。當(dāng)然，一個(gè)智能設(shè)備可以生成一個(gè)加密的VPN連接回公司網(wǎng)絡(luò)。更復(fù)雜的系統(tǒng)，如部署在零售店或分支機(jī)構(gòu)的本地LAN，可以利用更復(fù)雜的邊緣設(shè)備，如專用路由器、路由交換機(jī)、集成接入設(shè)備(IADs)、多路復(fù)用器和SD-WAN解決方案。甚至云中的容器也有獨(dú)特的基于邊緣的要求。無論如何，邊緣設(shè)備需要協(xié)同工作，提供強(qiáng)大且嚴(yán)格管理的企業(yè)或服務(wù)提供商核心網(wǎng)絡(luò)入口。

事實(shí)上，每當(dāng)一個(gè)終端或物聯(lián)網(wǎng)設(shè)備、云容器或分支機(jī)構(gòu)需要連接回核心環(huán)境以交付或收集數(shù)據(jù)、處理信息、或運(yùn)行應(yīng)用程序或工作負(fù)載時(shí)，你就創(chuàng)建了一個(gè)邊界。你還可以創(chuàng)建多邊緣環(huán)境，例如，當(dāng)分支機(jī)構(gòu)具有特定的SD-WAN連接時(shí)，能夠支持與其他分支機(jī)構(gòu)和核心數(shù)據(jù)中心的互連，并將連接分離到公共網(wǎng)絡(luò)或云應(yīng)用程序或環(huán)境中。

保護(hù)邊緣

從安全性的角度來看，這些邊緣都需要被保護(hù)。正如我們一再看到的那樣，一個(gè)組織機(jī)構(gòu)的安全只取決于它最薄弱的一環(huán)。應(yīng)用程序、關(guān)鍵資源、敏感交易、PII以及其他數(shù)據(jù)經(jīng)常在這些邊緣連接處移動(dòng)，而組織機(jī)構(gòu)對保護(hù)這些信息負(fù)有財(cái)務(wù)責(zé)任，而且法律責(zé)任也越來越重。

但并不是所有的邊緣連接都是相同的。連接到公共網(wǎng)絡(luò)的分支網(wǎng)絡(luò)上的設(shè)備可能不需要與工程師在討論新知識產(chǎn)權(quán)發(fā)展需要的遠(yuǎn)程視頻會(huì)議連接相同的安全級別。組織機(jī)構(gòu)需要在保護(hù)關(guān)鍵數(shù)據(jù)和管理有限的資源(如帶寬技術(shù)開銷)之間取得平衡。

建立信任等級

隨著需要訪問不斷擴(kuò)展和日益互連的網(wǎng)絡(luò)的設(shè)備數(shù)量不斷增加，該如何確保每個(gè)新的邊緣連接的安全性?

這需要圍繞以下六種技術(shù)構(gòu)建分層的安全策略：

1. 通過VPN保護(hù)數(shù)據(jù)和連接

VPN加密需要成為邊緣連接的基本要求，特別是對那些通過公共可用網(wǎng)絡(luò)進(jìn)行連接的設(shè)備。然而基本SSL和IPSec加密可能不適用于某些交易，組織機(jī)構(gòu)可能需要提高進(jìn)行某些交互或訪問某些數(shù)據(jù)或資源所需的加密級別。

而且單點(diǎn)連接可能也不夠用。組織機(jī)構(gòu)還需要考慮開發(fā)和維護(hù)一個(gè)網(wǎng)狀VPN覆蓋層，允許多個(gè)設(shè)備、應(yīng)用程序和分支機(jī)構(gòu)通過公共網(wǎng)絡(luò)安全地進(jìn)行交互和互連。

2. 通過NAC用于建立身份和策略

尋求網(wǎng)絡(luò)訪問的設(shè)備需要在連接那一刻就被識別，而且需要根據(jù)設(shè)備和用戶的身份驗(yàn)證，他們想要訪問的資源，以及其他相關(guān)數(shù)據(jù)(包括進(jìn)行連接的位置和時(shí)間)為此連接制定相關(guān)策略。此外，分配給該設(shè)備的任何策略都需要遵循它，以便數(shù)據(jù)路徑的安全和網(wǎng)絡(luò)設(shè)備能夠參與到這些策略的實(shí)施中。

3. 分段和微分隔保護(hù)

一旦識別了一個(gè)設(shè)備，并且已經(jīng)指定了一個(gè)訪問策略，為確保安全下一步最好是將其動(dòng)態(tài)分配到一個(gè)特定的網(wǎng)段以進(jìn)行嚴(yán)密監(jiān)控，防止其訪問未經(jīng)授權(quán)的資源，并立即隔離那些開始行為異常的設(shè)備或應(yīng)用程序。

4. 可以查看、管理和檢查數(shù)據(jù)的物理和基于云的安全

我們不僅需要確保連接的安全，還需要檢查連接中包含的應(yīng)用程序和數(shù)據(jù)不會(huì)被外界獲取。這意味著安全工具需要能夠：

• 在網(wǎng)絡(luò)速度下能為加密數(shù)據(jù)提供深度檢查
• 各種安全解決方案——從NGFW，IPS到應(yīng)用程序安全和沙箱——都需要能夠根據(jù)連接的性質(zhì)實(shí)現(xiàn)不同級別的安全性
• 檢測到的安全事件需要能在整個(gè)分布式網(wǎng)絡(luò)中觸發(fā)一致的響應(yīng)

5. 集中管理可見性和控制

設(shè)備需要能夠通過單一、集中的管理和編排解決方案共享和關(guān)聯(lián)威脅情報(bào)，以便能夠一致地發(fā)布策略、識別異常行為，并通過安全解決方案之間的緊密關(guān)聯(lián)進(jìn)行一致的響應(yīng)。

6. 通過SD-WAN要求分支連接

分支機(jī)構(gòu)的WAN邊緣需要高級網(wǎng)絡(luò)功能、廣泛的安全解決方案、分支機(jī)構(gòu)位置之間的深度互連以及通過動(dòng)態(tài)網(wǎng)狀VPN覆蓋的其他邊緣的復(fù)雜集成。

結(jié)論

邊緣設(shè)備和邊緣計(jì)算不斷發(fā)展正在徹底改變當(dāng)今的網(wǎng)絡(luò)，而即將到來的5G只會(huì)加速推動(dòng)這種轉(zhuǎn)變。在預(yù)測數(shù)字化轉(zhuǎn)型的未來時(shí)，有兩事情是肯定的：

• 將我們帶到今天的傳統(tǒng)安全解決方案不能讓我們走得更遠(yuǎn);
• 一刀切的邊緣安全方法肯定會(huì)失敗。想要迎接未來的網(wǎng)絡(luò)，組織機(jī)構(gòu)必須從根本上重新構(gòu)想他們現(xiàn)有的安全解決方案。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文