未解决
此帖子已超过 5 年
Community Manager
•
7.3K 消息
0
1264
VMware CEO:转变网络安全思维,从Chasing Bad到Ensuring Good
在网络安全上,我们的安全软件大多都是围绕寻找漏洞、恶意软件而设计的,如防火墙、SIEM、IDS / IPS,端点保护等等。然而现实情况一再表明,这种思路并不能有效组织企业受到恶意软件攻击。正是如此,WMware CEO Pat Gelsinger 提供了一个崭新的思路:应对网络安全,从Chasing Bad转变为Ensuring Good。
是时候承认这个事实了:在网络安全和数据保护方面,科技行业辜负了我们的客户。
我们这个产业建立在信任之上——相信我们的软件和硬件产品能够发挥作用,相信我们能够保护客户的机密数据,相信我们能够确保任务关键系统的完整性和可用性。在这个日益移动化的云上世界,我们致力于保护客户的关键应用程序和敏感数据,并在不断获得客户的信任。然而,随着应用程序架构的快速发展,以及应用程序本身成为网络罪犯的主要目标,我们面临的挑战只会变得越来越严峻。
阿尔伯特·爱因斯坦表示:“精神错乱可以定义为一遍又一遍地做同一件事,但却期待着不同的结果。”不幸的是,这正是对我们目前采用的确保网络安全的方法的一个很好总结。直到我们能够重新设计基本安全模型,我们才能够从这个难题中解脱出来。
转变网络安全思维:从追踪问题到确保正当访问
安全软件部分已经引起了众多供应商提供的数百种产品的困扰,这些产品提供各种防火墙,SIEM,IDS / IPS,端点保护,HBSS等等。这些安全产品中的大多数都是为了寻找漏洞,恶意软件等而设计的
问题不在于缺乏创新的产品。事实上,当今的网络安全领域正在进行重大的创新。问题的症结在于我们“追踪问题(Chasing Bad)”的基本方法。这是一场永无止境的追赶竞赛,我们似乎总是忙于追赶。当你一直在追踪问题的时候,你就相当于在“大海捞针”。
但如果我们换一个思路,采取相反的方法呢?如果我们不去追踪问题,而是把整个模式抛在脑后,把我们的努力集中在“确保正当访问(Ensuring Good)”上呢?当你专注于“正当访问”的时候,你实际上就会消除所有不必要的干扰,因为你将搜寻的范围大大缩小了。
“确保正当访问”的核心是恢复“最小特权”这一古老的网络安全理念。在这一理念当中,用户和系统组件所需的访问权限、功能和交互都降低到最小程度。换句话说,要么你有明确的访问权限,要么就完全没有访问权限。现在最大的不同,同时也是最大的突破是,我们有能力大规模执行“最小特权”,而不会放慢创新的步伐,以及我们所服务企业的发展。
“确保正当访问”远不是死板的“默认拒绝访问”的“锁定”方法论那么简单。这是一种更加微妙和复杂的方法。当我们实施“最小特权”确保正当访问的时候,这是在安全和快速、灵活服务交付需求之间达成恰当的平衡。换句话说,我们是在授权而不是限制安全访问。这就像是汽车的刹车:目的不是让你慢下来,而是让你快速前进。
确保“正当访问”的三大核心原则
确保正当访问背后有三个核心原则:
- 利用安全的基础设施围绕应用程序搭建“最小特权”环境。
- 通过暴露这些环境的边界和背景,使生态系统能够与这些边界相一致,从而增强生态系统的能力。
- 要让网络安全变得简单易行。
安全的基础设施可以改变游戏规则,使你能够快速锁定关键的应用程序和数据,构建安全控制机制,并促进可重复的集中式网络安全流程。这不仅仅是一个安全构建基础设施的问题,而是一个能够帮助理解应用程序和基础设施之间的关系,并围绕这个关系创建“最小特权”环境的问题。
围绕确保“正当访问”构建的基础设施需要具备内置的本地能力——这种能力自下而上构建,并与我们最关注的应用程序和数据紧密地结合在一起。目前,很多网络安全控制机制与嵌入到基础设施深处的硬件如路由器、交换机或服务器整合在一起。为什么呢?因为在硬件驱动的世界里,这是我们惟一可以部署它们的地方。而在软件驱动的世界里,我们拥有丰富的流动的“画布”作为背景,而不是局限于一套严格的硬件解决方案。
授权生态系统
安全控制生态系统需要在这个环境中获得特权地位,以便有效地专注“正当访问”。这些控件必须能够访问其试图保护的应用程序和数据的丰富背景,并能够覆盖广泛区域以确保可视性和控制力。许多生态系统开始寻找对一堆无序“稻草”进行分类的方法,并在解决这个难题的过程中,传达了对改变游戏规则的“正当访问”理念的热情。
网络清洁
持续进行基本的网络清洁工作是我们可以采取的抵御数据外泄的最有效的措施。这也是确保数据正当访问的核心原则。
然而,在网络清洁领域唯一不变的是我们的不一致性;我们在网络清洁领域持续遭遇失败。这不是因为安全团队不明白需要什么,而是因为在一个不断变化的世界里,网络清洁工作变得太难了。显然,我们实施网络清洁五大原则,来大大简化这项工作。
网络清洁五大原则
Least privilege:最小特权
micro-segmentation:微分段
Encryption: 加密
Mult-factor authentication:多重身份验证
Patching: 打补丁
如果你回顾一下过去几年成为头条新闻的主要安全漏洞事件,就会发现如果这些被攻击的企业遵循了这些基本原则,所有的这些安全漏洞事件就可以完全或很大程度上避免。
谈到安全性,我们通常会问的问题是:“我们如何确保安全?”实际上,我们应该问的是,“我如何以新的方式使用IT基础设施来变革安全?”
在这个科技行业无法保证网络安全的时代,现在是时候摒弃原来的安全模式了。