如今的企业面临这种形势:遍布全球的分公司和众多可信赖的合作伙伴不断访问本企业的资源。这些企业对企业(B2B)交互有许多越过了界限分明的传统网络边界,取代了有时限制重重的数据交换和通信方法。与之而来的是,安全控制机制同样需要不断完善--特别是由于出现了新的访问方法,因而构建了一个全新的合作伙伴生态系统。
由于前方面临新的挑战,就有必要认识到不断演进的B2B安全架构,那样才能真正了解未来。
在过去,企业通过静态控制机制来加固网络边界。这种架构只适合静态的、已知的通信渠道,而硬件设备与应用层之间基本上没什么协调性。
而如今,安全控制机制越过网络边界来满足企业的特定要求。用来加固关键应用和数据安全的技术保护众多对象,从网络边界、核心应用、服务器场到数据库,不一而足。基于非军事区(DMZ)的部署方法并没有被取代,而是由关键分界点处保护应用和数据的控制机制所补充。由于安全设备频繁地与后端基础设施进行联系以执行控制,所以这些设备更能够识别用户身份。
在未来,随着应用和数据控制机制出现在云环境,基于云的服务将补充应用和数据安全。基于云的反恶意软件、脚本分析、URL过滤、入侵防护系统(IPS)和Web 应用防火墙等技术,将成为安全专业人员用来保护B2B交易安全的主要工具。与此同时,企业会寻求更加分布式的执行方法,这些方法需要网络和物理技术仍然留在企业内部。
展望未来,由于行业的重大事态发展对当前的安全构架提出了挑战,许多用来保护B2B交易安全的传统控制机制将满足不了需求。比如说,由于企业开始使用移动设备和用到Web 2.0应用的交互媒体,企业之间的交易和交互实现"移动性"并不罕见。这种内容具有动态性,从而带来了应用和Web安全所特有的新威胁。
此外,如今的云服务为企业与B2B合作伙伴共享应用提供了新的方式。由于云服务的规模、灵活性和成本结构,企业无法忽视这个极其诱人的选择。但是作为安全专业人员,你的任务是要认识到安全和隐私方面的问题。
智能计算(Smart Computing)也会对如今的安全架构提出挑战。随着智能电网(Smart Grid)和智能城市(Smart City)等项目开始启动,企业会面临复杂而广泛的合作伙伴关系,有些关系天生不是传统的关系。由于高度互联的生态系统加大了网络威胁,提高了对数据机密性的要求,这种事态发展将需要安全和风险评估与管理。
到目前为止,大家很少想到采用一种新架构,以满足这些影响B2B交互的重大事态发展的需要。弗雷斯特研究公司设计出了对于将来的安全B2B交互来说极其重要的四层访问控制机制。
1、应用访问控制:将来会在网络边界处出现与IAM集成的应用控制。
当应用和服务通过云环境来托管时,应用访问、授权和验证就变得越发重要。身份和访问管理(IAM)会扮演重要角色,因为它可与授权管理一起为应用定义角色、职责和访问级别。应用控制的另一个核心功能是身份联合(identity federation)。由于B2B安全依赖这种联合,所以控制用户对关键资源的访问显得很重要。
2、数据访问控制:加密和端点控制功能很重要。
虽然数据访问控制没有一个简明的定义,但我对它所下的定义是:当企业与多方共享数据时,对数据进行的授权和保护。几项技术将构筑这一控制层,原因是企业想分类、抽象、加密和发现数据,并且控制谁可以访问数据。将来有必要制定一项策略,以便在网络的不同点执行权限管理。
3、网络访问控制:架构访问控制将决定网络层。
B2B交互依赖入侵检测系统、入侵防护系统和安全信息管理等工具,以应对各种威胁。所以,架构访问控制能够在网络的不同部分采用执行机制,并且从多个渠道确保B2B环境安全。
4、物理访问控制:基于身份的控制会成为新领域。
客户越来越要求基于身份证件和互联网协议(IP)的摄像头等物理控制系统完全集成到企业网络和IT安全控制机制中。比如说,一些企业可能禁止在边界入口点未通过身份证件验证的员工连接到企业网络。其他物理设备也会备受欢迎,比如全球定位系统(GPS)、无线频率识别(RFID)、传感器和智能卡,以提供基于位置的服务,而这种服务可将用户的身份与物理系统联系起来。
没有什么方案可以轻松解决B2B安全--这需要在每一个访问控制层采取多项技术,以建立起全面的架构。贵企业需要确定一系列常用的技术,比如网络访问控制(NAC)、反恶意软件、入侵防护系统(IPS)、数据泄密防护(DLP)和身份和访问管理(IAM),它们可以帮你为多个入口点实施控制机制。然后在物理层、网络层、数据层和应用层,使用支持可信网络连接元数据接入点接口(TNC IF-MAP)、开放虚拟格式(OVF)和安全声明标记语言(SAML)等标准的API,将这些技术集成起来。