現代網絡安全體系結構中必須具備的幾點特性

　　【IT168 評論】在我的IT職業生涯的早期，Sun Microsystems被認為是一個計算機夢想家。Sun很早就創造了一個有趣的公司口號:「The network is the computer.」這是什麼意思?這意味著IT基礎設施以鬆散耦合的體系結構連接在一起，通過乙太網電纜和TCP/IP協議等網絡技術連接在一起。因此，正確地設計網絡以達到網絡可用性、性能和業務利益最大化是至關重要的。

　　是的，自上世紀90年代初以來，情況已經發生了變化。有些網絡位於雲中，有些是虛擬的，有些依賴於應用程式到應用程式的連接，但是網絡仍然以某種方式將IT系統連接在一起。

　　在這一變革過程中，網絡安全也不得不與時俱進。在我看來，現代網絡安全必須支持以下幾點:

　　●端到端覆蓋：檢查入口/出口流量的周邊安全性已經不夠了。必須將現代網絡安全控制裝入所有網段，以檢查東/西流量，雲中的網絡通信，以及從遠程工作者到軟體即服務（SaaS）應用的網絡通信，其中流量從不接觸公司網絡。換句話說，應檢查所有網絡流量。

　　●加密/解密功能：根據ESG的研究，目前50%到60%的網絡流量是加密的，而且未來還將繼續增加。(注:原作者為ESG員工。)這意味著一個全面的網絡安全體系結構必須包括在多個控制點解密和檢查流量的能力。現代網絡安全技術也應該能夠檢測可疑流量，而不需要在所有情況下解密。這種功能已經包含在思科加密流量分析(ETA)等產品和Barac.io等供應商提供的獨立解決方案中。

　　●以業務為中心的分割：減少攻擊面應該是所有現代網絡安全技術的首要要求。這相當於兩個功能:1)在應用層之間分割東/西流量；2)在用戶/設備和基於網絡的服務之間強制執行軟體定義的外圍網絡分割規則。這些功能常常被含糊地稱為「零信任」。

　　●中央控制平面和分布式執法：這個是「必備的」。「所有網絡安全控制(即物理的、虛擬的、基於雲的)必須報告到管理活動的公共控制平面(即配置管理、策略管理、變更管理等)。中央控制平面很可能是基於雲的，所以CISO應該準備好規避風險的審計人員和業務經理來應對這一變化。有了中央指揮和控制的指示，網絡安全系統必須被檢測以阻止惡意流量，並執行策略，而不管它們的位置或形式因素。請注意，雖然每個網絡安全供應商都將推銷自己的中央管理服務，但第三方軟體供應商(如FireMon、Skybox和Tufin)可能會在其中發揮作用。

　　●全面的監控和分析：正如一句古老的安全諺語所說:「網絡不會說謊。」「由於所有網絡攻擊都使用網絡通信作為其殺傷鏈的一部分，安全分析師必須能夠訪問OSI堆棧所有層的端到端網絡流量分析(NTA)。最好的NTA工具將用檢測規則、啟發式、腳本語言和機器學習來補充基本的流量監控，這些工具可以幫助分析人員檢測未知的威脅，並將惡意活動映射到MITRE ATT&CK框架中。CISO必須投入廣泛的網絡，因為有很多強大的解決方案可以從純遊戲的初創公司(如Bricata、Corelight、DarkTrace、IronNet、Vectra Networks等)、網絡專家(如思科、ExtraHop、NETSCOUT等)和網絡安全供應商(如Fidelis、FireEye、Lastline、HPE等)中選擇。當然要慎重購買!

　　網絡安全技術必須支持細粒度策略和規則，可以根據用戶位置、網絡配置或新發現的威脅/漏洞等方面的變化進行即時更改。組織必須能夠在任何需要的時候或任何地方啟動/關閉或更改網絡安全服務。現代網絡安全控制必須能夠適應物聯網(IoT)設備和協議，這些設備和協議具有與標準作業系統相同的強有力的策略和實施。最後，必須圍繞易於訪問的API構建網絡安全體系結構，以實現快速集成。

　　Sun Microsystems早已不復存在(現在是Oracle的一部分)，但是無論網絡的形式如何，網絡仍然非常重要。現代網絡安全體系結構不僅可以保護所有的網絡流量，還可以幫助組織減少攻擊面，提高威脅檢測/響應能力，幫助降低網絡風險。