打造四層控制結構的安全B2B框架
原創【51CTO 1月4日外電頭條】如今的企業面臨這種形勢:遍布全球的分公司和眾多可信賴的合作伙伴不斷訪問本企業的資源。這些企業對企業(B2B)交互有許多越過了界限分明的傳統網絡邊界,取代了有時限制重重的數據交換和通信方法。與之而來的是,安全控制機制同樣需要不斷完善--特別是由于出現了新的訪問方法,因而構建了一個全新的合作伙伴生態系統。
由于前方面臨新的挑戰,就有必要認識到不斷演進的B2B安全架構,那樣才能真正了解未來。
在過去,企業通過靜態控制機制來加固網絡邊界。這種架構只適合靜態的、已知的通信渠道,而硬件設備與應用層之間基本上沒什么協調性。
而如今,安全控制機制越過網絡邊界來滿足企業的特定要求。用來加固關鍵應用和數據安全的技術保護眾多對象,從網絡邊界、核心應用、服務器場到數據庫,不一而足。基于非軍事區(DMZ)的部署方法并沒有被取代,而是由關鍵分界點處保護應用和數據的控制機制所補充。由于安全設備頻繁地與后端基礎設施進行聯系以執行控制,所以這些設備更能夠識別用戶身份。
在未來,隨著應用和數據控制機制出現在云環境,基于云的服務將補充應用和數據安全。基于云的反惡意軟件、腳本分析、URL過濾、入侵防護系統(IPS)和Web 應用防火墻等技術,將成為安全專業人員用來保護B2B交易安全的主要工具。與此同時,企業會尋求更加分布式的執行方法,這些方法需要網絡和物理技術仍然留在企業內部。
展望未來,由于行業的重大事態發展對當前的安全構架提出了挑戰,許多用來保護B2B交易安全的傳統控制機制將滿足不了需求。比如說,由于企業開始使用移動設備和用到Web 2.0應用的交互媒體,企業之間的交易和交互實現"移動性"并不罕見。這種內容具有動態性,從而帶來了應用和Web安全所特有的新威脅。
此外,如今的云服務為企業與B2B合作伙伴共享應用提供了新的方式。由于云服務的規模、靈活性和成本結構,企業無法忽視這個極其誘人的選擇。但是作為安全專業人員,你的任務是要認識到安全和隱私方面的問題。
智能計算(Smart Computing)也會對如今的安全架構提出挑戰。隨著智能電網(Smart Grid)和智能城市(Smart City)等項目開始啟動,企業會面臨復雜而廣泛的合作伙伴關系,有些關系天生不是傳統的關系。由于高度互聯的生態系統加大了網絡威脅,提高了對數據機密性的要求,這種事態發展將需要安全和風險評估與管理。
到目前為止,大家很少想到采用一種新架構,以滿足這些影響B2B交互的重大事態發展的需要。弗雷斯特研究公司設計出了對于將來的安全B2B交互來說極其重要的四層訪問控制機制。
1、應用訪問控制:將來會在網絡邊界處出現與IAM集成的應用控制。
當應用和服務通過云環境來托管時,應用訪問、授權和驗證就變得越發重要。身份和訪問管理(IAM)會扮演重要角色,因為它可與授權管理一起為應用定義角色、職責和訪問級別。應用控制的另一個核心功能是身份聯合(identity federation)。由于B2B安全依賴這種聯合,所以控制用戶對關鍵資源的訪問顯得很重要。
2、數據訪問控制:加密和端點控制功能很重要。
雖然數據訪問控制沒有一個簡明的定義,但我對它所下的定義是:當企業與多方共享數據時,對數據進行的授權和保護。幾項技術將構筑這一控制層,原因是企業想分類、抽象、加密和發現數據,并且控制誰可以訪問數據。將來有必要制定一項策略,以便在網絡的不同點執行權限管理。
3、網絡訪問控制:架構訪問控制將決定網絡層。
B2B交互依賴入侵檢測系統、入侵防護系統和安全信息管理等工具,以應對各種威脅。所以,架構訪問控制能夠在網絡的不同部分采用執行機制,并且從多個渠道確保B2B環境安全。
4、物理訪問控制:基于身份的控制會成為新領域。
客戶越來越要求基于身份證件和互聯網協議(IP)的攝像頭等物理控制系統完全集成到企業網絡和IT安全控制機制中。比如說,一些企業可能禁止在邊界入口點未通過身份證件驗證的員工連接到企業網絡。其他物理設備也會備受歡迎,比如全球定位系統(GPS)、無線頻率識別(RFID)、傳感器和智能卡,以提供基于位置的服務,而這種服務可將用戶的身份與物理系統聯系起來。
沒有什么方案可以輕松解決B2B安全--這需要在每一個訪問控制層采取多項技術,以建立起全面的架構。貴企業需要確定一系列常用的技術,比如網絡訪問控制(NAC)、反惡意軟件、入侵防護系統(IPS)、數據泄密防護(DLP)和身份和訪問管理(IAM),它們可以幫你為多個入口點實施控制機制。然后在物理層、網絡層、數據層和應用層,使用支持可信網絡連接元數據接入點接口(TNC IF-MAP)、開放虛擬格式(OVF)和安全聲明標記語言(SAML)等標準的API,將這些技術集成起來。
原文:http://www.csoonline.com/article/597474/the-4-tiers-of-a-secure-b2b-framework?page=1
【51CTO.com獨家譯稿,非經授權謝絕轉載!合作媒體轉載請注明原文出處及出處!】
【編輯推薦】
