在基于意图的隔离面前 零信任也认怂
在基于意图的隔离面前 零信任也认怂
2019-03-28 16:04:52 来源:中关村在线
抢沙发
2019-03-28 16:04:52 来源:中关村在线
摘要:基于意图的隔离,就是通过结合AI,能够根据业务意图来分解业务和安全需求,然后动态地应用安全协议,包括实现机器速度下的检查与隔离。
关键词:
系统防护
如今不论是买了部手机,还是换了台电脑,开机后都会有连接互联网的步骤,这些点点滴滴的积累逐渐汇聚为万物互联的洪流喷薄而出,各种不安因素也防不胜防。随之而来的还有网络边界日益模糊、身份鱼龙混杂、数据泄露等各类安全挑战。不过如果企业网络能够基于意图进行动态智能隔离的话,那会比零信任策略还要靠谱哟。
什么叫基于意图隔离
基于意图的隔离,就是通过结合AI,能够根据业务意图来分解业务和安全需求,然后动态地应用安全协议,包括实现机器速度下的检查与隔离。其如同基于意图的网络能够捕捉业务意图,并在整个网络范围实施策略和网络状态感知一样,基于意图的隔离能够将工作流需要访问的服务和资源,转换为特定的隔离策略实施,一路沿着业务路径来保护并隔离它。
这就像当检测到一个文件是恶意文档时,杀毒软件会将其自动隔离起来,不至于传染给其他一个文件一样。当然基于意图的隔离能做的,可不只有这个。除了在前端理解业务意图外,基于意图的隔离要依赖于一个集成安全框架,该框架使部署在网络不同部分的不同工具能够相互看到和交互。这会使部署者能够检测和响应分布环境中任何地方发生的威胁,并动态地调整管理网络区块的策略。
进入数字化转型时代,市场要求企业以更快的速度响应客户和消费者的业务需求。而为了确保此种隔离进度,在移动化环境下企业也就需要这种可结合AI并基于意图的隔离提供安全支撑。
零信任策略有软肋
网络世界中威胁可不仅仅来自于外部,致使当下的企业网络逐步向“零信任”策略模型靠拢。在“零信任”网络中,不再有可信的设备、接口和用户,所有的流量都是不可信任的,仿佛来自任何区域、设备和员工的访问都可能引发安全威胁。
在现实世界里也的确如此,企业内部员工有意、无意地会对信息安全造成损害,而恶意攻击者也总有办法侵入网络。针对企业网络似乎只有严格执行访问控制和安全检测的“零信任”策略,才能满足企业对网络的安全要求。
不过实际上,零信任策略也是有一些局限性的。首先,一旦限制访问过紧,或验证访问请求时间过长,都会造成网络性能的瓶颈。其次,零信任策略还会影响数据的机密性、完整性和可用性。再有,零信任也无法解决包括DDOS攻击、人为误操作、系统更新或网络问题造成的意外后果等问题。
动态隔离很必要
既然零信任也不是万能的,企业究竟该实施什么样的防护策略来自保安全呢?一种基于动态隔离的策略逐步受到关注。具体来说,动态隔离策略可根据业务和安全需求隔离设备、应用程序和流量。网络访问控制可以识别和跟踪连接到网络的任何设备,并确定其角色和相应网络权限。同时允许网络基于设备角色、生成或处理的数据类型等进行隔离。
当然,这里说的动态隔离与无线部署中的VLAN划分还不同,因为VLAN划分没有足够的安全性,无法无缝跨越分布式网络环境。事实上,企业应该考虑使用内部隔离防火墙(ISFWS),它提供传统下一代防火墙(NGFW)解决方案中无法匹配的网络内可扩展性、控制范围和性能,以及VLAN不提供的安全性和控制范围。
ISFWS允许管理员根据各种策略动态、智能地划分网络。网络区块则可以基于物理位置(如建筑物或楼层)进行划分,以动态移动应用程序或流量,甚至可以基于设备进行限制。此外,策略驱动的隔离还可以根据用户身份或设备角色,分配不同级别的安全检查和跨段清除,满足横跨网络的授权。
结语
在网络的海洋里,上面貌似风平浪静,下面却可能已暗流涌动。对于企业来说,单一的防护策略总显得势单力孤,而基于意图的隔离则提供了一个整体的、集成的安全体系结构,可以适应不断变化的安全需求,检测和缓解高级威胁,并根据需要授予可变的访问权限。
第三十五届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:kongwen
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
