邊緣需要分層安全
想要迎接未來的網絡,各組織機構必須從根本上重新構想他們現有的的安全工具。
對許多組織機構來說,數字轉型最容易出現的問題之一是邊緣的迅速崛起,它在許多方面已經取代了傳統的靜態網絡邊界。基于邊緣的網絡模型的出現使組織機構能夠更動態地擴展其網絡,迎接移動用戶、物聯網和終端設備,構建靈活并響應迅速的WAN和云連接,并實現分布式處理。
邊緣計算
邊緣計算使組織機構能夠分析靠近網絡邊緣的重要數據,以便對事件作出近乎實時的響應——很多行業都有這個需求,包括醫療、電信、制造業和金融業。
當然,邊緣不僅僅是一個東西。像智能手機、物聯網設備和移動筆記本電腦等設備越來越需要人們能夠處理離越接近數據產生位置的數據,而不是將數據遠距離發送到物理或虛擬數據中心。對時間敏感的服務,如高速運行的智能汽車,或在支持5G的終端用戶設備上運行的需要消耗大量帶寬的新沉浸式應用,都要求進行實時響應,這意味著這些服務常常需要能夠在本地進行自主決策,而不是將數據發送到數據中心或云進行處理。
邊緣設備
從邊緣連接到核心網絡或集中資源可以采取多種形式。當然,一個智能設備可以生成一個加密的VPN連接回公司網絡。更復雜的系統,如部署在零售店或分支機構的本地LAN,可以利用更復雜的邊緣設備,如專用路由器、路由交換機、集成接入設備(IADs)、多路復用器和SD-WAN解決方案。甚至云中的容器也有獨特的基于邊緣的要求。無論如何,邊緣設備需要協同工作,提供強大且嚴格管理的企業或服務提供商核心網絡入口。
事實上,每當一個終端或物聯網設備、云容器或分支機構需要連接回核心環境以交付或收集數據、處理信息、或運行應用程序或工作負載時,你就創建了一個邊界。你還可以創建多邊緣環境,例如,當分支機構具有特定的SD-WAN連接時,能夠支持與其他分支機構和核心數據中心的互連,并將連接分離到公共網絡或云應用程序或環境中。
保護邊緣
從安全性的角度來看,這些邊緣都需要被保護。正如我們一再看到的那樣,一個組織機構的安全只取決于它最薄弱的一環。應用程序、關鍵資源、敏感交易、PII以及其他數據經常在這些邊緣連接處移動,而組織機構對保護這些信息負有財務責任,而且法律責任也越來越重。
但并不是所有的邊緣連接都是相同的。連接到公共網絡的分支網絡上的設備可能不需要與工程師在討論新知識產權發展需要的遠程視頻會議連接相同的安全級別。組織機構需要在保護關鍵數據和管理有限的資源(如帶寬技術開銷)之間取得平衡。
建立信任等級
隨著需要訪問不斷擴展和日益互連的網絡的設備數量不斷增加,該如何確保每個新的邊緣連接的安全性?
這需要圍繞以下六種技術構建分層的安全策略:
1. 通過VPN保護數據和連接
VPN加密需要成為邊緣連接的基本要求,特別是對那些通過公共可用網絡進行連接的設備。然而基本SSL和IPSec加密可能不適用于某些交易,組織機構可能需要提高進行某些交互或訪問某些數據或資源所需的加密級別。
而且單點連接可能也不夠用。組織機構還需要考慮開發和維護一個網狀VPN覆蓋層,允許多個設備、應用程序和分支機構通過公共網絡安全地進行交互和互連。
2. 通過NAC用于建立身份和策略
尋求網絡訪問的設備需要在連接那一刻就被識別,而且需要根據設備和用戶的身份驗證,他們想要訪問的資源,以及其他相關數據(包括進行連接的位置和時間)為此連接制定相關策略。此外,分配給該設備的任何策略都需要遵循它,以便數據路徑的安全和網絡設備能夠參與到這些策略的實施中。
3. 分段和微分隔保護
一旦識別了一個設備,并且已經指定了一個訪問策略,為確保安全下一步最好是將其動態分配到一個特定的網段以進行嚴密監控,防止其訪問未經授權的資源,并立即隔離那些開始行為異常的設備或應用程序。
4. 可以查看、管理和檢查數據的物理和基于云的安全
我們不僅需要確保連接的安全,還需要檢查連接中包含的應用程序和數據不會被外界獲取。這意味著安全工具需要能夠:
- 在網絡速度下能為加密數據提供深度檢查
- 各種安全解決方案——從NGFW,IPS到應用程序安全和沙箱——都需要能夠根據連接的性質實現不同級別的安全性
- 檢測到的安全事件需要能在整個分布式網絡中觸發一致的響應
5. 集中管理可見性和控制
設備需要能夠通過單一、集中的管理和編排解決方案共享和關聯威脅情報,以便能夠一致地發布策略、識別異常行為,并通過安全解決方案之間的緊密關聯進行一致的響應。
6. 通過SD-WAN要求分支連接
分支機構的WAN邊緣需要高級網絡功能、廣泛的安全解決方案、分支機構位置之間的深度互連以及通過動態網狀VPN覆蓋的其他邊緣的復雜集成。
結論
邊緣設備和邊緣計算不斷發展正在徹底改變當今的網絡,而即將到來的5G只會加速推動這種轉變。在預測數字化轉型的未來時,有兩事情是肯定的:
- 將我們帶到今天的傳統安全解決方案不能讓我們走得更遠;
- 一刀切的邊緣安全方法肯定會失敗。想要迎接未來的網絡,組織機構必須從根本上重新構想他們現有的安全解決方案。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
