受业务驱动的几大IT趋势正在不断削弱传统网络安全解决方案的有效性,促使了相关产品和技术的升级。本文着重介绍了其中的四大趋势——消费化、网络化、虚拟化和整合,包括形成的原因,影响网络安全的特性,以及对网络安全策略和解决方案的启示。
总之,企业应该更多地关注可根据更高级属性(如用户身份、正在使用的特定应用和正在传输的实际内容)来定义和执行策略的网络安全解决方案,而不是主要根据网络层信息(如端口、源/目标地址)以及所推断的关系来建立相应信任级别的解决方案。此外,企业应重点关注可提供多种防范措施和其它辅助功能的一体化解决方案,尤其是入侵防御和反恶意软件功能。这种解决方案不仅能降低成本和复杂性,还能有效应对现实问题,利用更强的访问控制有效阻止威胁通过授权通过的业务流入侵。
人的力量
必须强调一下,上述四大趋势都不是新兴的。如“趋势”一词所定义的那样,每种趋势都已持续了数年,只是如今的发展势头越来越强劲。可以这样说,这四大趋势已成为主流发展趋势,且彼此之间相互渗透,相互影响,因此,目前是彻底了解相关安全问题的最佳时机。首先介绍的是消费化。
什么是IT消费化?
简而言之,IT消费化就是将消费者导向型的技术、行为和期望纳入企业IT范畴。也许,“纳入”一词并不足以形容正在发生的变化。事实上更像是IT被迫接受,除了支持个性化的与传统的“业务导向型”设备、服务和行为的不断跨界和融合,IT没有其它任何选择。
消费化产生的原因是什么?
消费化趋势的出现有多种原因。首先,我们必须承认这一点,推动企业发展并实现可持续性的主要因素是人。随着时间的推移,人们能以更低的价格获得更加简单易用,但功能非常强大的工具,通常包括设备、应用和服务,这些工具可改善人们的生活质量,例如,更快捷、更方便地访问信息,或实现更高效的通信。如今,作为企业员工,他们希望能在办公环境下使用这些创新工具以及相关技能,以改善办公质量。与其说他们很想这样做,还不如说他们特别期待。
此外,业务经理也有意支持,甚至是鼓励这种现象。除了改善业务流程的操作和效率外,他们还希望降低用户设备、技术支持和培训预算,以实现更高的效益。
消费化如何影响网络安全?
那消费化与网络安全又有什么关系呢?确切地说,IT消费化其中最主要的特点就是随着终端用户计算设备的增多,IT控制就会变得越来越困难。事实上,这会降低和改变分配给指定设备的信任级别。IT部门及其网络安全基础架构必须在设备增加和控制削弱之间找到平衡点。不是所有设备都具备强健的安全模式,也不是所有设备都是企业所有的或受企业控制的,甚至设备地点(如网络内)以及设备类型、安全状态或用户类别之间的关系都不是非常明确。
在这种情况下,网络安全解决方案不仅需要根据设备类型,还需要根据设备连接公司计算环境时设备的安全状态来调整访问和使用策略。这听起来似乎不错,但这些策略涉及了大量细节,因此,很快就会变得异常复杂且难以管理。更好的解决方案就是能通过以下方式减少对这种策略的依赖:
1)支持用户身份,这是建立信任级别的一个更具价值和更重要的属性;以及
2)将所有设备当作不可信任设备对待,例如,集成入侵防御和反恶意软件功能,扫描所有设备的所有流量。
IT消费化带来的两大负面影响也值得我们关注。第一点影响是,消费化与移动化是天生联系在一起的。涉及的设备类型包括PDA、智能手机和其他便携式平台。人们希望这些设备不仅能在办公室使用,还能在其它远程地方使用。这就意味着企业需要在网络安全产品组合中纳入SSL VPN技术。
第二点影响与用户和管理员都有关系,涉及到了消费化带来的另一大期望:希望工具更简单、直接和易用。展望未来,网络安全解决方案应该能完美展现这些功能。
Web、Web 2.0和Enterprise 2.0
IT网络化是一个统称,包含三大演变:
● 从使用胖客户端的应用到使用Web浏览器作为通用客户端的应用的长期演变;
● 从用于传输静态信息的简单的发布网站到可创收的交易型Web应用,再到如今丰富的、高度互动的Web 2.0服务的演变;
● Enterprise 2.0的出现,这是IT消费化的另一特征,曾被认为是毫无价值的用户导向型Web 2.0服务和技术现可推动各种业务运营,如市场营销、技术支持和研发。
网络化产生的原因是什么?
