為什么防火墻在一步步淡出主流視野
時至今日,我們需要對安全思路及審視角度進行顯著扭轉,從而將關注重點真正放在企業數據的實際所處位置。在這種情況下,防火墻機制則開始一步步淡出我們的主流關注視野。
防火墻方案只能保護企業數據曾經所處的位置,卻無法適應目前的實際要求:目前大量員工開始以分布方式利用移動設備接入企業網絡,并由此建立指向云環境的通路。有鑒于此,對全部企業數據加以保護的惟一途徑就是將企業級安全措施推廣到員工設備以及各類云應用程序當中。但實際情況在于,業務數據已經幾乎不再受到企業網絡邊界的局限。那么IT專業人士為什么還要使用防火墻這種僅僅適合過去那種簡單需求的安全解決方案?
在這方面,慣性恐怕要負起最大的責任。考慮到防火墻長久以來在企業當中的重要地位:早在上世紀八十年代末,防火墻就已經成為網絡保護領域的核心組成部分。IT部門在此類方案身上投入了大量時間與精力(大家一定還記得當初的防火墻實現流程到底有多么雜亂而繁復),很多企業自然會繼續把防火墻視為業務安全保障的基石,并在面臨新型安全風險時首先想到加大對防火墻機制的投入。不過無論是現有內部方案還是下一代機制,防火墻這類產品與安全基石概念間的距離已經越來越遠——我們甚至可以說,現在是時候將其剔除出IT部門的關注視野了。
在仍然將防火墻作為主要防御陣線的業務環境當中,安全威脅正越來越多地找到突破口被得以滲透進來。為了真正把注意力從防火墻身上轉到企業數據實際駐留的位置,我們需要真正對自己的安全審視角度作出扭轉。而作為這項工作的第一步,我們應當放棄防火墻這類解決方案。
在新型安全實踐方案當中,我們需要關注兩大核心要點,從而淘汰以往以邊界為保護重心的陳舊機制:
數據會同時駐留在企業服務器以及未受保護的員工設備當中
員工們開始越來越多地將快速而便捷的工作方式作為主要業務處理手段。這往往意味著他們會將來自企業計算機以及個人移動手機或平板設備的業務數據共享并同步至Dropbox或者Office 365等云服務當中。與此同時,IT部門卻往往對此一無所知:在最近的一份Ponemon調查報告中我們看到,有81%的IT部門根本沒有意識到自身有多少敏感數據被保存在了移動設備以及云端。這些設備及云共享應用程序并不一定需要跨越企業網絡來執行,而常常憑借著現有公共熱點及高速蜂窩數據即可實現傳輸。
企業數據最終將變得無處不在
這樣的習慣在與企業相關的所有群體當中都廣泛存在——包括內部員工、承包商、供應商、合作伙伴以及客戶等等——而這顯然會最終導致業務數據變得無處不在。因此,我們需要幫助這些群體實現數據保護。更糟糕的是,某些使用習慣往往隱藏在暗處,我們無法確定實際安全需求(或者要求)是否得到了嚴格執行。
從另一個角度來看,這也意味著如今的數據正以非加密方式存在——或者說處于可受攻擊狀態——于員工的個人設備之上,而其原本應該完全處于企業內部網絡的控制之下。具體來講,防火墻已經無法對其加以有效保護。
說到這一點,企業往往熱衷于構建一套更加堅固、更難以突破的網絡保護墻。然而由于數據已經不再局限于網絡環境,因此對于此類防火墻的高度依賴反而日益成為最可怕的威脅之一。
了解關于防火墻的三大真相
接下來,我們就從三種實踐入手,了解如何在防火墻之外真正保護企業的信息安全。
1.不再受限于傳統系統。 盡管下一代防火墻當中包含有深層數據包檢測與云令牌機制,但其仍然不足以保護由員工設備上傳及下載自消費級云服務的敏感數據。沒錯,最新一代防火墻確實擁有應用程序識別功能,因此能夠避免經過企業方面配置的設備訪問某些未經批準的云應用。然而由于員工往往會出于提高生產效率的考量而破壞此類規定,他們仍然能夠很輕松地利用自己的個人設備訪問這些“必要”的生產力應用程序——無論是通過外部環境實現還是使用移動設備所提供的蜂窩數據傳輸機制。
為了保護這些分散于消費級云環境以及最終用戶設備上的數據,IT部門需要拿出一套能夠與現有消費云產品相協作的解決方案——而非一味與其對抗或者加以禁止。這類解決方案應當加入強大的管理能力,并在不破壞用戶體驗的前提下實現嚴格控制。
2. 不要加入額外的復雜性元素。另一種常見的解決方案是利用企業級處理措施對消費級應用程序加以禁止——或者限制消費級應用程序的使用方式。這種思路同樣難以奏效。理由很簡單,很多專業人士會在第一時間使用Dropbox,因為這能夠極大提高實際工作效率; 如果我們的附加安全或者備用解決方案過于笨拙或者破壞了云服務的最大優勢,人們會傾向于利用非安全性方式加以回避。我們已經告別了以往那種強迫用戶改變行為習慣的時代,如今真正的挑戰是在允許員工使用應用程序與切實保護敏感企業數據之間找到理想的平衡點。
3. 控制、控制、再控制。無論在哪個領域,安全性必須嚴格遵循文件指導。將端到端加密延伸至設備當中能夠幫助企業有效解決文件同步與遠程辦公之間存在的合規性差距。而一套集中式儀表板則允許大家清楚地觀察到組織內部的各種操作活動,從而幫助我們快速發現異常狀態。另外,大家還應該有能力根據需求對數據訪問加以阻止——即使是那些處于離線狀態的設備,同時清除指向加密文件的訪問請求。
以上各項舉措都必須被引入消費級云環境當中。單純在服務器端進行加密還遠遠不夠,而且如果員工不感興趣、打造自己的企業云應用也很難解決問題。總體來講,我們需要對存在于各種位置的企業數據進行嚴格保護。否則,大家只會發現自己在空殼之外建立起了保護之墻,而敏感數據仍然實際暴露在存在著各種變數的風險環境之下。說得直接一點,這種狀況完全就是“安全”一詞的相反含義。
