雲成為安全政策中的一大盲點 需要轉變傳統安全思路

正式踏進數字時代的關鍵下一步，是在全球網際網路和商業戰略中內建進雲。我們在收集、共享和消費資訊方式上的進步，不僅轉變了商業模式，還改變人類社會本身。事實上，我們太習慣于改變了，以至于想都不想就接納并适應之。而且，我們也必須快速适應。隻要花時間多想，就有可能被下一個創新抛棄，成為無望的落後者。

雲已經成為強力的颠覆性技術，通過轉變存在幾十年之久的傳統計算架構和最佳實踐，讓公司企業更加靈活、可用，響應性更好。當然，我們每次擴張或改變網絡邊界，都會增加潛在的攻擊界面，而采納新東西的相關風險，也常常在我們不知道的時候降臨——因為威脅會突然從我們沒預料到的方向，通過我們沒多少操作經驗的技術，突襲！

這方面的挑戰，在于有價值的公司資訊不再坐落在資料孤島上。通過不斷增加的各種方法，使用者、裝置和應用，都可以從任何裝置或地點通路任何資訊，或與任何人互動。我們一直倚賴的傳統安全模型和技術，已經無法跟上時代的腳步。如我們所見，網絡罪犯早已準備好利用我們技術、協定或服務中的各種漏洞了。

于是，在我們重塑社會的同時，理性地進行安全再思考也是必要的。

當然，我們現在正見證着專業化安全的加速采納，比如虛拟化、按需資料中心防護、Web應用防火牆、移動裝置安全、瘦用戶端、安全電子郵件網關、進階威脅防護和沙箱。其中一些工具是本地部署的，一些安置在遠端和移動裝置上，大多數則是部署成保護關鍵雲資源的服務。

但是，數十個孤立安全工具和平台，無論它們與新雲網絡有多相關，都新增了它們自身的問題。疲于奔命的IT團隊裝備不良，不足以部署、配置、監視和管理幾十個單獨的安全工具，尤其缺乏良好的手段以建立一緻的政策實施，或在不斷擴張的分布式網絡中關聯起這些裝置各自産生的威脅情報。

是以，對很多公司而言，他們的雲基礎設施和服務，已經成為了安全政策中的一大盲點。正如我們相當清楚的，分布式網絡，尤其是雲環境中，任一部分可見性的缺失，都可能造成數字業務的災難，甚至可能對整個新興全球數字經濟造成影響。

我們需要重新設計安全部署的方法以應對這一新挑戰。所需要的，就是可随公司的雲遷移而動态擴張和适應的互聯安全架構。安全政策和實施，需要跟上資料、使用者和應用在智能終端、無邊界網絡、IoT裝置和雲環境中的移動，保護它們不受侵害。

NSA在其活躍網絡防禦倡議中提出了3項基本要求，要想充分防護當今動态分布式網絡，新的安全方法顯然要圍繞這3條打造：

內建——安全、網絡和雲工具需要連接配接成一個單一的系統來增強可見性，關聯和共享威脅情報，以及建立一個統一的面闆以增強可見性、管理、編配和分析。同步——為形成協同的攻擊響應，安全解決方案應能在整個關鍵網絡、系統甚至雲端實時同步檢測、分析和緩解威脅，有效隔離受影響裝置，動态分割網絡段，更新更新規則，移除惡意軟體。自動化——為使安全解決方案适應動态變化的網絡配置，并實時響應檢測到的威脅，安全措施和對策需要能夠自動應用，無論威脅的來源是哪裡，不管被攻擊的裝置或服務是哪些。

但，說起來容易做起來難。要想達到這樣的程度，安全解決方案同樣需要圍繞開放應用程式設計接口(API)、開放身份驗證技術，以及标準化遙感資料進行設計。這些标準讓公司企業得以主動收集并共享威脅資訊，分發緩解指令，改善可見性和情報，加強态勢感覺，擴大同步攻擊響應。

随着公司企業加快雲遷移程序，以下3點是需要考慮的：

確定雲提供商處可用的安全工具和服務，與已經部署在本地網絡中的那些是相容的。

在評估新安全解決方案時，将對開放标準的支援列為重要要求。

確定可見性和控制擴充到你的雲基礎設施，且在整個暑假流轉過程中都能建立、分發和實施安全政策。

這麼做，将會使你能夠集中分析和共享威脅資訊，有效産生和響應網絡威脅警報，自動化統一的檢測，在整個分布式網絡環境中做好進階網絡攻擊的防禦。

本文轉自d1net（轉載）