【51CTO 1月4日外電頭條】如今的企業(yè)面臨這種形勢：遍布全球的分公司和眾多可信賴的合作伙伴不斷訪問本企業(yè)的資源。這些企業(yè)對企業(yè)（B2B）交互有許多越過了界限分明的傳統(tǒng)網(wǎng)絡邊界，取代了有時限制重重的數(shù)據(jù)交換和通信方法。與之而來的是，安全控制機制同樣需要不斷完善--特別是由于出現(xiàn)了新的訪問方法，因而構建了一個全新的合作伙伴生態(tài)系統(tǒng)。

由于前方面臨新的挑戰(zhàn)，就有必要認識到不斷演進的B2B安全架構，那樣才能真正了解未來。

在過去，企業(yè)通過靜態(tài)控制機制來加固網(wǎng)絡邊界。這種架構只適合靜態(tài)的、已知的通信渠道，而硬件設備與應用層之間基本上沒什么協(xié)調(diào)性。

而如今，安全控制機制越過網(wǎng)絡邊界來滿足企業(yè)的特定要求。用來加固關鍵應用和數(shù)據(jù)安全的技術保護眾多對象，從網(wǎng)絡邊界、核心應用、服務器場到數(shù)據(jù)庫，不一而足?；诜擒娛聟^(qū)（DMZ）的部署方法并沒有被取代，而是由關鍵分界點處保護應用和數(shù)據(jù)的控制機制所補充。由于安全設備頻繁地與后端基礎設施進行聯(lián)系以執(zhí)行控制，所以這些設備更能夠識別用戶身份。

在未來，隨著應用和數(shù)據(jù)控制機制出現(xiàn)在云環(huán)境，基于云的服務將補充應用和數(shù)據(jù)安全?；谠频姆磹阂廛浖⒛_本分析、URL過濾、入侵防護系統(tǒng)（IPS）和Web 應用防火墻等技術，將成為安全專業(yè)人員用來保護B2B交易安全的主要工具。與此同時，企業(yè)會尋求更加分布式的執(zhí)行方法，這些方法需要網(wǎng)絡和物理技術仍然留在企業(yè)內(nèi)部。

展望未來，由于行業(yè)的重大事態(tài)發(fā)展對當前的安全構架提出了挑戰(zhàn)，許多用來保護B2B交易安全的傳統(tǒng)控制機制將滿足不了需求。比如說，由于企業(yè)開始使用移動設備和用到Web 2.0應用的交互媒體，企業(yè)之間的交易和交互實現(xiàn)"移動性"并不罕見。這種內(nèi)容具有動態(tài)性，從而帶來了應用和Web安全所特有的新威脅。

此外，如今的云服務為企業(yè)與B2B合作伙伴共享應用提供了新的方式。由于云服務的規(guī)模、靈活性和成本結構，企業(yè)無法忽視這個極其誘人的選擇。但是作為安全專業(yè)人員，你的任務是要認識到安全和隱私方面的問題。

智能計算（Smart Computing）也會對如今的安全架構提出挑戰(zhàn)。隨著智能電網(wǎng)（Smart Grid）和智能城市（Smart City）等項目開始啟動，企業(yè)會面臨復雜而廣泛的合作伙伴關系，有些關系天生不是傳統(tǒng)的關系。由于高度互聯(lián)的生態(tài)系統(tǒng)加大了網(wǎng)絡威脅，提高了對數(shù)據(jù)機密性的要求，這種事態(tài)發(fā)展將需要安全和風險評估與管理。

到目前為止，大家很少想到采用一種新架構，以滿足這些影響B(tài)2B交互的重大事態(tài)發(fā)展的需要。弗雷斯特研究公司設計出了對于將來的安全B2B交互來說極其重要的四層訪問控制機制。

1、應用訪問控制：將來會在網(wǎng)絡邊界處出現(xiàn)與IAM集成的應用控制。

當應用和服務通過云環(huán)境來托管時，應用訪問、授權和驗證就變得越發(fā)重要。身份和訪問管理（IAM）會扮演重要角色，因為它可與授權管理一起為應用定義角色、職責和訪問級別。應用控制的另一個核心功能是身份聯(lián)合（identity federation）。由于B2B安全依賴這種聯(lián)合，所以控制用戶對關鍵資源的訪問顯得很重要。

2、數(shù)據(jù)訪問控制：加密和端點控制功能很重要。

雖然數(shù)據(jù)訪問控制沒有一個簡明的定義，但我對它所下的定義是：當企業(yè)與多方共享數(shù)據(jù)時，對數(shù)據(jù)進行的授權和保護。幾項技術將構筑這一控制層，原因是企業(yè)想分類、抽象、加密和發(fā)現(xiàn)數(shù)據(jù)，并且控制誰可以訪問數(shù)據(jù)。將來有必要制定一項策略，以便在網(wǎng)絡的不同點執(zhí)行權限管理。

3、網(wǎng)絡訪問控制：架構訪問控制將決定網(wǎng)絡層。

B2B交互依賴入侵檢測系統(tǒng)、入侵防護系統(tǒng)和安全信息管理等工具，以應對各種威脅。所以，架構訪問控制能夠在網(wǎng)絡的不同部分采用執(zhí)行機制，并且從多個渠道確保B2B環(huán)境安全。

4、物理訪問控制：基于身份的控制會成為新領域。

客戶越來越要求基于身份證件和互聯(lián)網(wǎng)協(xié)議（IP）的攝像頭等物理控制系統(tǒng)完全集成到企業(yè)網(wǎng)絡和IT安全控制機制中。比如說，一些企業(yè)可能禁止在邊界入口點未通過身份證件驗證的員工連接到企業(yè)網(wǎng)絡。其他物理設備也會備受歡迎，比如全球定位系統(tǒng)（GPS）、無線頻率識別（RFID）、傳感器和智能卡，以提供基于位置的服務，而這種服務可將用戶的身份與物理系統(tǒng)聯(lián)系起來。

沒有什么方案可以輕松解決B2B安全--這需要在每一個訪問控制層采取多項技術，以建立起全面的架構。貴企業(yè)需要確定一系列常用的技術，比如網(wǎng)絡訪問控制（NAC）、反惡意軟件、入侵防護系統(tǒng)（IPS）、數(shù)據(jù)泄密防護（DLP）和身份和訪問管理（IAM），它們可以幫你為多個入口點實施控制機制。然后在物理層、網(wǎng)絡層、數(shù)據(jù)層和應用層，使用支持可信網(wǎng)絡連接元數(shù)據(jù)接入點接口（TNC IF-MAP）、開放虛擬格式（OVF）和安全聲明標記語言（SAML）等標準的API，將這些技術集成起來。

原文：http://www.csoonline.com/article/597474/the-4-tiers-of-a-secure-b2b-framework?page=1

 【51CTO.com獨家譯稿，非經(jīng)授權謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】

【編輯推薦】

1. 設置邊界路由器訪問控制
2. 通過Linux防火墻提高網(wǎng)絡的訪問控制
3. 用網(wǎng)絡分段與訪問控制NAC隔離攻擊很簡單！
4. 數(shù)據(jù)庫應用安全：如何平衡加密與訪問控制