應(yīng)對邊緣安全工作帶來的挑戰(zhàn)
時間:2019-04-22
對于很多組織機構(gòu)來說�����,網(wǎng)絡(luò)邊界已經(jīng)被各種新的網(wǎng)絡(luò)邊緣所取代����。這帶來了一些特別的挑戰(zhàn)�,這些挑戰(zhàn)可能會使組織機構(gòu)維護一個一致并易于管理的安全基礎(chǔ)架構(gòu)的工作變得愈發(fā)復(fù)雜��。這些安全挑戰(zhàn)是一把雙刃劍��。
第一點是無論是否具有獨特的網(wǎng)絡(luò)或平臺配置或功能���,在邊緣實施有效且一致的策略���。第二點是在各個邊緣之間創(chuàng)建一致的安全性,不僅是為了可見性��,也是為了確保能夠有效的跨邊緣環(huán)境進行協(xié)調(diào)策略變更和威脅響應(yīng)��。
盡管對于任何安全策略來說��,保持一致的可見性和控制都是公開的做法�����,但維護它們的難度正在不斷增加�。數(shù)字化轉(zhuǎn)型和新計算環(huán)境的發(fā)展使安全團隊神經(jīng)處于持續(xù)緊繃的狀態(tài)���,使其充分保護特定環(huán)境所需的精湛專業(yè)知識稍顯不足。
因此����,在過去幾年里,我們發(fā)現(xiàn)針對操作系統(tǒng)已知漏洞的攻擊成功數(shù)量激增����,雖然漏洞相關(guān)的補丁早已發(fā)布了幾周甚至幾個月。然而���,很多安全團隊的工作量太大�����,甚至無法維護自己系統(tǒng)上的基本安全生態(tài)���,更不用說評估和滿足新的網(wǎng)絡(luò)環(huán)境帶來的需求了。這就是為什么應(yīng)對這些新的邊緣環(huán)境不僅需要了解它們帶來的獨特挑戰(zhàn)(包括如何在邊緣之間實現(xiàn)一致性)�,還需要考慮應(yīng)該如何以及在什么地方實現(xiàn)高級自動化來簡化整個安全流程:從開始部署到威脅檢測和協(xié)調(diào)響應(yīng)。
保護不斷擴展的網(wǎng)絡(luò)邊緣
組織機構(gòu)需要保護和管理的網(wǎng)絡(luò)邊緣環(huán)境�����,可能會遇到一些獨特的安全挑戰(zhàn),以及應(yīng)對這些挑戰(zhàn)需要注意的事項包括:
1. 云和多云
每個云平臺都有獨特的控制和管理接口�。然而,很多安全設(shè)備無法使用這些接口���,因為其部署通?���;诏B加解決方案(overlay solution)�����。雖然通過這種方法����,能夠在各種云平臺上輕松部署相同的工具��,但這些工具可能會丟失某些特性和功能�,具體取決于它們所在的平臺——這使得實施一致的策略變得困難。而且由于它們不是在云本地上運行��,所以還有可能產(chǎn)生嚴重的性能問題�����。
云原生安全解決方案要好得多,因其不存在與覆蓋解決方案相同的特性���、功能和性能問題���。然而,對于一個多云部署來說�,可能會面臨著與在另一個平臺上本地運行的同一設(shè)備進行交互操作的挑戰(zhàn)。幸運的是�,這一問題可以通過添加連接器來解決,連接器不僅支持將云原生安全工具一鍵部署到云環(huán)境中�,還可以自動充當(dāng)已部署解決方案之間的轉(zhuǎn)換器,以確保平臺內(nèi)部和平臺之間的安全性一致�����。
2. 終端用戶和物聯(lián)網(wǎng)
物聯(lián)網(wǎng)和終端設(shè)備的普及是很多組織機構(gòu)面臨的另一個邊緣挑戰(zhàn)��。這些設(shè)備不僅變得更智能�、更快速,而且移動性也很強�����。一個用戶同時有多個設(shè)備連網(wǎng)非常常見,而且用戶還常常將個人和專業(yè)數(shù)據(jù)�����、應(yīng)用程序和配置文件放在一臺設(shè)備上���?����?陀^的事實是端點安全性往往比較弱����,使得組織機構(gòu)面臨丟失����、被盜�、下載惡意應(yīng)用程序等嚴重風(fēng)險,甚至無意中連接到受損的公共接入點��。
