中國的數字經濟蓬勃發展,有報告指出,2020-2025年中國數字經濟年均增速將保持在15%左右 1 。數字化已經滲透到我們生活的方方面面,尤其是我們的工作環境。我們越來越依賴智能設備、始終在線的網絡、互聯網和云服務——無論是在工作中還是在我們的日常生活中。疫情和由此引發的隔離進一步加速了這一演變,微信等通訊工具讓人們適應了社交距離,而數字工作場所、在線協作和基于云的視頻會議則讓學校課程得以繼續,企業得以運轉。

工作的新世界:移動和遠程辦公成為很多企業的新常態

對于業務工作來說,此次疫情就像一個名副其實的渦輪增壓器:人們過去習慣于在辦公室工作,偶爾也在家辦公,但疫情已經讓移動、分散式工作成為很多企業的新常態。從技術角度來看,這意味著:互聯網是新的企業網絡,本地業務應用程序被加入了大量的Web應用程序和云服務。

受疫情影響,端點的數量也有了相當大的增長,大量私人擁有的筆記本和移動設備被用于家庭辦公。總的來說,對于很多以前的上班族來說,工作環境已經變得更加現代化:從傳統的工作場所轉變為與地點無關的數字工作場所,工作不再是上下班去辦公室打卡,而是可以在任何地方從事的活動。

安全面臨新挑戰,必須作為企業數字化戰略的關鍵組成部分

疫情也加速了很多重要的趨勢,包括安全方面的趨勢。甚至在疫情之前,專家們就認為,躲在數字城堡里覺得自己很安全的做法早就行不通了。這場危機讓人們更加關注與數字化轉型相關的風險。企業最關注的是信息安全,想知道怎樣在分散式環境中保護內部企業數據(開發計劃、產品路線圖、客戶和員工數據等),使其免受勒索軟件以及工業間諜或者其他濫用行為的侵害。

更糟糕的是,管理個人身份信息(PII)操作的法規越來越嚴格,實際上迫使企業為數據保護、數據流和數據使用的可追溯性設定更高的標準——關鍵詞是“合規”和“數據主權”。然而,與此同時,無論采取何種保護措施,保持員工的工作效率仍然很重要:安全總是伴隨著一些額外的障礙,但這既不能干擾員工的工作活動,也不能影響他們自己安全行事的動機。如今的目標不是安全或良好的用戶體驗選其一,而是要同時保證。

企業決策者已經認識到,安全必須是其數字化戰略的關鍵組成部分。根據端點安全專家卡巴斯基的一項調查,未來三分之一的IT預算將用于安全領域。

遠程工作時代的安全

如此背景下,一種觀點逐漸顯現出來——如果越來越多的用戶和應用程序使用互聯網,而部分終端設備不再受內部IT的控制,那么必須徹底改變安全概念。甚至在疫情隔離期之前,通信流已經明顯地從內部網絡轉移到外部網絡,因此必須保證遠程工作環境的安全。眾所周知的公式“內部=好,外部=差”,甚至在疫情之前就不再有效了,而現在,每個人都應該清楚地看到這一點。這就是為什么零信任機制正在取代過時的城堡思維。

“零信任”是指IT安全系統將所有設備視為未知設備,并根據“最少特權”原則對待所有用戶,用戶只能訪問那些在特定時刻獲得授權的資源。這意味著安全軟件檢查用戶是否有權進行每一次網絡訪問和應用程序請求。這與傳統的基于VPN的方法形成了鮮明的對比:任何擁有VPN密碼的人都可以進入“城堡”,然后可以相對自由地移動。然而,在現代的零信任環境中,安全分析軟件一直在監視用戶和設備行為是否符合策略。使用人工智能和機器學習技術可以自動分析異常、異常現象和異常行為。當一個用戶突然表現出與平常非常不同的行為時,例如,由于用戶帳戶被劫持,那么這項功能便發揮作用了。

通過云保護云

不僅僅是用戶和他們的設備需要被持續監測,還有應用程序方面,因為越來越多的應用程序是以SaaS應用和云實例為特征的。相應的,后者也面臨著各種風險:從DDoS(分布式拒絕服務,捆綁分布式請求故意使服務器群過載)到利用漏洞(在某些情況下是眾所周知的漏洞)來竊取數據或者進行工業間諜活動。在這里,一種重要的防御機制是通過所謂的WAAP(Web應用程序和API保護)或ADC(應用程序交付控制器)在應用程序層面進行數據流控制。這些安全工具過去是企業網中的設備,如今它們越來越多地被動態部署為云環境中的實例。它們檢查與應用程序和云服務的通信是否存在惡意請求,然后會拒絕轉發這些請求。應用程序級防御現在是云的標準組成,也是企業安全的標準組成。

企業使用的云資源越多,通信流的變化就越大:數據流不再發生在企業數據中心的本地客戶端和服務器之間,而是發生在移動用戶(無論他們在哪里)和云(無論物理云數據中心在哪里)之間。這反過來意味著,數字化和云資源的使用越深入,傳統的VPN就越不合理。這是因為VPN通常會將用戶訪問重定向到企業數據中心。然而,如果用戶實際想要訪問的是Microsoft 365等SaaS應用程序,VPN就相當于繞道而行,根據物理定律,這會增加延遲,從而減慢應用程序訪問速度,損害用戶體驗。

