保护企业网络从来都不是一个简单的过程,但几年前它至少要简单一些。当时,网络边界清晰且定义明确,其中的所有内容都被认为是可信和安全的。安全团队防御外部一切,建立安全协议并部署安全工具,监控网络网关,并尽可能确保敏感数据的安全。
网络边界的整个概念几乎已经消失。现在,员工越来越多地在各种设备上和几乎任何位置的边缘工作。在大流行之前,远程工作已经顺利进行,但随着 COVID-19 的出现,活动的激增加速了,并一直持续到今天。根据 IDG/Foundry 2022 年 12 月发布的一份报告,美国平均 35% 的计算资源现在驻留在网络边缘。该调查的受访者表示,2022 年需要将处理来自边缘设备的数据作为主要目标,比上一年从 27% 增加到 36%。
因此,曾经有效的方法 - 传统的城堡和护城河安全架构方法 - 不再有效,因为恶意恶意软件,勒索软件和内部威胁威胁混合云中的工作负载和数据中心内的物理基础设施。组织需要一种可扩展且有效的方法来保护其数据和应用程序,无论它们存储在何处 - 无论是在自己的数据中心、托管数据中心还是混合云平台中。他们需要确保数据在传输过程中以及在边缘和整个数据生命周期中被访问和使用时的安全性。
行业研究公司Gartner在其报告《边缘计算对基础设施和运营领导者意味着什么》(gartner.com)中预测,到2025年,现代企业生成的数据中有75%将在集中式数据中心之外创建。移动如此多的数据以支持时间敏感的操作可能会导致网络拥塞和中断增加,如果不仔细选择正确的安全控制措施,可能会增加发生违规的可能性。
虽然存在这些挑战,但高效且有效地在边缘和云之间移动数据有助于促进灵活且可扩展的数据访问,并在需要时随时随地生成见解。立即访问这些数据有助于员工生成可操作的见解,从而更好地为战略决策提供信息。建立无缝连接还有助于降低数据迁移风险。
“我们已经发展到计算设备可以在企业数据中心之外的边缘进行更多数据处理的程度,”HPE 网络安全卓越中心总监 Simon Leech 说。“过去,我们必须将数据带回数据中心。现在有了边缘计算,我们有能力在数据源附近进行数据处理。
边缘计算提供了自动驾驶、部署安全摄像头以实时监控和管理工业控制等用例。“这提供了提供实时洞察的能力,同时减少了对带宽的影响,”Leech 说。
确保边缘数据安全
在边缘工作、在混合云平台工作以及使用无数移动设备支持完全移动的员工队伍的公司需要同样灵活和强大的解决方案来应对其安全挑战。这种环境中的主要数据安全风险集中在三个方面:分散的边界、网络卫生和硬件本身的物理风险。“网络边界已经解散。与在办公室工作时相比,我无法承受远程工作的员工相同的安全控制,“Leech 说。
网络卫生是一个关键因素。“对于边缘外围设备和物联网(IoT)设备,很难修补这些设备,因此它们始终是一个挑战,”他补充道。“网络犯罪分子正在利用物联网设备[用于非法目的],例如将它们注册到僵尸网络中,或将它们用作获得访问权限的垫脚石。
硬件存在简单的物理风险,因为它更容易访问。“有些是在户外,比如城市周围的安全摄像头网。所有这些都连接到网络。有人可能会切断电线并窃取相机或将连接用于其他目的,“Leech 解释道。
许多组织将不可避免地寻求蚂蚁帮助,他们可以在配置,管理和保护这些物联网网络和设备方面获得,特别是在暴露的边缘位置。
Leech 说,HPE GreenLake 平台可以在这方面提供帮助,它可以保护云和边缘之间的数据迁移,并为员工提供应用程序和数据访问,无论他们身在何处,使用什么设备。
这是因为它基于三个基本原则运行:共同责任、零信任框架和持续数据保护。在分担责任方面,它归结为外包运营责任的选择。“客户可能已经从云迁移到云,现在总是迁移到云,”Leech 说。
