企业网络在不断发展,但安全模型却没有跟上。通常情况下,企业网络安全架构关注的是组织日益萎缩的现场IT基础设施,而不是整个网络。组织应部署现代网络安全解决方案,例如安全访问服务边缘(SASE),以确保网络安全不会影响网络的性能和可用性。
传统的安全性是为本地基础设施设计的
从历史上看,组织的大多数IT基础设施都位于本地。数据和应用程序存放在现场数据中心,员工在办公室的电脑上直接连接到公司局域网。这种IT基础设施的集中化导致了类似的集中化安全模型。大多数组织过去都使用以边界为中心的安全模型。
在此模型下,组织加强了网络边界,部署防火墙和其他安全解决方案来加强边界并阻止任何试图跨越边界的恶意内容。这使得使用一个简单的信任模型成为可能,其中网络内的所有内容都被认为是“受信任的”,并且假定攻击必须跨越网络边界,在它们到达内部受保护的网络之前,它们可以被检测和阻止。
IT基础设施越来越多地转移到异地
虽然从历史上看,组织的大部分IT基础设施都位于内部部署,但随着时间的推移,这种情况越来越不真实。近年来,由于许多不同的原因,IT基础设施已经移出了办公场所:
- 云部署:企业越来越多地将重要数据和关键应用程序转移到基于云的基础设施上。这种基础设施为组织提供了许多好处——包括改进的可伸缩性、灵活性和成本——但涉及将关键功能从本地转移到云提供商控制的基础设施。
- 远程工作人员:新冠肺炎加速了员工在办公室外工作的现有趋势。许多组织已经意识到支持远程办公计划不仅是可能的,而且还在许多不同的方面对公司有利。因此,员工越来越多地远程工作,而不是在办公室通过连接到公司局域网的设备工作。
- 移动设备:即使是在办公室工作的员工也越来越不依赖连接到企业以太网的设备。移动设备的兴起意味着员工可能会在连接移动网络或非公司Wi-Fi的设备上进行业务活动。OB欧宝娱乐体育这意味着,即使员工在现场,他们也可能使用非常不同的网络基础设施。
- 物联网设备:物联网设备甚至在商业环境中也变得流行起来,5G的出现可能只会加速这一趋势。OB欧宝娱乐体育像移动设备一样,这意味着收集和处理敏感企业数据的系统将直接连接到公共互联网。
所有这些变化都可以归结为企业网络的一个主要转变。公司局域网并不是组织网络流量的核心,它只是公司广域网中众多节点中的一个。
安全性应该为大多数人设计,而不是为例外
企业网络正在扩大,用户和企业系统越来越多地超出传统网络边界。然而,许多组织的网络安全方法并没有跟上这一趋势。
坚持“可靠的”和利用现有安全投资的愿望导致组织采用低效的网络安全方法。这些组织并没有将安全性转移到网络边缘并保护企业WAN,而是在将所有流量转发到目的地之前,将其通过内部网络进行安全检查。
虽然这保证了网络安全,但它是以网络性能和可伸缩性为代价的。由于网络基础设施过载导致的路由效率低下和延迟,将所有流量通过总部网络路由对流量延迟有重大影响。此外,这样的网络扩展性很差,因为总部网络成为公司广域网中的单故障点。与其试图让现代网络适应遗留的安全基础设施,组织必须不断发展以使安全服务于组织。将安全性转移到网络边缘并减少对总部网络的依赖,可以创建一个既可用又安全的网络。
SASE保护现代企业网络
企业广域网的发展是SASE被誉为网络安全未来的原因。SASE被设计为专注于边缘的安全解决方案,消除了组织对内部安全设备的依赖。
SASE作为一个SASE接入点(pop)网络部署在云中,作为一个虚拟设备。每个SASE PoP都包含SD-WAN功能和完整的安全堆栈。这使它能够在SASE pop之间优化路由流量,并对通过公司WAN的所有流量执行完全的安全检查,而不管其通过的路由是什么。
由于SASE是作为虚拟设备实现的,所以SASE pop可以部署在地理上靠近组织的网络端点(云基础设施、远程用户、分支位置等)。这样可以最大限度地降低通过SASE pop进入和离开WAN的路由效率,并且在pop之间使用专用网络链路可以最大限度地降低流量延迟。
遗留安全模型适用于遗留网络,但不适用于现代企业。SASE使组织能够部署不影响网络或依赖网络的组织性能的安全性。
基达尔·d是LeraBlog的作者。作者的观点完全是他们自己的,可能不反映LeraBlog员工的观点和意见。
