如今不論是買了部手機(jī)，還是換了臺(tái)電腦，開機(jī)后都會(huì)有連接互聯(lián)網(wǎng)的步驟，這些點(diǎn)點(diǎn)滴滴的積累逐漸匯聚為萬物互聯(lián)的洪流噴薄而出，各種不安因素也防不勝防。隨之而來的還有網(wǎng)絡(luò)邊界日益模糊、身份魚龍混雜、數(shù)據(jù)泄露等各類安全挑戰(zhàn)。不過如果企業(yè)網(wǎng)絡(luò)能夠基于意圖進(jìn)行動(dòng)態(tài)智能隔離的話，那會(huì)比零信任策略還要靠譜喲。

[[260739]]

什么叫基于意圖隔離

基于意圖的隔離，就是通過結(jié)合AI，能夠根據(jù)業(yè)務(wù)意圖來分解業(yè)務(wù)和安全需求，然后動(dòng)態(tài)地應(yīng)用安全協(xié)議，包括實(shí)現(xiàn)機(jī)器速度下的檢查與隔離。其如同基于意圖的網(wǎng)絡(luò)能夠捕捉業(yè)務(wù)意圖，并在整個(gè)網(wǎng)絡(luò)范圍實(shí)施策略和網(wǎng)絡(luò)狀態(tài)感知一樣，基于意圖的隔離能夠?qū)⒐ぷ髁餍枰L問的服務(wù)和資源，轉(zhuǎn)換為特定的隔離策略實(shí)施，一路沿著業(yè)務(wù)路徑來保護(hù)并隔離它。

這就像當(dāng)檢測到一個(gè)文件是惡意文檔時(shí)，殺毒軟件會(huì)將其自動(dòng)隔離起來，不至于傳染給其他一個(gè)文件一樣。當(dāng)然基于意圖的隔離能做的，可不只有這個(gè)。除了在前端理解業(yè)務(wù)意圖外，基于意圖的隔離要依賴于一個(gè)集成安全框架，該框架使部署在網(wǎng)絡(luò)不同部分的不同工具能夠相互看到和交互。這會(huì)使部署者能夠檢測和響應(yīng)分布環(huán)境中任何地方發(fā)生的威脅，并動(dòng)態(tài)地調(diào)整管理網(wǎng)絡(luò)區(qū)塊的策略。

進(jìn)入數(shù)字化轉(zhuǎn)型時(shí)代，市場要求企業(yè)以更快的速度響應(yīng)客戶和消費(fèi)者的業(yè)務(wù)需求。而為了確保此種隔離進(jìn)度，在移動(dòng)化環(huán)境下企業(yè)也就需要這種可結(jié)合AI并基于意圖的隔離提供安全支撐。

零信任策略有軟肋

網(wǎng)絡(luò)世界中威脅可不僅僅來自于外部，致使當(dāng)下的企業(yè)網(wǎng)絡(luò)逐步向“零信任”策略模型靠攏。在“零信任”網(wǎng)絡(luò)中，不再有可信的設(shè)備、接口和用戶，所有的流量都是不可信任的，仿佛來自任何區(qū)域、設(shè)備和員工的訪問都可能引發(fā)安全威脅。

在現(xiàn)實(shí)世界里也的確如此，企業(yè)內(nèi)部員工有意、無意地會(huì)對(duì)信息安全造成損害，而惡意威脅者也總有辦法侵入網(wǎng)絡(luò)。針對(duì)企業(yè)網(wǎng)絡(luò)似乎只有嚴(yán)格執(zhí)行訪問控制和安全檢測的“零信任”策略，才能滿足企業(yè)對(duì)網(wǎng)絡(luò)的安全要求。

不過實(shí)際上，零信任策略也是有一些局限性的。首先，一旦限制訪問過緊，或驗(yàn)證訪問請求時(shí)間過長，都會(huì)造成網(wǎng)絡(luò)性能的瓶頸。其次，零信任策略還會(huì)影響數(shù)據(jù)的機(jī)密性、完整性和可用性。再有，零信任也無法解決包括DDOS、人為誤操作、系統(tǒng)更新或網(wǎng)絡(luò)問題造成的意外后果等問題。

動(dòng)態(tài)隔離很必要

既然零信任也不是無所不能的，企業(yè)究竟該實(shí)施什么樣的防護(hù)策略來自保安全呢?一種基于動(dòng)態(tài)隔離的策略逐步受到關(guān)注。具體來說，動(dòng)態(tài)隔離策略可根據(jù)業(yè)務(wù)和安全需求隔離設(shè)備、應(yīng)用程序和流量。網(wǎng)絡(luò)訪問控制可以識(shí)別和跟蹤連接到網(wǎng)絡(luò)的任何設(shè)備，并確定其角色和相應(yīng)網(wǎng)絡(luò)權(quán)限。同時(shí)允許網(wǎng)絡(luò)基于設(shè)備角色、生成或處理的數(shù)據(jù)類型等進(jìn)行隔離。

當(dāng)然，這里說的動(dòng)態(tài)隔離與無線部署中的VLAN劃分還不同，因?yàn)閂LAN劃分沒有足夠的安全性，無法無縫跨越分布式網(wǎng)絡(luò)環(huán)境。事實(shí)上，企業(yè)應(yīng)該考慮使用內(nèi)部隔離防火墻(ISFWS)，它提供傳統(tǒng)下一代防火墻(NGFW)解決方案中無法匹配的網(wǎng)絡(luò)內(nèi)可擴(kuò)展性、控制范圍和性能，以及VLAN不提供的安全性和控制范圍。

ISFWS允許管理員根據(jù)各種策略動(dòng)態(tài)、智能地劃分網(wǎng)絡(luò)。網(wǎng)絡(luò)區(qū)塊則可以基于物理位置(如建筑物或樓層)進(jìn)行劃分，以動(dòng)態(tài)移動(dòng)應(yīng)用程序或流量，甚至可以基于設(shè)備進(jìn)行限制。此外，策略驅(qū)動(dòng)的隔離還可以根據(jù)用戶身份或設(shè)備角色，分配不同級(jí)別的安全檢查和跨段清除，滿足橫跨網(wǎng)絡(luò)的授權(quán)。

結(jié)語

在網(wǎng)絡(luò)的海洋里，上面貌似風(fēng)平浪靜，下面卻可能已暗流涌動(dòng)。對(duì)于企業(yè)來說，單一的防護(hù)策略總顯得勢單力孤，而基于意圖的隔離則提供了一個(gè)整體的、集成的安全體系結(jié)構(gòu)，可以適應(yīng)不斷變化的安全需求，檢測和緩解高級(jí)威脅，并根據(jù)需要授予可變的訪問權(quán)限。