全球化是今天大多數(shù)公司的新常態(tài)，但也帶來了一些嚴(yán)重問題，尤其是涉及到管理大范圍分布式網(wǎng)絡(luò)中的防火墻資產(chǎn)的時(shí)候。

總部設(shè)在美國的典型跨國公司，可能在全球數(shù)十個(gè)國家設(shè)有辦事處和數(shù)據(jù)中心。即便公司采取積極主動(dòng)的結(jié)構(gòu)化邏輯化方法實(shí)現(xiàn)網(wǎng)絡(luò)安全，每個(gè)數(shù)據(jù)中心都有防火墻保護(hù)，所有這些防火墻也必須能協(xié)同工作，讓網(wǎng)絡(luò)流量能在國際網(wǎng)絡(luò)和數(shù)據(jù)中心間安全傳輸。那該怎樣管理呢？有3個(gè)關(guān)鍵問題需要考慮。

問題1：時(shí)間問題

任何環(huán)境下，防火墻管理核心元素之一，都是配置，尤其是變更控制過程，即應(yīng)用程序網(wǎng)絡(luò)連接更新或修改時(shí)更新防火墻規(guī)則。

然而，在全球性網(wǎng)絡(luò)中，分布多國的應(yīng)用程序需要通信和共享信息，這就讓問題變得更加復(fù)雜了。可以想像一個(gè)常見景象：一家公司在其全球網(wǎng)絡(luò)中部署了一個(gè)新應(yīng)用，因而需要在多個(gè)國家實(shí)現(xiàn)防火墻策略修改。策略修改本身很容易實(shí)現(xiàn)，但問題來了——到底什么時(shí)間點(diǎn)上干這事兒呢？

很多大型企業(yè)，策略修改都被限制在特定變更控制窗口時(shí)間內(nèi)，目的是為了緩解核心應(yīng)用運(yùn)營停機(jī)或配置錯(cuò)誤的風(fēng)險(xiǎn)。因此，防火墻策略修改通常選擇在夜間或周末完成，避開高風(fēng)險(xiǎn)時(shí)段。在對(duì)于全球化公司，運(yùn)營橫跨多個(gè)時(shí)區(qū)，高風(fēng)險(xiǎn)時(shí)段各國不同。而且，日歷上的高流量時(shí)段也各不相同，圣誕節(jié)前夕對(duì)西歐和美國零售商最為關(guān)鍵，春節(jié)則是亞洲零售商最為重視的階段。

所以，公司企業(yè)面臨取舍選擇。他們可以按網(wǎng)絡(luò)中最重要節(jié)點(diǎn)位置的方便，設(shè)置一個(gè)通用的變更控制窗口時(shí)間，然后希望其他地方設(shè)法配合。這是一種快速方便卻危險(xiǎn)的方式。或者，他們可以在不同的國家設(shè)置不同的變更控制窗口，盡力協(xié)調(diào)零散的防火墻修改過程。因?yàn)楹戏髁吭谧兏客瓿芍盎臼潜蛔柙诎胪镜模@種做法不太可能在變更過程中途引起安全問題——但封鎖不同地點(diǎn)之間的相互通信明顯會(huì)造成嚴(yán)重的運(yùn)營問題。該變更管理過程，要求公司網(wǎng)絡(luò)運(yùn)營和應(yīng)用程序部署團(tuán)隊(duì)之間，要有細(xì)致縝密的協(xié)同。

最后，時(shí)間問題沒有簡單的答案。公司需要衡量兩種方法的利弊，選擇最適合的途徑。

問題2：符合法律規(guī)定

在多個(gè)國家運(yùn)營多個(gè)數(shù)據(jù)中心的另一個(gè)方面，就是多個(gè)司法管轄區(qū)問題。不同的國家在地區(qū)管理和信息流動(dòng)上適用的法律不同；比如說，瑞士，就要求銀行信息不得流出瑞士國境，而澳大利亞政府，則不允許政府或聯(lián)邦信息離境。

