现代网络安全架构应备功能

样式和用例不断变化，网络安全也必须更加全面、智能、响应快。

[[270610]]

信息技术行业发展早期，Sun Microsystems 代表着计算界的远见卓识。Sun 公司率先提出了 “网络就是电脑” (The network is the computer) 的独特理念。什么意思呢?这意味着，IT 基础设施在松耦合架构中通过以太网线和 TCP/IP 之类联网技术连接在一起。因此，必须要正确设计和配置网络才可以最大化网络可用性、性能和业务效益。

当然，从上世纪九十年代早期到现在，世界已经改变太多。如今有些网络根植云端，有些是虚拟的，还有些依赖应用间的连接，但 IT 系统依然通过各种方式靠网络连接在一起。

现代网络安全

网络的变迁自然对网络安全也提出了与时俱进的要求。现代网络安全必须支持以下几点：

(1) 端到端覆盖：检查进/出流量的边界安全已不再满足需要。现代网络安全控制必须深入所有网段，审查横向流量、云端网络通信，以及根本不触及公司网络的软件即服务 (SaaS) 远程网络通信。换句话说，所有网络流量都应纳入审查覆盖范围。

(2) 全面加解密：企业战略集团 (ESG) 研究指出，当今 50%~60% 的网络流量都是加密的，且未来加密流量的比例只会越来越高。这意味着网络安全架构必须具备在大量控制点上解密并检查流量的能力。现代网络安全技术还应能够无需解密全部就可以检测可疑流量。思科 Encrypted Traffic Analytics (ETA) 加密流量分析解决方案和 Barac.io 等公司推出的独立解决方案均已包含此功能。

(3) 以业务为中心的分隔：所有现代网络安全技术都应以减小攻击界面为主要要求。这包括两个方面的功能：

• 分隔各应用层间的横向流量;
• 强制实现用户/设备和网络服务间的软件定义边界网络分隔规则。此类功能也常被称为“零信任”。

中央控制面板与分布式实施：这是 “必备” 要素。所有网络安全控制(如物理控制、虚拟控制、基于云的控制)都必须向一个通用控制面板报告管理行为(如配置管理、策略管理、变动管理等)。中央控制面板很可能设在云端，所以 CISO 应为此变化做好对风险规避审计员和业务经理的培训。有来自中央命令与控制的指令支持，网络安全系统在阻止恶意流量和实施策略时应不用考虑自身位置或尺寸了。需注意的是，尽管每家网络安全供应商都推崇自身中央管理服务，FireMon、Skybox 和 Tufin 等第三方软件提供商在这一领域也占有一席之地。

全面监视与分析：安全界有句老话：“网络不会说谎。”因为所有网络攻击的杀伤链都绕不过网络通信这一环，安全分析师必须能够访问 OSI 技术栈所有层上的端到端网络流量分析 (NTA)。最好的 NTA 工具应在基本流量监视基础之上附加检测规则、启发式分析、脚本语言和机器学习，以便帮助分析师检测未知威胁，将恶意行为映射进 MITRE ATT&CK 框架。CISO 必须广撒网，因为可供选择的强大解决方案太多了，有纯初创公司 (Bricata、Corelight、DarkTrace、IronNet、Vectra Networks 等)，有网络专家(思科、ExtraHop、NETSCOUT 等)，还有网络安全供应商(Fidelis、火眼、Lastline、惠普企业等)。购者自慎!

网络安全技术必须支持细粒度策略与规则，基于用户位置、网络配置或新发现的威胁/漏洞迅速做出相应改变。公司企业必须拥有无论何时何地都能启动/关闭或修改网络安全服务的能力。现代网络安全控制须能适应物联网 (IoT) 设备及协议，在标准操作系统上用的健壮策略与实施应能同样应用到物联网设备上。最后，网络安全架构必须围绕易于访问的 API 打造，以便能够快速集成。

Sun Microsystems 早已消逝在 IT 发展的历史洪流中(顺带一提，这家公司目前归属 Oracle)，但无论外在形式如何，网络依旧是 IT 关键组成部分。现代网络安全架构不仅仅保护所有网络流量，还帮助企业减小攻击界面，改善威胁检测/响应，缓解网络风险。这就很能说明问题了。

【本文是IDC.NET专栏作者“李少鹏”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文