隨著信息進一步涌向云端，邊界安全的角色正在發生改變，逐漸成為網絡安全多維解決方案的一部分。

邊界防御的出現，跟服務器本身一樣古老。說出邊界防御這詞兒，腦海中就會自然浮現這么一幅圖景：上鎖的房間中，一排排超大型機柜在嗡嗡作響，還有防火墻將機器與外部世界隔離開。但除非你在為CIA干活，否則這場景不太可能是你的日常所見。相反，你保護的數據存于云端，通過筆記本電腦和手機滿世界流動。API接入，電子郵件發出。當信息遍布各處，安全也必須無處不在，讓那些還記得服務器真身的人疑惑，現在還會有邊界防御這種東西嗎?

[[213097]]

一、從邊界到授權

邊界是個非常局限的想法，在一個充滿WiFi和云的世界中，這種東西早已七零八落了。情況變了，我們一貫倚賴的邊界，不再那么可靠。在以前，IT人員可以說，如果你在我們的網絡上——在我們硬線連接的物理網絡上，那就有安全協議;如果你跟我們的網絡物理連接，我們可以信任你。

云時代以前，邊界受到殺毒軟件掃描或終端防護工具之類內部防御的強化。但時移世易，如今僅靠邊界本身已不足夠。只要進入內部，簡直為所欲為。這就像是因為鎖了大門就不再使用保險箱一樣。如此看來，最佳實踐一直沒變：安排“后衛”一向都是個好想法。

然而，我們越快摒棄邊界這種想法越好，因為它會給人一種虛假的安全感。在一個員工分布各地，用各種設備工作的世界里，邊界已經不存在了。如今，是授權而非防火墻，才是防止員工凌晨2點從拉斯維加斯登錄公司銀行賬戶的。授權一直以來都被認為是種內部防御。

無論捕獲從賭城登錄行為的是何種安全措施，這種非正常的登錄是很明顯的。但對于美國肯塔基丹維爾市的私立中心學院來說，凌晨2點從倫敦、上海和斯特拉斯堡登錄都是可以的。其85%的學生至少會有一次海外學習經歷，可以登錄該學院的學習管理系統、電子郵件系統和校園內網，無論他們身處何地。

二、基于身份

與任何一所學院一樣，中心學院的數據鏈從高中生聯系招生辦就開始了，貫穿4年大學學習生涯，然后是畢業生的余生。于是，從在校生社會安全號到畢業生捐款銀行信息，所有的一切都需要保護好。另外，與所有用人單位一樣，雇員信息也在需保護的數據之列。

中心學院更依靠邊界防御來保護數據，而不是跟著趨勢預測走：幾年前，所有文章都說“邊界已死，不用管防火墻了”。這一理念流行了一段時間后，“哎呀，你真的還需要照看好防火墻哦。千萬別忽視了它。”幸運的是，邊界安全起起落落，但防火墻、入侵檢測系統和入侵預防系統從未在中心學院失去它們的地位：包含雇員及學生個人可識別信息(PII)的企業資源規劃(ERP)軟件，依然處于傳統邊界罩護之下。

當然不是所有東西都有邊界包圍，也不應該有。就以學院劇場為例，該劇場的SaaS票務平臺，就是來自具備自身安全措施的供應商。學生電子郵件也不再身處邊界之后，4年前就已遷移到了微軟 Office 365 上。然后還有其間流轉的全部信息，比如學院網站centre.edu的代碼。

反正該網站上沒什么東西是真心不想公開的。重要的不是防止數據滲出，而是保護網站不被黑。最后，大多數數據由混合系統防護，托管在學院通過云來訪問的物理服務器上。這些服務器有實地邊界防御，還有內部防御保護其連接。

中心學院的這種操作就是明證，證明邊界正在改變。邊界和內部安全正演變成為可在內部、云端或二者之上運營的多層防御。邊界不僅僅是物理邊界，這一概念隨著時間推移而發生了改變。

回到之前提出的凌晨2點從賭城登錄公司銀行賬戶的例子，僅僅基于登錄地點的安全措施顯然還不夠好。安全需要基于你的身份，以及你在特定時間點上想要做的事。

三、邊界依然存在 只是更加層次化

因此，安全的未來不在于邊界或內部，而是多層面防御。沒什么解決方案能覆蓋完全，但有很多不同層次的權限會隨時間改變。

正如原始邊界防御表征“通過的一定是良性的”，深度防御能夠處理不同用例，并有效創建“安全區”——類似機場。于是，這并不是說用邊界阻隔外客，用內部防御避免進入之后的麻煩，而是要在一個更高更細化的層次上評估數據和權限。

中心學院向這一新現實的轉變速度被人為放緩，IT部門預計要用10到12年。因為他們并非占在新興技術的前沿，他們也慶幸自己沒有處于這個“邊緣”位置。該學院的安全方法也反映出了自身理念——不僅僅是為了贏得內部買入預算的時間，也是為了做出最有利于學院的決策。

邊界確實存在，只是發生了變化，更加層次化了。

無論你在哪兒工作，無論環境有多先進，很多地方實際上發現，自己安全方法的遷移，不過是為了把信息再放回到邊界之內。不管你是福特汽車公司還是中心學院這種小組織，你做的決定都必須考慮到，什么才是對公司使命真正重要的東西。