實現基于意圖的網絡安全(IBNS)需要計劃、考慮和增量實現

影響網絡安全的技術在理想世界中如何互動，怎樣與我們網絡中的設備共享信息，如何按需求采取緩解動作？這些理論上的東西，面對快速發展的聯網系統，又將如何改善我們的整體信息安全？

最終，這一切都將落腳到信息上——無論存在分布網絡中的哪個角落，新的、重要的、異常的東西都能被自動有效地識別出來，這種能力可以用“IBNS”,即“基于意圖的網絡安全”這個詞來概括。

IBNS的具體含義是什么呢？簡言之，IBNS就是對網絡中部署的各種安全設備上搜集來的信息進行分析的過程。單個安全解決方案已經可以產出大量互不關聯的孤立數據，更不用說大規模的復雜的安全系統了。

但是，隨著我們同質互聯安全網絡的建成，我們便可以開始將這些收集來的海量信息關聯起來。這種集成就是IBNS的精髓，因為它可使我們把信息大山削減成小土包，然后就可隨著網絡和威脅態勢的變化實時自動精煉安全了。

該集成方法的另一個好處，是可以提供一致的方法，通過通用命名、可靠數據、有效威脅排序等等，關聯和組織此類信息。這還只是第一步。在著手實現IBNS之前，我們真心需要理解和定義數據重要性的途徑，并有一套一致的通用的方法來描述之。

關于IBNS，有兩種完全迥異的看待方式：

第一種是從公司擁有者和安全策略負責人的角度出發。這位要能夠方便地定義或更新公司意圖，而安全策略和相關基礎設施要能翻譯該信息，并自動實現合理又充分的響應。比如說，安全策略應能夠自動限制系統只能訪問被授權的信息和服務。當然，這要求我們在網絡設計上更為準確。如果我們繼續采用拓荒時期那種“您隨意”的態度對待我們的網絡，實現起來的困難無疑會大上許多。

第二種，也是較新的一種看待方式，涉及重新思考我們解決安全問題的方式。打造集成響應安全網絡的關鍵組件，是實現能自動評估和確定系統活動是否正?；蚍弦鈭D的安全工具——也正因此，一組被稱為基于意圖的安全實踐才冒了頭。再次強調，對此類方法的簡化版描述就是，這是能夠解決并自動響應下列問題的方法：系統正在做的事務是否是該用戶希望該系統所做的？

創建能真正提供IBNS的系統，有很多事要做：

隨著我們的安全部署更加全面，我們實時理解和觀察系統活動的能力也得到了大幅提高，不再局限于以前孤立的，只有邊界防護的安全部署。

尤其是，向虛擬系統和容器的遷移，也使得實現IBNS更加簡單直接了，因為給定系統的意圖動作數量被減少了，而且它們變得更簡單且更細粒度了。

類似的概念可應用到物聯網上，因為IoT設備通常只有非常有限的行為集和/或意圖通信。理解這些應該能使我們觀察到偏離了這些行為的異常動作。比如，銷售終端系統(PoS)通常只與公司內部環境或給定區域里的少量系統通信。如果突然間這些終端系統開始與其他地方的系統通信了，那這行為就需要加以阻止并展開后續調查了。

想象一下典型的零售銀行分支機構——通常會有很多基于意圖的安全方法應用到該物理層級；柜臺柜員、ATM機和辦公室一般都是隔離良好的。如果你等著跟辦公室里的人談貸款之類業務，等待區通常都遠離柜員(你的意圖很明確，就是在等辦公室里的高級人員)。柜員和ATM機周圍的公共區也常被明顯的安全攝像頭無死角覆蓋。柜員抽屜里滿是現金的日子早已遠去，因為現金如今都被鎖在安全的地方，有需要的時候才供應。這些都可以被看作是基于意圖的安全，盡管是物理世界中的。

想將這種有效策略應用到我們的網絡世界，就要重思考我們計劃、設計、組織和部署我們網絡架構的方式。確定自家公司基礎設施是否準備好轉向IBNS策略，可以考慮以下事項：

實現IBNS這種事，花個周末部署幾臺設備或平臺是辦不到的。這需要計劃、考慮和增量實現。但是，最終結果必將值回票價，不為別的，就為了把我們老舊的、靜態配置的、從來跟不上時代的、高維護的防火墻部署方法給淘汰掉也好啊。

至此，還有個小尾巴尚未解決，就是IDS風格的信息分析方法——大多數基于SIEM解決方案的一部分。為處理IBNS所需大量數據，我們得實現下一代SIEM技術和實時威脅饋送，比如網絡威脅聯盟(CTA)提供的服務。集成安全系統將能看到并關聯取自網絡中各個角落的信息，確定意圖，在出現異常的時候自動識別并響應。