摘要:Forrester 的分析师 Manatosh Das 于 2014 年 2 月在他的博客中写道:“据最近透露的消息,韩国个人信用评估公司的一名合同工窃取了 2,000 万韩国人(占该国人口的 40%)的个人数据,颠覆了客户对韩国信用卡公司的信任。”不管以什么标准来衡量,这都是一起严重的安全事故。Das 问道,信息的盗窃是由内部人员实施的,并且持续了一段时间,那为什么这么长时间没有人察觉? |
Forrester 的分析师 Manatosh Das 于 2014 年 2 月在他的博客中写道:“据最近透露的消息,韩国个人信用评估公司的一名合同工窃取了 2,000 万韩国人(占该国人口的 40%)的个人数据,颠覆了客户对韩国信用卡公司的信任。”不管以什么标准来衡量,这都是一起严重的安全事故。Das 问道,信息的盗窃是由内部人员实施的,并且持续了一段时间,那为什么这么长时间没有人察觉?他提出了两种可能的原因:访问控制不够严格和活动监控不够频繁,并指出大多数安全违规都可以通过监控用户活动是否存在可疑行为的综合方法进行检测。他指出,此案例是对 Forrester 建议的“零信任”安全保护方法的又一次验证。
自 2009 年以来,Forrester 一直提倡零信任安全保护。“零信任”安全保护方法可以这样概括:“安全专家必须验证和保护所有资源,限制并严格执行访问控制,检查并记录所有网络流量。”
在这一点上,说起来容易,但做起来难。总的来说,IT 安全将大量资源投入到边界安全:验证准入者和流量的可靠性并尽力阻止其他一切通信;在设有防火墙保护的边界使用相对较少的资源专门隔离不同的区域:服务器、应用和操作系统。闯入者一旦进入,他们的游戏便会开始。
虚拟化的 IT 环境意味着,不考虑应用或其数据的重要性,我们能够为每台虚拟机、存储设备和网络元素授予访问权限。如果应用 Forrester的“零信任”方法,则对每个资源的访问都将受到控制并且只允许经过身份验证的来源进行访问,同时,对于数据中心内的所有流量都将进行恶意软件等检查。
这就是微分段。在传统数据中心环境中,这是不可能实现的。软件定义的数据中心 (SDDC) 的发展改变了这一现状。借助 VMware NSXTM 的虚拟化功能,可以通过软件创建整个网络,将特定安全策略应用到受控制的每台虚拟机。
这不仅仅具有理论上的可能性。借助我们开发的技术,IT 管理员能够指定可通过移动设备上的特定应用访问的精确的数据中心资源。用户能够访问进行高效工作所需要的信息,但不会向他们暴露其他资源。
通过虚拟化创建 SDDC 能够在速度、可扩展性和敏捷性方面取得显著成效,但 VMware 的安全战略副总裁 Tom Corn提出,安全性的提升可能是 SDDC 带来的最大成效,因为它“无疑是安全性方面的一个有转化力的变革”。
他指出“您可以从超连接网络转变为只授予最低权限的‘零信任模式’,同时又不妨碍基础架构的灵活性”。“您可以大幅提升可见性和环境,并且可以利用基础架构本身来隔离威胁和保护关键应用和数据。”
这对于除网络犯罪分子和黑客之外的每一方来讲都是一个双赢的结果。
责任编辑:余芯