论文部分内容阅读
“周界防御”的想法和服务器本身一样古老——一提起这个词,就让人联想起上锁的机房间里嗡嗡作响的ENIAC那么大的机器,而防火墙把它们与外部环境分隔开来。当然,您的实际情况不会是这样的——除非您为中央情报局工作。相反,您所保护的数据是在云中,在世界各地的笔记本电脑和手机上流入流出。当信息无处不在时,安全也必须如影随形,让那些还记得实体服务器的人甚至感觉不到还有防护周界的存在。
Keith Casey指出:“周界是一个非常有限的概念,在WiFi和云世界中完全被打破了。”除了担任多家创业公司的顾问之外,Casey还是旧金山的身份验证云提供商Okta的API问题分析员。他解释说:“我们不可能永远被圈在安全边界里,因此,现在的情况完全不同了。以前,IT可以说,如果您在我们的网络上——在我们的物理实体网络上,那我们会为您提供安全协议保证。如果您有实际的网络访问权限,我们可以信任您。”
在云之前,总是可以通过防病毒扫描或者端点防护工具等内部防御措施来不断增强这种安全周界。Casey指出,“不论以前还是现在,仅有周界本身是不够的。如果我在里面,就能随心所欲地活动。这就像把前门锁上了,所以不需要保险箱。”如果这样下去,最佳实践就不会改变:有个“后卫”总归是个好主意。
然而,Casey说:“我们越早抛弃周界这种想法,就越好,因为它给人一种虚假的安全感。”在这样的一个世界上——员工在世界各地的多台设备上工作,那么,我们曾经熟悉的周界几乎是不存在的。现在,他所说的所谓授权(不是防火墙),就是不能让员工凌晨2点在拉斯维加斯登录到您公司的银行账户。传统上,授权被认为是一种内部防御措施。
不论应采用何种安全措施,从拉斯维加斯登录都是不受欢迎的。在肯塔基丹维尔中心学院,凌晨2点来自伦敦、上海和斯特拉斯堡的登录都是可能的。中心学院85%的学生至少在国外学习过一次,无论他们在哪里,都能够访问电子邮件、学院的学习管理系统和校园内联网。
像任何一所大学一样,中心学院的数据链始于一名高中生与招生人员的联系,学生入学后的四年学习,然后毕业后成为校友,在余生里继续参加学院的活动,所有相关信息都记录在数据链上。因此,高级系统和网络协调员Shane Wilson必须保证从青少年社保号码直至校友们捐赠时所需的银行资料等各方面的安全。还有,像任何工作场所一样,也要保护员工数据。
对此,和趋势预测相比,Wilson更依赖于周界防御,而趋势预测的是——“几年前,所有的文章都说,‘周界已经消亡。再也没有周界了。不要担心防火墙’,然后这作为概念存在了一段时间,再后来,‘哦,您真的还需要这样做。不要忽视它。’”幸运的是,随着周界安全问题日益严重,防火墙、入侵检测系统和入侵防御系统在中心学院从未失去其地位:企业资源规划(ERP)软件——包含了员工和学生个人身份信息(PII),仍然处于传统的安全周界内。
Wilson承认,任何东西周围都没有周界,也不应该有。以学院剧场为例,它使用供应商提供的自己有安全功能的SaaS票务平台,学生的电子邮件也不在安全周界里面了。四年前,Wilson把它迁移到了微软Office 365。然后是之间的所有信息,比如学院网站centre.edu的代码。
Wilson说:“网站上的所有信息都是向外界敞开的。对此,重要的不是阻止信息渗出,而是不被黑掉。”最后,大部分数据都受到了混合系统的保护,而该系统托管在学院通过云访问的物理服务器上。这些服务器有本地防御、周界防御,以及内部防御措施来保护连接。
Casey介绍说,这种做法证明了周界正在发生变化,周界和内部安全正在向分层防御演变,在内部运行,在云中运行或者两者兼而有之。他说:“我们应该知道,周界不是固定不变的,而是随着时间的推移而不断变化。”回到拉斯维加斯的例子,他补充说,“仅仅基于位置的安全措施是不够的。我们应该根据用户是谁以及在那个具体的时刻想要干什么来保证安全。”
因此,安全的未来不在周界,也不在内部。这是一种多方面的防御,看起来两者都有点像。Casey继续说:“我们的想法是没有能涵盖一切的解决方案,但是有很多随着时间的推移而发生变化的不同等级的权限。”周界防御最初的说法是,“如果通过了,就一定会没事”,他说,“纵深防御可以支持各种应用情形,有效地建立有权限才能访问的‘安全区’——就像在机场一样。”一旦进入安全区,并不意味著周界不让您出去,呆在里面就不会有麻烦。这实际上是按照更高等级要求,更巧妙的对数据和权限进行评估。
Wilson说:“Casey是对的。周界确实存在,只是有所不同——它更优先。”
中心学院有意放缓了向这一新现实的过渡,大概需要10到12年的时间。Wilson承认,“我们不是最前沿的,但我们很高兴没有这样做。”中心学院是一所小规模的文科学院,其声誉在于教会学生在作出决定之前独立进行合乎逻辑的思考。Wilson的安全措施必须考虑到学院的因素,因为只有这样做,他才能得到内部支持,而且他的部门也能做出对学院最有利的决定。他补充道,“坦白地说,我的信息也在这个系统中,确保我们的系统是安全的,这也符合我自己的最大利益。”