這必須通過各種手段加以防止——畢竟,即使在分散式環境中,企業也希望保持員工的工作效率不變。Gartner表示,他們稱之為SASE(Secure Access Service Edge,安全訪問服務邊緣)的安全架構將成為未來的安全概念:SASE將基于云的網絡和安全服務相結合,取代防火墻、VPN和其他本地安裝的安全設備。在網絡方面,SD-WAN(軟件定義的廣域網)優化用戶訪問性能,例如,自動將Microsoft 365請求路由到最近的Azure Hub,為視頻會議選擇服務質量最好的連接。在安全方面,SASE通過一系列安全服務來完善這種混合云優化網絡:基本網絡安全、CASB(云訪問安全代理,即保護用戶訪問云的實體)、零信任、安全Web網關、FWaaS(防火墻即服務,即基于云的防火墻功能),以及其他服務。Gartner認為,零信任和SASE是當前九大安全主題中的兩個,這是有充分理由的。

安全緊隨應用程序進入云端

簡言之,隨著應用程序出現在云端,安全堆棧現在也將從本地部署轉移到云中。然而,這一演變仍處于早期階段:很多企業正是出于安全原因而一直在盡力采用云計算,因此,現在要從云端獲得安全功能時,心理上會很難接受。但是在這方面,就像SaaS一樣,云專家一般可以提供至少與客戶公司IT部門一樣嚴密的安全功能。

然而,這一演進階段可能需要一段時間,一些安全功能還會保留在本地,至少暫時如此。一個例子是DLP(數據泄漏預防)以及驗證PII的處理是否符合規定。這是因為這些功能對了解要保護的信息環境提出了很高的要求——從數據集的重要性到企業內部流程和文檔工作流的各個方面。因此,在可預見的未來,IT安全仍將是混合的:本地安全和云相輔相成。

盡管城墻外的安全基礎設施和面向云的安全基礎設施都發生了變化,但有一點是不變的:安全合作伙伴生態系統仍然非常重要。沒有一家供應商——即使是零信任或者SASE早期應用者,能夠完全靠自己為公司提供全面的保護。因此,為“工作的未來”建立可靠的安全供應商生態系統是非常重要的,要涵蓋整個需求鏈:從生物特征識別多重身份驗證以便可靠的證明用戶身份的身份管理,到應用程序和云安全;從反勒索軟件到零信任和SASE;從確保工業控制系統的安全到發現威脅——任何地方都會有發展空間,甚至在基于云的安全世界里,專家們都有機會填補空白。

最后而且也非常重要的是,有一個因素仍然是一樣的:盡管有各種創新,但企業不能忽視備份,也不能放棄對員工持續進行安全意識培訓。畢竟,防范網絡釣魚和勒索軟件這兩種廣為詬病的攻擊最有效的“堡壘”是細心的員工,他們不會打開可疑的電子郵件,會向IT部門報告可疑的電子郵件,同時以在線和離線的方式備份數據——最好是在外部站點上備份。

結論:安全已不再限于城墻之內

疫情推動了未來的工作,現在必須而且將來也一定會在“安全的未來”方向上實現類似的飛躍。企業IT進入云端的旅程已經歷時數年了,而且仍在進行中:大部分企業仍處于云轉型的過程中——而且最近由于應對疫情而加快了進度。盡管如此,2020年是第一個投資于云的資金超過本地IT基礎設施的年份。下一演進階段將是讓云更加安全。這也很可能是令很多企業舉步維艱的一個階段。因此,與絕大多數企業的云基礎設施一樣,未來幾年的安全也將是混合的。

在為安全的未來工作選擇合適的提供商時,企業最重要的一點是要有選擇的自由——不僅在選擇解決方案時,而且在決定他們希望以多快的速度將單個安全組件遷移到云上時也是如此。然而,從長遠來看,這可能是分散式員工保持工作效率的唯一途徑:通過集成了IT安全功能的基于云的數字工作場所,以及覆蓋所有必要安全功能的合作伙伴生態系統。

早在中世紀,隨著城市居民冒險走出城墻,與遠方的商業伙伴進行貿易和交流知識,人們提升了生產力,不斷繁榮發展。那時,沿著貿易路線的旅程是艱難而危險的。然而,如今,企業可以將他們的城墻拋在身后,而風險要小得多。他們所要做的就是確保他們的數字工作場所集成了現代安全機制,并且他們可以依靠值得信賴的合作伙伴來解決所有剩余的安全問題。(作者:思杰大中華區總經理 于放)

參考資料:

1: https://www.yicai.com/brief/100823335.html

關于思杰

思杰(NASDAQ:CTXS)構建了安全、統一的數字工作空間技術,幫助企業釋放員工潛能,并在任何需要開展工作的地方提供一致的工作空間體驗。攜手思杰,用戶可以獲得無縫的工作體驗,并且IT將擁有統一的平臺來保護、管理和監控復雜云環境中的各種技術。

© 2021 Citrix Systems,Inc.、Citrix、Citrix徽標和此處出現的其他標記屬于思杰系統有限公司,可能已在美國專利商標局和其他國家注冊。所有其他標記均為其各自擁有者的產權。