挖掘護城河作為城堡的防禦工事做法源自古埃及。如今,我們都很習慣企業資安把公司當作堡壘,並在四周挖掘護城河的防護方式,此類企業資安模式在過往頗有成效,現在卻已開始過時,因為企業、應用程式和網路攻擊都不斷演進。
挖掘護城河作為城堡的防禦工事做法源自古埃及。如今,我們都很習慣企業資安把公司當作堡壘,並在四周挖掘護城河的防護方式,此類企業資安模式在過往頗有成效,現在卻已開始過時。
挖掘護城河與搭建堡壘的做法不僅老舊,在現今行動運算與雲端優先的時代,更逐漸失去功效,因為企業、應用程式和網路攻擊都不斷演進。舉例來說,行動辦公愈益盛行,員工以及生態系統中的合作夥伴、承包商與供應商都希望能隨時隨地在任何裝置安全地存取企業應用程式,這將打破傳統的疆界概念,Akamai企業安全與基礎架構工程資深總監就指出:「現在已經沒有所謂的企業內部了。」
企業應用程式也同樣在改變。終端使用者期待高品質的網路使用經驗,使用手機更新社群網站個人資料、查詢銀行存款餘額、繳交財務報表或遞交程式錯誤報告,因此讓IT團隊為此焦頭爛額,很多時候,業務單位甚至直接跳過IT直接選用軟體即服務(Software as a Service,SaaS)和雲端。
最後,網路攻擊不斷進化。挖掘護城河與搭建堡壘的企業安全思維有兩大前提:首先,防火牆必須有效。其次,一旦進到防火牆內,任何行為基本上不會受限。就像人進入城堡,頂多特定房門上有簡單的鎖,但除此之外都能自由移動,仔細了解內部結構,知道哪些房間上了鎖、窗戶有沒有開、或是第二道比較好開的門等等。說到這裡,您應該覺得有些熟悉,這正是現在多數網路攻擊所遵循的模式:入侵、勘察,找弱點,取得所需,離開。往往當我們發現這些攻擊時,情況早已無法挽回。
綜覽企業、應用程式與網路攻擊的演變,就應能理解為何挖掘護城河與搭建堡壘的防護已經是過去式。
Akamai採取全新做法──雲端邊緣,其精髓在於使用者和所使用的應用程式。雲端邊緣負責所有裝置與位置的驗證、授權和應用程式傳遞,掩蓋了應用程式的所在位置,在使用者擁有適當權限的前提下,自動將使用者送往正確位置。如此一來,可能遭受攻擊的平台就移往Akamai平台,而Akamai僅負責為可信賴且已通過驗證的終端使用者及其裝置存取特定應用程式。當不再提供網路存取,就不再需要建造壕溝與城堡,不論是組織內外每個人都不可信。
這讓負責資料可見度、安全性與效能的企業IT和資安團隊終於比較放心,即便企業資料、應用程式與員工均已不在企業的傳統控管範圍內。事實上,這讓團隊能繼續努力增進IT靈活度,實現更簡潔的基礎架構。
<本文作者:Lorenz Jakober,Akamai 產品行銷總監。>