同样,网络化的产生也有多种原因。其中最重要的一点是Web扩大了企业的服务范围。标准化以及相关的成本效率也是非常重要的推动因素。具体到Web和Enterprise 2.0而言,随着这些应用的广泛使用,许多企业也开始使用这些应用,以实现“自我提升”。此外,采用正确的方案,Web的网络影响力不仅能帮助企业吸引更多用户和客户,还能让企业从中学习和受益。和以前不同,企业现在可深入、透彻地挖掘、更改、重新评估、确定和量化新的创意。简言之,网络化可大幅提升企业的运营效率和市场竞争力,这也正是网络化产生的原因。
网络化如何影响网络安全?
IT网络化将在以下三个方面影响网络安全策略和解决方案的演变。
(1)设置和执行安全策略时,协议和端口信息事实上毫无用处。网络化指的是约占三分之二的网络流量采用HTTP和HTTPS协议,分别经TCP端口80和443传输。但实际使用的应用可以是任何事物,甚至是电子邮件。就这点而言,虽然Web流量最容易带来风险和威胁,但采用类似的方式,其它端口和协议也可能被使用,甚至滥用,从而导致更大的风险。这样一来,网络安全解决方案不能再继续依赖端口和协议,而应提供更强的透明度和流畅性,可根据产生流量的特定应用来控制或部分控制流量。
(2)Web 2.0的参与性以及用于执行相应功能的技术的敏感性使企业无法根据可信任或不可信任类别来预先划分Web网站和服务。这样,黑客很容易发现相应的漏洞,或发布属于恶意软件(包含恶意软件指示符)的内容。与IT消费化类似,网络化要求网络安全解决方案将所有网站和服务当成不可信任的对待,因此,需要实时扫描所有相关的网络流量,查找恶意软件和其它威胁。
(3)Web/Enterprise 2.0的参与性还会推动数据分享和交换。这就会增加有意和无意泄露敏感信息的风险,因此,网络安全解决方案需要增加一些用于控制内容流量和个人数据信息的基本功能,如阻止某种类型的文件、包含敏感数据的已知指定文件、经检测包含敏感资料的文件和其它通信流量。
虚拟化无处不在
正如领先的虚拟化服务提供商VMware公司所宣称的那样,虚拟化就是将资源或服务请求从底层物理服务交付中分离出来。具体而言,用这种方式分离资源界面的目的是让多个客户能共享此服务,但同时每个客户的服务界面又是相互独立的。例如,采用服务器虚拟化技术,服务器硬件的单个实例可有效支持多个工作负载或虚拟机,每个虚拟机都包含应用、操作系统和相关的数据文件。
虚拟化产生的原因是什么?
由于其显著的效益,服务器虚拟化受到了各种规模和类型的企业的青睐。企业可大幅减少服务器数量,从而削减硬件、管理、能源、设施和其他方面的开支。此外,虚拟机工作负载的可迁移性有助于实现高可用性和业务连续性目标,同时更能适应不断变化的业务环境和操作模式。例如,采用服务器虚拟化技术和相应的管理工具集,可按需增加(或减少)工作负载的实例,并按需灵活地重新置备资源,当需求比较大时,可通过云计算环境基础架构扩充现有数据中心。
确切地说,桌面虚拟化、应用虚拟化和其它虚拟化技术越来越受欢迎。然而,其普及程度还远远赶不上服务器虚拟化,也不会像服务器虚拟化一样对网络安全产生至关重要的影响。但值得注意的是,桌面虚拟化可以解决因IT消费化导致的设备数量激增的问题。就这点而言,桌面虚拟化是非常有吸引力的,采用此技术,应用和敏感数据都保存在数据中心,且可供用户访问。
虚拟化如何影响网络安全?
