應對邊緣安全工作帶來的挑戰
責編:gltian |2019-04-15 13:39:27對于很多組織機構來說,網絡邊界已經被各種新的網絡邊緣所取代。這帶來了一些特別的挑戰,這些挑戰可能會使組織機構維護一個一致并易于管理的安全基礎架構的工作變得愈發復雜。這些安全挑戰是一把雙刃劍。
第一點是無論是否具有獨特的網絡或平臺配置或功能,在邊緣實施有效且一致的策略。第二點是在各個邊緣之間創建一致的安全性,不僅是為了可見性,也是為了確保能夠有效的跨邊緣環境進行協調策略變更和威脅響應。
盡管對于任何安全策略來說,保持一致的可見性和控制都是公開的做法,但維護它們的難度正在不斷增加。數字化轉型和新計算環境的發展使安全團隊神經處于持續緊繃的狀態,使其充分保護特定環境所需的精湛專業知識稍顯不足。
因此,在過去幾年里,我們發現針對操作系統已知漏洞的攻擊成功數量激增,雖然漏洞相關的補丁早已發布了幾周甚至幾個月。然而,很多安全團隊的工作量太大,甚至無法維護自己系統上的基本安全生態,更不用說評估和滿足新的網絡環境帶來的需求了。這就是為什么應對這些新的邊緣環境不僅需要了解它們帶來的獨特挑戰(包括如何在邊緣之間實現一致性),還需要考慮應該如何以及在什么地方實現高級自動化來簡化整個安全流程:從開始部署到威脅檢測和協調響應。
保護不斷擴展的網絡邊緣
組織機構需要保護和管理的網絡邊緣環境,可能會遇到一些獨特的安全挑戰,以及應對這些挑戰需要注意的事項包括:
1. 云和多云
每個云平臺都有獨特的控制和管理接口。然而,很多安全設備無法使用這些接口,因為其部署通常基于疊加解決方案(overlay solution)。雖然通過這種方法,能夠在各種云平臺上輕松部署相同的工具,但這些工具可能會丟失某些特性和功能,具體取決于它們所在的平臺——這使得實施一致的策略變得困難。而且由于它們不是在云本地上運行,所以還有可能產生嚴重的性能問題。
云原生安全解決方案要好得多,因其不存在與覆蓋解決方案相同的特性、功能和性能問題。然而,對于一個多云部署來說,可能會面臨著與在另一個平臺上本地運行的同一設備進行交互操作的挑戰。幸運的是,這一問題可以通過添加連接器來解決,連接器不僅支持將云原生安全工具一鍵部署到云環境中,還可以自動充當已部署解決方案之間的轉換器,以確保平臺內部和平臺之間的安全性一致。
2. 終端用戶和物聯網
物聯網和終端設備的普及是很多組織機構面臨的另一個邊緣挑戰。這些設備不僅變得更智能、更快速,而且移動性也很強。一個用戶同時有多個設備連網非常常見,而且用戶還常常將個人和專業數據、應用程序和配置文件放在一臺設備上。客觀的事實是端點安全性往往比較弱,使得組織機構面臨丟失、被盜、下載惡意應用程序等嚴重風險,甚至無意中連接到受損的公共接入點。
物聯網設備帶來了另一種風險。它們正以前所未有的速度加入到我們的網絡中,然而大部分設備不僅不安全,甚至無法進行更新或安裝補丁,這就是為什么它們成為了網絡犯罪分子的首選目標的原因。
保護端點邊緣需要確保通信加密,并且安全設備能夠以網絡速度檢查加密的數據。設備還需要能夠在訪問時就自動被識別,并在沒有人為干預的情況下應用適當的策略和分段規則。這些設備還需要被持續監控,而其訪問策略需要自動延伸到擴展網絡上部署的安全設備上。
3. WAN邊緣
新的SD分支需要與其他遠程位置和數據中心進行直接連接,這意味著其不僅需要能夠允許它們進行連接的VPN服務,而且還能支持性能要求高并對延遲敏感的商務應用,如VoIP和視頻會議。而且因為它們還包括自己的局域網——由固定和移動設備,物聯網設備,IaaS和SaaS連接以及多個公共互聯網鏈接組成——它們還需要一套完整的安全工具。
有效的安全SD-WAN解決方案不僅需要包括高級路由功能和性能增強功能,例如能夠平衡VPN之間負載均衡的應用程序,并且還需要包含一套完整的安全工具,可以與其他地方部署的安全解決方案進行相互操作,而且還能夠無縫地將其安全功能,性能和措施遷移到本地局域網。這不僅可以確保WAN邊緣的可見性一致,而且還無需構建一個特別的SD-WAN安全解決方案,這是許多SD-WAN解決方案所需要的。
4. 5G
5G將帶來前所未有的速度和互聯性,也將進一步影響我們共享關鍵信息、傳播接收多媒體、運行數據量大的應用程序和做出實時決策的方式。設備之間的互連也有可能創建一個新的開放的邊緣云。由于數據需要在網絡最邊緣可用,而且功能性將以微秒為單位進行度量,因此應用程序不能再往返于中央數據中心。
相反,數據和決策——以及安全性——也需要向邊緣移動。它們需要嵌入到邊緣網絡和物聯網設備中,為了滿足性能需求,大多數安全協議不僅需要自動化,還需要利用機器學習和人工智能以數顯轉速做出自主決策。這一努力取得成功的關鍵在于確保我們不會再創建另一種耗盡有限資源的一次性安全。我們需要的是新邊緣的安全性與其他網絡邊緣環境中的部署能無縫集成。
結論
把安全移到邊緣,首先要停止把新的邊緣環境看做獨立的項目,它們是相同安全環境的一部分,而最好的方法是開發一個全面并適應性強的安全結構,可以簡單進行擴展來包括新的網絡環境,而不犧牲其他地方部署的安全設備提供的任何功能和協同性同時,也不放棄任何可見性和集中式編排,以及能夠保持一個易于管理的整體安全策略和具有成本效益的控制。