随着公共云变得更加成熟和定义,它实际上已经完全循环到公共云并不总是正确答案的地方。大多数公司都需要混合云模型,Leech说。“这就是HPE GreenLake试图解决的问题;在客户自己的数据中心或托管数据中心中按照客户自己的条件提供公共云体验,“他指出。
虽然将运营外包给服务提供商的决定通常是出于财务或生产力原因,但重要的是要记住,您永远无法完全外包组织风险。“最终,公司决定将工作负载交给第三方,并且必须充分了解责任和安全的界限,”Leech 建议道。
零信任扩展到网络之外
零信任框架与已溶解网络边界的问题有关。传统数据中心具有安全的网络外围。随着新的“边界”不再像过去那样定义,公司几乎不得不将其内部网络视为不受信任。
整个 IT 行业中的零信任框架有不同的定义。虽然最初是作为网络概念开发的,但零信任现在已扩展到网络之外。“我们可以将零信任扩展到网络之外,一直延伸到基础设施堆栈中,”Leech 说。“零信任背后的整个原则从来都不是信任,并且始终验证。这意味着您始终假设所有内容都被破坏,执行持续的监控和检查以确保漏洞得到控制,并减小爆炸半径。
HPE GreenLake 通过创建贯穿所有基础设施层的信任链来处理这些功能。慧与开发了一个硅信任根,它基于经过硬件验证的启动过程,确保其计算系统只能使用来自不可变来源的代码启动。这涉及根植于无法以任何方式更新或修改的硬件的启动过程的锚点。当将此基础与加密保护的签名相结合时,黑客没有容易利用的漏洞。这为服务器引导到的受信任环境奠定了关键基础。
“我们已经研究了如何将该环境扩展到堆栈中的其他层。我们将这种信任扩展到操作系统层,并将其扩展到用户访问的应用程序,“Leech 说。“我们需要信任所有这些组件,以扩展完整性验证模型。
这就是零信任框架概念在HPE GreenLake模型中的扩展方式。“我们正在努力确保安全的硬件环境也扩展到提供安全的控制平面。因此,从理论上讲,HPE GreenLake环境几乎是自我保护的,“他补充道。
第三个领域是围绕连续数据保护 - 不断备份数据的想法,因此如果确实发生某些事情,用户可以求助于尽可能接近需要的点的备份。“旧的备份计划是每月一次或每周一次,”Leech 说。“连续数据保护的理念是实时执行持续备份,因此如果需要,只需几分钟即可跳回去。”
如果勒索软件被复制并在备份数据中保持休眠状态,清理备份副本仍然存在持久的挑战。“我们处理这个问题的方法是创建一个不可变的副本,因此数据备份本身无法更改,”他继续说道。“我们还使用日志功能来查看是否有任何更改,这使得破坏备份环境变得困难。”
即用即付
最后,HPE GreenLake 平台是围绕基于消费的模型构建的。传统上,购买物理硬件的主要障碍之一是需要预先付款。这是公共云模型中最重要的变化。公司不必购买硬件,只需在使用时付费即可。
“这种类似云的体验正是我们想要的HPE GreenLake模型,”Leech说。“你只为你使用的东西付费。如果您使用量少一点,您的月度费用会相应调整。因此,它变成了运营支出而不是资本支出。
由于慧与会监控任何客户的使用情况,因此可以适当地调整环境规模。Leech总结道:“我们总是为客户提供一点缓冲。如果事实证明他们需要更多的处理能力,我们可以进行调整。
而且,由于它是一个托管环境,因此需要承担该级别的操作责任。所有系统都在运行最新的代码,适当地修补并以适当的规模运行。这有助于减轻现代企业的重大运营责任负担,使他们能够专注于其核心业务功能。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。