无论您在哪里工作,也不论环境怎样变化,都是如此。Wilson说,“很多地方实际上发现他们已经把东西迁走了,为的是把这些信息放回到安全周界里。”他总结说,您做出决定时必须考虑到“无论是福特汽车公司还是中心学院,对于企业使命来说,什么才是是真正重要的。”
Keith Casey指出:“周界是一个非常有限的概念,在WiFi和云世界中完全被打破了。”除了担任多家创业公司的顾问之外,Casey还是旧金山的身份验证云提供商Okta的API问题分析员。他解释说:“我们不可能永远被圈在安全边界里,因此,现在的情况完全不同了。以前,IT可以说,如果您在我们的网络上——在我们的物理实体网络上,那我们会为您提供安全协议保证。如果您有实际的网络访问权限,我们可以信任您。”
在云之前,总是可以通过防病毒扫描或者端点防护工具等内部防御措施来不断增强这种安全周界。Casey指出,“不论以前还是现在,仅有周界本身是不够的。如果我在里面,就能随心所欲地活动。这就像把前门锁上了,所以不需要保险箱。”如果这样下去,最佳实践就不会改变:有个“后卫”总归是个好主意。
然而,Casey说:“我们越早抛弃周界这种想法,就越好,因为它给人一种虚假的安全感。”在这样的一个世界上——员工在世界各地的多台设备上工作,那么,我们曾经熟悉的周界几乎是不存在的。现在,他所说的所谓授权(不是防火墙),就是不能让员工凌晨2点在拉斯维加斯登录到您公司的银行账户。传统上,授权被认为是一种内部防御措施。
不论应采用何种安全措施,从拉斯维加斯登录都是不受欢迎的。在肯塔基丹维尔中心学院,凌晨2点来自伦敦、上海和斯特拉斯堡的登录都是可能的。中心学院85%的学生至少在国外学习过一次,无论他们在哪里,都能够访问电子邮件、学院的学习管理系统和校园内联网。
像任何一所大学一样,中心学院的数据链始于一名高中生与招生人员的联系,学生入学后的四年学习,然后毕业后成为校友,在余生里继续参加学院的活动,所有相关信息都记录在数据链上。因此,高级系统和网络协调员Shane Wilson必须保证从青少年社保号码直至校友们捐赠时所需的银行资料等各方面的安全。还有,像任何工作场所一样,也要保护员工数据。
对此,和趋势预测相比,Wilson更依赖于周界防御,而趋势预测的是——“几年前,所有的文章都说,‘周界已经消亡。再也没有周界了。不要担心防火墙’,然后这作为概念存在了一段时间,再后来,‘哦,您真的还需要这样做。不要忽视它。’”幸运的是,随着周界安全问题日益严重,防火墙、入侵检测系统和入侵防御系统在中心学院从未失去其地位:企业资源规划(ERP)软件——包含了员工和学生个人身份信息(PII),仍然处于传统的安全周界内。
Wilson承认,任何东西周围都没有周界,也不应该有。以学院剧场为例,它使用供应商提供的自己有安全功能的SaaS票务平台,学生的电子邮件也不在安全周界里面了。四年前,Wilson把它迁移到了微软Office 365。然后是之间的所有信息,比如学院网站centre.edu的代码。
Wilson说:“网站上的所有信息都是向外界敞开的。对此,重要的不是阻止信息渗出,而是不被黑掉。”最后,大部分数据都受到了混合系统的保护,而该系统托管在学院通过云访问的物理服务器上。这些服务器有本地防御、周界防御,以及内部防御措施来保护连接。
Casey介绍说,这种做法证明了周界正在发生变化,周界和内部安全正在向分层防御演变,在内部运行,在云中运行或者两者兼而有之。他说:“我们应该知道,周界不是固定不变的,而是随着时间的推移而不断变化。”回到拉斯维加斯的例子,他补充说,“仅仅基于位置的安全措施是不够的。我们应该根据用户是谁以及在那个具体的时刻想要干什么来保证安全。”
因此,安全的未来不在周界,也不在内部。这是一种多方面的防御,看起来两者都有点像。Casey继续说:“我们的想法是没有能涵盖一切的解决方案,但是有很多随着时间的推移而发生变化的不同等级的权限。”周界防御最初的说法是,“如果通过了,就一定会没事”,他说,“纵深防御可以支持各种应用情形,有效地建立有权限才能访问的‘安全区’——就像在机场一样。”一旦进入安全区,并不意味著周界不让您出去,呆在里面就不会有麻烦。这实际上是按照更高等级要求,更巧妙的对数据和权限进行评估。
Wilson说:“Casey是对的。周界确实存在,只是有所不同——它更优先。”
中心学院有意放缓了向这一新现实的过渡,大概需要10到12年的时间。Wilson承认,“我们不是最前沿的,但我们很高兴没有这样做。”中心学院是一所小规模的文科学院,其声誉在于教会学生在作出决定之前独立进行合乎逻辑的思考。Wilson的安全措施必须考虑到学院的因素,因为只有这样做,他才能得到内部支持,而且他的部门也能做出对学院最有利的决定。他补充道,“坦白地说,我的信息也在这个系统中,确保我们的系统是安全的,这也符合我自己的最大利益。”
无论您在哪里工作,也不论环境怎样变化,都是如此。Wilson说,“很多地方实际上发现他们已经把东西迁走了,为的是把这些信息放回到安全周界里。”他总结说,您做出决定时必须考虑到“无论是福特汽车公司还是中心学院,对于企业使命来说,什么才是是真正重要的。”