就网络安全而言,服务器虚拟化带来的最大挑战就是如何保护虚拟网络和动态网络的安全。
虚拟网络安全问题主要是由于虚拟交换功能以及在单个物理主机中创建部分网络的能力的出现。企业面临的问题是如何对这种环境下运行的虚拟服务器之间的通信流量实施正确的安全策略和过滤功能。解决方法是网络安全解决方案本身必须“虚拟化”。换句话说,网络安全解决方案必须是虚拟设备或简单的软件,方便管理员将其与操作系统结合起来,然后“打包”成一个虚拟机。
保护动态网络安全难度相对大些。实时迁移是大多数服务器虚拟化解决方案都具备的常见的增值功能,当第一台服务器负载过度或即将崩溃时,支持虚拟机从一台物理服务器动态迁移到另一台。在这种情况下,关联的或邻近的安全设备可能会缺乏上下文,也就是会话状态、联网系统之间的关系,或迁移系统的身份都会丢失,从而无法正确执行相应的安全策略。要解决此问题,网络安全解决方案必须减少对会话状态、位置、方向定位和网络层属性等信息的依赖,而根据独立于物理和逻辑环境的信息,如正在使用的特定应用和服务以及使用者来制定策略。
整合和集中化是核心目标
IT整合是最后一大宏观趋势。简而言之,如今企业都希望减少不同实例的数量以及所拥有的或所需操作和维护的基础架构的总量。在这种情况下,基础架构可以是任何东西,既可以是应用、服务器、存储和网络设备,也可以是整个数据中心。IT整合趋势还会推动集中化的发展,并让企业无需在远程办公室搭建基础架构,而在更少地方运行同一解决方案的更多实例,然后支持用户开展远程访问。
整合出现的原因是什么?
如今,企业非常热衷于IT整合和集中化,主要是因为IT整合和集中化可有效降低基础架构的相关成本和复杂性,以及提高运营效率。除以上好处外,IT整合和集中化还能帮助企业简化安全,满足隐私和行业安全法规。同时,通过大量推行安全的远程访问,并以更低的成本为大多数关键业务系统提供先进的HA功能,从而更轻松地实现灾难恢复和业务连续性。
IT整合如何影响网络安全?
IT整合为网络安全带来了挑战和机遇。挑战是在同一个地方放置如此多的基础架构会产生极高的网络流量。因此,网络安全解决方案必须具备很高的容量和性能。在如今这种计算环境下,处理和保护几个Gbps的流量安全的同时不造成长时间延迟不是可有可无,而是必须的。
另一方面,对网络安全解决方案来说,IT整合可大幅降低基础架构成本和复杂性。值得注意的是,除了能执行访问控制策略,高效网络安全解决方案至少还必须具备以下功能:入侵防御、反恶意软件、内容控制和SSL VPN功能。如果企业采用单个一体化解决方案就能获得所有关键功能,那将带来非常有利的优势。当然,重点是这种解决方案在功能集、有效性、可管理性和性能方面不能输给单一功能产品。
集中解决上述问题
如同IT必须不断升级以支持企业运营一样,网络安全解决方案也必须不断升级以支持IT。要解决IT消费化、网络化、虚拟化和整合,网络安全解决方案需要具备以下功能和特性,包括:
● 必须能根据源设备的类型和安全状态调整访问和使用策略;
● 必须能根据更高层属性(如用户身份、正在使用的特定应用和正在传输的实际内容)来设置和定义访问、使用和过滤规则;
● 必须能扫描所有流量,以查找恶意软件和其它类型的威胁(随着不可信任设备、网站和服务的增加而产生的);
● 必须能动态支持用户经各种类型设备进行安全的远程访问;
● 方便管理员和用户的使用;
● 作为虚拟网络的一部分进行交付或部署;
● 可完整处理和保护大量网络流量的高性能架构;以及
● 利用单个集成式企业级解决方案满足企业的大部分(即便不是全部)网络安全要求。
