Terena+Bell著+Charles譯

“周界防御”的想法和服務器本身一樣古老——一提起這個詞，就讓人聯(lián)想起上鎖的機房間里嗡嗡作響的ENIAC那么大的機器，而防火墻把它們與外部環(huán)境分隔開來。當然，您的實際情況不會是這樣的——除非您為中央情報局工作。相反，您所保護的數(shù)據(jù)是在云中，在世界各地的筆記本電腦和手機上流入流出。當信息無處不在時，安全也必須如影隨形，讓那些還記得實體服務器的人甚至感覺不到還有防護周界的存在。

Keith Casey指出：“周界是一個非常有限的概念，在WiFi和云世界中完全被打破了?！背藫味嗉覄?chuàng)業(yè)公司的顧問之外，Casey還是舊金山的身份驗證云提供商Okta的API問題分析員。他解釋說：“我們不可能永遠被圈在安全邊界里，因此，現(xiàn)在的情況完全不同了。以前，IT可以說，如果您在我們的網(wǎng)絡上——在我們的物理實體網(wǎng)絡上，那我們會為您提供安全協(xié)議保證。如果您有實際的網(wǎng)絡訪問權限，我們可以信任您?！?/p>

在云之前，總是可以通過防病毒掃描或者端點防護工具等內(nèi)部防御措施來不斷增強這種安全周界。Casey指出，“不論以前還是現(xiàn)在，僅有周界本身是不夠的。如果我在里面，就能隨心所欲地活動。這就像把前門鎖上了，所以不需要保險箱?！比绻@樣下去，最佳實踐就不會改變：有個“后衛(wèi)”總歸是個好主意。

然而，Casey說：“我們越早拋棄周界這種想法，就越好，因為它給人一種虛假的安全感。”在這樣的一個世界上——員工在世界各地的多臺設備上工作，那么，我們曾經(jīng)熟悉的周界幾乎是不存在的?，F(xiàn)在，他所說的所謂授權（不是防火墻），就是不能讓員工凌晨2點在拉斯維加斯登錄到您公司的銀行賬戶。傳統(tǒng)上，授權被認為是一種內(nèi)部防御措施。

不論應采用何種安全措施，從拉斯維加斯登錄都是不受歡迎的。在肯塔基丹維爾中心學院，凌晨2點來自倫敦、上海和斯特拉斯堡的登錄都是可能的。中心學院85%的學生至少在國外學習過一次，無論他們在哪里，都能夠訪問電子郵件、學院的學習管理系統(tǒng)和校園內(nèi)聯(lián)網(wǎng)。

像任何一所大學一樣，中心學院的數(shù)據(jù)鏈始于一名高中生與招生人員的聯(lián)系，學生入學后的四年學習，然后畢業(yè)后成為校友，在余生里繼續(xù)參加學院的活動，所有相關信息都記錄在數(shù)據(jù)鏈上。因此，高級系統(tǒng)和網(wǎng)絡協(xié)調(diào)員Shane Wilson必須保證從青少年社保號碼直至校友們捐贈時所需的銀行資料等各方面的安全。還有，像任何工作場所一樣，也要保護員工數(shù)據(jù)。

對此，和趨勢預測相比，Wilson更依賴于周界防御，而趨勢預測的是——“幾年前，所有的文章都說，‘周界已經(jīng)消亡。再也沒有周界了。不要擔心防火墻，然后這作為概念存在了一段時間，再后來，‘哦，您真的還需要這樣做。不要忽視它?！毙疫\的是，隨著周界安全問題日益嚴重，防火墻、入侵檢測系統(tǒng)和入侵防御系統(tǒng)在中心學院從未失去其地位：企業(yè)資源規(guī)劃（ERP）軟件——包含了員工和學生個人身份信息（PII），仍然處于傳統(tǒng)的安全周界內(nèi)。

Wilson承認，任何東西周圍都沒有周界，也不應該有。以學院劇場為例，它使用供應商提供的自己有安全功能的SaaS票務平臺，學生的電子郵件也不在安全周界里面了。四年前，Wilson把它遷移到了微軟Office 365。然后是之間的所有信息，比如學院網(wǎng)站centre.edu的代碼。

Wilson說：“網(wǎng)站上的所有信息都是向外界敞開的。對此，重要的不是阻止信息滲出，而是不被黑掉?！弊詈螅蟛糠謹?shù)據(jù)都受到了混合系統(tǒng)的保護，而該系統(tǒng)托管在學院通過云訪問的物理服務器上。這些服務器有本地防御、周界防御，以及內(nèi)部防御措施來保護連接。

Casey介紹說，這種做法證明了周界正在發(fā)生變化，周界和內(nèi)部安全正在向分層防御演變，在內(nèi)部運行，在云中運行或者兩者兼而有之。他說：“我們應該知道，周界不是固定不變的，而是隨著時間的推移而不斷變化。”回到拉斯維加斯的例子，他補充說，“僅僅基于位置的安全措施是不夠的。我們應該根據(jù)用戶是誰以及在那個具體的時刻想要干什么來保證安全?！?/p>

因此，安全的未來不在周界，也不在內(nèi)部。這是一種多方面的防御，看起來兩者都有點像。Casey繼續(xù)說：“我們的想法是沒有能涵蓋一切的解決方案，但是有很多隨著時間的推移而發(fā)生變化的不同等級的權限?！敝芙绶烙畛醯恼f法是，“如果通過了，就一定會沒事”，他說，“縱深防御可以支持各種應用情形，有效地建立有權限才能訪問的‘安全區(qū)——就像在機場一樣?！币坏┻M入安全區(qū)，并不意味著周界不讓您出去，呆在里面就不會有麻煩。這實際上是按照更高等級要求，更巧妙的對數(shù)據(jù)和權限進行評估。

Wilson說：“Casey是對的。周界確實存在，只是有所不同——它更優(yōu)先?！?/p>

中心學院有意放緩了向這一新現(xiàn)實的過渡，大概需要10到12年的時間。Wilson承認，“我們不是最前沿的，但我們很高興沒有這樣做?！敝行膶W院是一所小規(guī)模的文科學院，其聲譽在于教會學生在作出決定之前獨立進行合乎邏輯的思考。Wilson的安全措施必須考慮到學院的因素，因為只有這樣做，他才能得到內(nèi)部支持，而且他的部門也能做出對學院最有利的決定。他補充道，“坦白地說，我的信息也在這個系統(tǒng)中，確保我們的系統(tǒng)是安全的，這也符合我自己的最大利益。”

無論您在哪里工作，也不論環(huán)境怎樣變化，都是如此。Wilson說，“很多地方實際上發(fā)現(xiàn)他們已經(jīng)把東西遷走了，為的是把這些信息放回到安全周界里?！彼偨Y說，您做出決定時必須考慮到“無論是福特汽車公司還是中心學院，對于企業(yè)使命來說，什么才是是真正重要的?！眅ndprint