物聯(lián)網(wǎng)設(shè)備帶來了另一種風(fēng)險����。它們正以前所未有的速度加入到我們的網(wǎng)絡(luò)中,然而大部分設(shè)備不僅不安全����,甚至無法進行更新或安裝補丁���,這就是為什么它們成為了網(wǎng)絡(luò)犯罪分子的首選目標的原因。
保護端點邊緣需要確保通信加密��,并且安全設(shè)備能夠以網(wǎng)絡(luò)速度檢查加密的數(shù)據(jù)�����。設(shè)備還需要能夠在訪問時就自動被識別�����,并在沒有人為干預(yù)的情況下應(yīng)用適當(dāng)?shù)牟呗院头侄我?guī)則�����。這些設(shè)備還需要被持續(xù)監(jiān)控�,而其訪問策略需要自動延伸到擴展網(wǎng)絡(luò)上部署的安全設(shè)備上。
3. WAN邊緣
新的SD分支需要與其他遠程位置和數(shù)據(jù)中心進行直接連接�,這意味著其不僅需要能夠允許它們進行連接的VPN服務(wù),而且還能支持性能要求高并對延遲敏感的商務(wù)應(yīng)用���,如VoIP和視頻會議�����。而且因為它們還包括自己的局域網(wǎng)——由固定和移動設(shè)備���,物聯(lián)網(wǎng)設(shè)備�,IaaS和SaaS連接以及多個公共互聯(lián)網(wǎng)鏈接組成——它們還需要一套完整的安全工具���。
有效的安全SD-WAN解決方案不僅需要包括高級路由功能和性能增強功能���,例如能夠平衡VPN之間負載均衡的應(yīng)用程序,并且還需要包含一套完整的安全工具����,可以與其他地方部署的安全解決方案進行相互操作���,而且還能夠無縫地將其安全功能����,性能和措施遷移到本地局域網(wǎng)�����。這不僅可以確保WAN邊緣的可見性一致,而且還無需構(gòu)建一個特別的SD-WAN安全解決方案�����,這是許多SD-WAN解決方案所需要的���。
4. 5G
5G將帶來前所未有的速度和互聯(lián)性���,也將進一步影響我們共享關(guān)鍵信息、傳播接收多媒體��、運行數(shù)據(jù)量大的應(yīng)用程序和做出實時決策的方式���。設(shè)備之間的互連也有可能創(chuàng)建一個新的開放的邊緣云��。由于數(shù)據(jù)需要在網(wǎng)絡(luò)最邊緣可用�����,而且功能性將以微秒為單位進行度量���,因此應(yīng)用程序不能再往返于中央數(shù)據(jù)中心��。
相反��,數(shù)據(jù)和決策——以及安全性——也需要向邊緣移動���。它們需要嵌入到邊緣網(wǎng)絡(luò)和物聯(lián)網(wǎng)設(shè)備中,為了滿足性能需求���,大多數(shù)安全協(xié)議不僅需要自動化���,還需要利用機器學(xué)習(xí)和人工智能以數(shù)顯轉(zhuǎn)速做出自主決策。這一努力取得成功的關(guān)鍵在于確保我們不會再創(chuàng)建另一種耗盡有限資源的一次性安全�����。我們需要的是新邊緣的安全性與其他網(wǎng)絡(luò)邊緣環(huán)境中的部署能無縫集成����。
結(jié)論
把安全移到邊緣,首先要停止把新的邊緣環(huán)境看做獨立的項目����,它們是相同安全環(huán)境的一部分��,而最好的方法是開發(fā)一個全面并適應(yīng)性強的安全結(jié)構(gòu),可以簡單進行擴展來包括新的網(wǎng)絡(luò)環(huán)境�����,而不犧牲其他地方部署的安全設(shè)備提供的任何功能和協(xié)同性同時���,也不放棄任何可見性和集中式編排����,以及能夠保持一個易于管理的整體安全策略和具有成本效益的控制����。
在線咨詢
在線咨詢
0371-63319761