在基于意圖的隔離面前 零信任也認慫
如今不論是買了部手機,還是換了臺電腦,開機后都會有連接互聯網的步驟,這些點點滴滴的積累逐漸匯聚為萬物互聯的洪流噴薄而出,各種不安因素也防不勝防。隨之而來的還有網絡邊界日益模糊、身份魚龍混雜、數據泄露等各類安全挑戰。不過如果企業網絡能夠基于意圖進行動態智能隔離的話,那會比零信任策略還要靠譜喲。
什么叫基于意圖隔離
基于意圖的隔離,就是通過結合AI,能夠根據業務意圖來分解業務和安全需求,然后動態地應用安全協議,包括實現機器速度下的檢查與隔離。其如同基于意圖的網絡能夠捕捉業務意圖,并在整個網絡范圍實施策略和網絡狀態感知一樣,基于意圖的隔離能夠將工作流需要訪問的服務和資源,轉換為特定的隔離策略實施,一路沿著業務路徑來保護并隔離它。
這就像當檢測到一個文件是惡意文檔時,殺毒軟件會將其自動隔離起來,不至于傳染給其他一個文件一樣。當然基于意圖的隔離能做的,可不只有這個。除了在前端理解業務意圖外,基于意圖的隔離要依賴于一個集成安全框架,該框架使部署在網絡不同部分的不同工具能夠相互看到和交互。這會使部署者能夠檢測和響應分布環境中任何地方發生的威脅,并動態地調整管理網絡區塊的策略。
進入數字化轉型時代,市場要求企業以更快的速度響應客戶和消費者的業務需求。而為了確保此種隔離進度,在移動化環境下企業也就需要這種可結合AI并基于意圖的隔離提供安全支撐。
零信任策略有軟肋
網絡世界中威脅可不僅僅來自于外部,致使當下的企業網絡逐步向“零信任”策略模型靠攏。在“零信任”網絡中,不再有可信的設備、接口和用戶,所有的流量都是不可信任的,仿佛來自任何區域、設備和員工的訪問都可能引發安全威脅。
在現實世界里也的確如此,企業內部員工有意、無意地會對信息安全造成損害,而惡意威脅者也總有辦法侵入網絡。針對企業網絡似乎只有嚴格執行訪問控制和安全檢測的“零信任”策略,才能滿足企業對網絡的安全要求。
不過實際上,零信任策略也是有一些局限性的。首先,一旦限制訪問過緊,或驗證訪問請求時間過長,都會造成網絡性能的瓶頸。其次,零信任策略還會影響數據的機密性、完整性和可用性。再有,零信任也無法解決包括DDOS、人為誤操作、系統更新或網絡問題造成的意外后果等問題。
動態隔離很必要
既然零信任也不是無所不能的,企業究竟該實施什么樣的防護策略來自保安全呢?一種基于動態隔離的策略逐步受到關注。具體來說,動態隔離策略可根據業務和安全需求隔離設備、應用程序和流量。網絡訪問控制可以識別和跟蹤連接到網絡的任何設備,并確定其角色和相應網絡權限。同時允許網絡基于設備角色、生成或處理的數據類型等進行隔離。
當然,這里說的動態隔離與無線部署中的VLAN劃分還不同,因為VLAN劃分沒有足夠的安全性,無法無縫跨越分布式網絡環境。事實上,企業應該考慮使用內部隔離防火墻(ISFWS),它提供傳統下一代防火墻(NGFW)解決方案中無法匹配的網絡內可擴展性、控制范圍和性能,以及VLAN不提供的安全性和控制范圍。
ISFWS允許管理員根據各種策略動態、智能地劃分網絡。網絡區塊則可以基于物理位置(如建筑物或樓層)進行劃分,以動態移動應用程序或流量,甚至可以基于設備進行限制。此外,策略驅動的隔離還可以根據用戶身份或設備角色,分配不同級別的安全檢查和跨段清除,滿足橫跨網絡的授權。
結語
在網絡的海洋里,上面貌似風平浪靜,下面卻可能已暗流涌動。對于企業來說,單一的防護策略總顯得勢單力孤,而基于意圖的隔離則提供了一個整體的、集成的安全體系結構,可以適應不斷變化的安全需求,檢測和緩解高級威脅,并根據需要授予可變的訪問權限。