這些法律，對(duì)跨國企業(yè)數(shù)據(jù)中心管理有著重大技術(shù)性影響，無論是在實(shí)地還是在云端。信息必須依據(jù)當(dāng)?shù)乇O(jiān)管要求進(jìn)行分離、儲(chǔ)存和保護(hù)，通常會(huì)需要IT團(tuán)隊(duì)來處理這些事務(wù)。技術(shù)上講，所有這些必要的分割都可以遠(yuǎn)程實(shí)現(xiàn)，甚至外包給服務(wù)提供商，但這依然是公司的一大負(fù)擔(dān)——尤其是在公司遷移到云基礎(chǔ)設(shè)施的時(shí)候，因?yàn)樗麄儠?huì)特別擔(dān)心法律合規(guī)的影響。

如果，最近的8100萬美元SWIFT電匯欺詐案后，孟加拉央行決定正式起訴，那我們有可能真切看到法律合規(guī)問題的真實(shí)上演。他們?cè)撓蚰膫€(gè)警方上訴？國際刑警組織能幫上忙嗎？即使他們查出了罪犯身份，誰來逮捕？誰來提請(qǐng)引渡？

這些問題也沒有唾手可得的答案。最終，公司企業(yè)需要自己擔(dān)負(fù)起理解每一個(gè)數(shù)據(jù)存儲(chǔ)傳輸國適用的數(shù)據(jù)保護(hù)法規(guī)的責(zé)任，而且還得將這些合規(guī)條文翻譯成合適的技術(shù)性、法律性合規(guī)相關(guān)動(dòng)作供其IT安全策略和業(yè)務(wù)部門參照?qǐng)?zhí)行。

問題3：還有誰？

當(dāng)公司企業(yè)授權(quán)外部公司訪問其網(wǎng)絡(luò)時(shí)，局面會(huì)變得更加復(fù)雜。這個(gè)時(shí)候，有必要強(qiáng)調(diào)，這些外部公司也是公司企業(yè)信息安全和合規(guī)態(tài)勢(shì)的一部分。最小化此類外部連接的風(fēng)險(xiǎn)，依賴于實(shí)現(xiàn)審慎的網(wǎng)絡(luò)分段和采用額外控制措施，比如Web應(yīng)用防火墻、數(shù)據(jù)泄露預(yù)防、入侵檢測(cè)等。

進(jìn)而，在某個(gè)時(shí)間點(diǎn)上，公司企業(yè)將不得不對(duì)外部連接做出調(diào)整，無論是因?yàn)樽陨砘驅(qū)Ψ絀T團(tuán)隊(duì)的既定維護(hù)工作，還是因?yàn)橛?jì)劃外停機(jī)的結(jié)果。由于可能需要與公司外人員的協(xié)調(diào)和調(diào)整現(xiàn)有工作流，同時(shí)還要遵守合同性或服務(wù)水平協(xié)議(SLA)責(zé)任，處理會(huì)影響到外部連接的變更，就比處理內(nèi)部維護(hù)要復(fù)雜得多。作為該過程的一部分，公司企業(yè)需要確保他們的信息系統(tǒng)允許IT團(tuán)隊(duì)識(shí)別外部連接，并提供合同相關(guān)技術(shù)信息的訪問，同時(shí)還要支持修改過的工作流。

最后，公司企業(yè)應(yīng)該確保與第三方公司簽訂有覆蓋所有外部連接相關(guān)的技術(shù)、業(yè)務(wù)和法律事務(wù)的合約。

要管理全球性網(wǎng)絡(luò)基礎(chǔ)設(shè)施，擁有防火墻管控全球網(wǎng)絡(luò)流量方式的完整實(shí)時(shí)可見性和控制力，比以往任何時(shí)候都來得重要，無論你是想最大化安全與合規(guī)，還是想最小化宕機(jī)時(shí)間。