網絡細分需要持續保障數據安全

■ 山東 劉勝軍 趙長林

編者按： 企業業務越來越細分，如果網絡安全防護不能快速隨需而變，就無法應對日益復雜的網絡威脅，這需要企業對安全策略和基礎架構進行一些根本性變化。

雖然企業網絡繼續擴展和演變，但安全團隊的目標并未改變。基礎設施需要滿足業務目標，同時還要滿足法規和合規標準，以及保護關鍵數據和資源。不幸的是，對當今的很多企業而言，這些目標并沒有得到滿足，因為更多的時間被用于管理安全的基礎架構而不是使業務能夠正常運轉上。

其中困難之一是網絡正在經歷快速變革，卻沒有一套連貫的安全戰略。由此將導致安全團隊負擔過重，安全設施不斷擴張，并且出現可見性和控制方面的問題。如果企業沒有一個總體計劃，安全團隊將被迫被動地快速認識和部署安全解決方案。

如今企業可能擁有來自幾十個安全廠商的解決方案，并需配置管理和升級這些方案。這種不和諧的安全架構給安全團隊帶來巨大挑戰，其中最嚴重的困難是為檢測和響應威脅而從不同的高度分散的解決方案中收集并關聯這些安全數據。

另外還有三個方面會增加問題的復雜性：首先，物理和虛擬新設備及其相關數據正在以無法預料的速率增加到網絡中；其次，應用程序和工作流程正在以驚人的速度被添加、更新和替換；第三，這些應用程序和工作流程需要能夠在不同的網絡環境（包括遠程設備、分支機構、多云生態系統）中自由遷移。

收回控制權

解決這些困難遠遠超過了很多安全團隊的能力。所以，雖然安全花費巨大，但網絡攻擊帶來的損失仍超過企業在安全上投入的數倍。

安全團隊在2019年可以做的保護企業的最重要事情是：收回安全環境的控制權。要開始這個過程，需要做到三個方面。

1．在第一時間參與業務運營計劃。及早加入可以在保護新資產、確保合規性方面節省時間和金錢，并可以高效地建立作為更大安全戰略完整組成部分的安全性。

2.用可集成的能夠查看、共享、關聯威脅情報的工具替換孤立的安全設備。這些工具還需要能夠持續地、無縫地跟蹤工作流、應用程序以及在不同網絡環境之間移動的數據，并保障其安全。

3.開發一套使用開放性API和標準、集中化SIEM的管理策略。如果有可能，還要采用一種通用的操作系統，用以在多種安全解決方案之間建立和維護集中化的策略發布和執行。

安全需要追蹤數據

在具備基礎條件后，企業即可通過自動化來優化安全性，其中包括兩個關鍵功能。

1.條件訪問。對于為雇員和客戶提供高性能應用、處理信用卡交易、管理個人身份信息和管理敏感數據的企業來說，要求一種更具有創新性的方法，從而在基礎架構的安全性上執行強健的訪問控制。

此外，添加到網絡中的任何設備都需要評估是否遵循安全策略，然后結合這個設備的具體環境和使用情況，根據特定策略來決定是否允許連接到網絡。具體依據包括它屬于哪類設備、要求哪些資源來進行訪問和支持，如果該設備有用戶，用戶擁有哪些特權。然后需要用策略來為此設備加上標簽，從而使整個安全生態系統都可以跟蹤和強化這條策略。

2.動態細分。企業還需要能夠動態地將某些數據和應用程序與其余資產進行分組和隔離，以保持符合各種監管標準。同樣的要求也適用于應用程序、工作流和交易。細分是解決問題之道。

內部的安全細分可以將資源限制到一個物理位置，如一幢特定的大樓或一個實驗室；還可以將這些資源分配給一個特定組或功能，如銷售組、工程組或臨時客戶的訪問。這種細分還可以根據設備的類型來實施，如數字攝像機、物聯網設備或庫存的標簽等。

除了設備之外，細分還需要包括應用程序、工作流和其他業務。其中包括能夠將這些數據與未獲得授權訪問的數據隔離開，或者包括能夠自動確保與特定用戶、服務器或數據中心資源有關聯的數據的安全。

最后，這種細分還需要能夠持續地保障數據安全并能夠隔離數據，而不管數據需要流動到哪里。即使數據流的路徑是在物理地域的混合網絡環境和公有云、私有云的網絡及服務之間，敏感的工作流也需要在數據流動的整個路徑上加以保護。

基于目的的細分

但是要使細分在當今企業環境中有效運行，還需要能夠將業務目標自動轉化為安全需求，然后將這些需求映射為特定的策略。這就要求將機器學習增加到細分工具中，使得安全管理員可以預定義策略，而且高級細分軟件還可以基于其能力來實施這些策略，從而實現解析工作流、應用程序和已部署設備的業務目標。

為此，基于目的的細分需要能執行四大功能：首先，這種細分能夠將高級的業務語言轉換為細分策略；其次，需要在網絡中自動實施和強化策略；第三，需要持續地監視數據的狀態或被細分設備的狀態；第四，還需要利用機器學習來選擇最佳方法來實施，并持續地監視，而且還要能夠在發生任何變化后，自動采取糾正措施。

利用高級安全功能實現數字化的業務目標

保護當今高度動態和靈活的網絡不僅僅需要用高速度去實施變更?；谀康牡墓ぞ撸ㄈ缂毞郑┑男逻M展使企業能夠創建業務目標，這些目標可以自動轉換為安全策略，而這些策略不僅可以無縫地跨越網絡，還可以自動適應變化。

如果企業不對安全策略和基礎架構進行一些根本性變化，上述目標就無法實現。如果企業安全框架不能適應網絡變化，共享和關聯威脅情報，并以一種統一的系統來應對，企業就無法充分利用新的數字經濟創造機會。