您现在的位置是:首页 > IT基础架构 > 网络与安全 >
企业安全周边消失 析端点安全设备管理
2010-11-10 23:59:00作者:粟薇来源:
摘要企业安全周边正在迅速消失。企业财务,源代码邮件,未整理的文档以及其他格式的数据都在非IT控制的设备上围绕着企业防火墙存在着。Forrester研究公司发现北美及欧洲近一半(47%)的企业已经表明,为第三方机构部署安全要求是重要的优先行为。 ...
企业安全周边正在迅速消失。企业财务,源代码邮件,未整理的文档以及其他格式的数据都在非IT控制的设备上围绕着企业防火墙存在着。Forrester研究公司发现北美及欧洲近一半(47%)的企业已经表明,为第三方机构部署安全要求是重要的优先行为。
IT安全长久以来都基于一种简单的原则:由于公司拥有所有用户的端点设备,这些设备可以访问公司信息,因此保障这些设备的安全意味着保障其数据安全。但是如果基本的原则不复存在呢?
通过与制造商,媒体和季节性垂直服务商的对话发现了一些非传统的智慧:控件不需要所有权。更重要的是在网络上成功控制敏感信息的传播需要颠覆传统,要假设企业根本没有任何设备。Forrester称这一策略为“零信任模式”。简而言之,就是将所有端点都视为有害的。
在最近的调查中,Forrester认为有五种数据安全设计模式可用于“零信任策略“:瘦客户端,瘦客户设备,受保护进程,受保护数据和跟踪。这些模式都假定企业不拥有端点设备。通过解除所有权和控制,企业就可以设计一个囊括所有可能性的网络端点安全策略,包括技术平民主义,离岸和外包。最后,可通过以下几点来保障公司的信息:
1、瘦客户端:集中处理,本地展示
瘦客户端包括多种技术,如操作系统流,托管桌面虚拟化和工作站虚拟化。部署在安全环境的敏感数据可集中保管,而远程设备也可以通过瘦客户终端应用对其进行查看。由于需要连接网络,所以瘦客户端不支持离线使用。
2、瘦客户端设备:复制的数据
瘦客户端设备模式通过限制设备的类型来约束访问。例如,智能手机只能保存有限的敏感信息。而信息本身是被复制的,这些副本被保存在数据中心。由于受到数据型号,存储空间和处理能力的影响,应用程序仅限于邮件,少量Web浏览和简单的Web应用。使用瘦客户端设备模式,IT安全团队仍然可以控制设备安全性甚至是当他们没有这些设备的时候。使用本地管理工具或第三方移动设备平台,智能手机安全策略可以自动备份和强制加密。保险起见,瘦客户设备可以进行远程撤销,这样也真正实现其一次性操作。尽管如此,IT安全人员可能会发现,要想将IT安全策略推及到非公司所有的设备上,无论从技术还是策略的角度都不是件容易的事情。
3、受保护的进程:在安全“气囊”中处理本地信息
与瘦客户端模式不一样,这一方法将敏感信息与客户端设备完全分离开来,受保护的进程模式可以让我们在非IT所有的设备上处理数据。敏感信息保存在划分好了的处理环境中,而这个环境与用户的本地操作系统环境是隔离的,所以它就像是个安全气囊,其安全与备份属性都由IT人员掌控。受保护进程模式有许多优点:本地操作,离线操作,中央管理和高度粒化的安全控件,包括远程撤销功能。不过要记住,最好的操作系统和应用虚拟化产品是英特尔和Windows的。
4、受保护数据:文档对数据的保护不受位置影响
上面所介绍的模式都试图对信息进行处理的操作环境加以控制,而受保护数据本身就对数据执行了保护操作。类似ERM的技术就将访问规则直接存储在文档中。这些依靠加密术的规则可以应用到任何有文档存在的地方,而这也是其亮点。在“零信任数据安全策略”的所有模式中,受保护数据是最精细化也是最有效率的。因为它侧重于信息而不是存储器。
这一模式的不足之处在于,ERM要求客户端代理所有与操作相关的端点。该技术的部署也是一大挑战:很多企业告诉Forrester,ERM业务的用户有时候创建了一些严格的策略,使得数据很难访问,而策略不能很好地适应企业的改变。
5、空中之眼:了解重要信息在什么时候输出
第五种“零信任数据安全设计方案”是对数据控制技巧的补充,可用于侦察,记录和选择性锁定那些要输出企业物理或逻辑周边产品的敏感信息。数据泄漏防御(DLP)技术,安全信息和事件管理(SIEM)工具是构成这一模式的要素。
空中之眼模式的主要优势在于,它可以在敏感信息输出逻辑安全边界的时候就察觉到这些信息,然后再了解信息的传输速度和方向并找出是否存在匿名传输。遗憾的是,大多数企业都无法要求自己的商业伙伴在自己的电脑上安装DLP代理。因此,很多企业都将“空中之眼”的模式视为用于外部电脑的辅助其他保护功能的工具。
(本文不涉密)
责任编辑: