企業資安建議：先想想下一代安全架構會是怎麼樣？

隨著企業主動或被動的接受了越來越多的雲計算、虛擬化、流動化的元素，所面臨的安全威脅也越來越多元化，傳統的安全防護手段已經不足以應付，企業安全架構的革命正在蘊釀。下一代安全架構的發展方向應如何？又怎樣解決雲計算、流動化時代企業的安全防護問題？這都成為了 CSO 們關注的話題。

企業網絡安全防護的變化

企業核心機密、關鍵業務訊息的外洩是企業面臨的一項嚴峻問題，最終為企業帶來嚴重的經濟、品牌、聲譽影響。早前 Symantec 的互聯網安全威脅報告便顯示，2013 年數據外洩的次數經歷了爆炸性的增長，「大規模數據外洩」時代很明顯已到來。報告顯示，2013 年數據外洩事件的數量較上一年增加 62%，大規模數據外洩事件已導致超過 5.52 億個資料外洩。罪犯們改變了以往為謀取小利而進行的快速攻擊方式，轉而發動需要數月計劃，但能獲取大額利益的大型網絡犯罪行為。

從全球範圍來看，APT 攻擊呈現明顯上升趨勢。2013 年針對性攻擊的數量較去年增長了 91%，攻擊持續的時間是過去的三倍。企業高管助理及公關是最易受攻擊的兩類目標，網絡罪犯會把他們當做跳板來鎖定並攻擊名人或企業高管這樣的目標，當然針對高管作攻擊的最終目標還是核心的機密數據。

而比這些安全風險更為嚴峻的問題是，企業是否真的意識到核心數據面臨的安全風險，是否真正地採用正確的安全技術進行保護。

IT 新技術促使企業提出一些新的安全要求，主要是：

1.企業數據中心在資源、平台、應用層的技術都發生了變化，X86 化，虛擬化對資源的變化，使企業提出 X86 及虛擬化的安全需求，同時安全策略如何適應這種動態彈性變化，安全的運作及維護以及如何更加快速和自動化地進行管理等。企業需要完整的數據中心安全解決方案作為向現代數據中心進化的重要保障。

2.流動裝置的快速增長已經快速滲透到企業，企業員工使用流動設備、應用已迅速普及。企業在談及終端安全需求時，已經需要將流動終端納入到需求考慮的範圍。流動裝置及應用的安全管理幾乎成為每個企業關注的問題。

下一代安全架構的兩個關鍵

目前企業採用的安全架構通常是綜合了三個方面：第一個就是方法，從管理和技術兩個角度考慮安全；第二個就是時間，從前、中、後考慮相應的管理和技術；第三個就是系統 IT 結構，目前企業通常是按照 IT 系統的層次結構來分層考慮安全的技術和管理，即網絡和邊界安全、主機系統安全、數據及數據庫安全、應用安全、用戶身份安全等。下一代安全架構的變化和定義，更多地是指上述提及「第三個」方向進行變化。

而針對下一代安全架構的需求，企業應從兩個角度去考慮，一是技術的發展，雲計算、大數據庫、虛擬化、流動互聯網等技術的發展，SDDC/SDN、Hadoop 和 Openstack 等技術的嘗試，促使企業的 IT 系統和 IT 架構都在發生變化，這其中最主要的變化就是傳統靜態 IT 資源已漸漸變為靈活、可彈性擴展方法，業務及業務數據界面的開放性越拉越大，邊界越來越模糊和動態變化，企業的業務數據價值越來越高，以系統或者平台為基礎的 IT 安全架構已不適合現時發展，而下一代的安全架構將會更針對訊息和應用為核心，覆蓋訊息和應用的端到端(終端到服務端)，安全的策略需要適應「軟件定義」特性的網絡環境及現代數據中心，支援 Openstack 及 Hadoop 的新型 IT 基礎設施。另一方面，安全策略不是滯後於資源的分配，而是應隨資源彈性擴展，從而適應快速靈活的變化，最終實現以服務形式提供的安全交付(SaaS)。

此外，下一代安全架構還必須從另一個角度 – 威脅和風險的變化趨勢著手。當企業的數據成為其業務的核心，不僅對於企業是高價值的，同時對於攻擊者及不法分子而言更是具有吸引力。高級、持續性的威脅用於針對性的攻擊，對企業帶來的損害和影響遠遠超過以往，同時企業安全人員已經難以在如此復雜的 IT 環境中，通過多重解決方案的堆疊及整合來應對快速變化的安全威脅。攻擊者只需一次成功，便可為企業帶來損失；因此，在下一代的安全架構中，企業需要的是高集成的整合型技術，準確偵測威脅的技術，快速確定威脅優先次序並提供企業應對和修復手段的技術。

企業選購安全架構方案要考慮哪些因素？

首先要確定訊息和應用是否核心和重點，因為這是現在及未來企業的價值所在，也是威脅和攻擊的目標。其次，技術趨勢帶來的安全需求，以及企業業務採用或即將採用的新技術的安全需求，是否足以涵蓋？另外，安全架構是否能夠適應和滿足企業簡單、高效的要求？這亦是十分緊要的考慮因素。