降低安全堆栈中的复杂性和风险
如何简化运营并统一保护无处不在的数据
安全团队和 IT 团队为复杂性问题而深感忧虑。放眼望去,这些团队发现,他们的安全技术栈依赖于过多的手动操作,以及人力和时间,无法进行有效管理。
如今,不再仅是大型跨国公司需要担心这种程度的复杂性。各种规模的组织都因支持工单过多、规则集繁琐、警报冗余以及集成步骤繁琐而感到不知所措。根据 Gartner 最近的一项调查,75% 的组织在尝试通过整合供应商来简化安全技术栈,并将提高效率和降低风险列为首要目标。
但仅仅减少供应商数量,并不能真正提高效率或降低风险。
如果组织追求有意义的安全简化,则应主要聚焦于其安全栈的底层基础架构。只有采用更根本的集成方法,才能实现真正的简便和敏捷性,即:在单一网络结构中运行尽可能多的安全服务,由共享威胁情报提供支持,并且在基础技术层面上易于管理和调整。
安全复杂性的常见原因和后果
安全复杂性,或者更确切地说,运营复杂性,是指难以更新策略、新建用户账户、启用新的工具和功能,以及执行其他持续性后勤安全任务。
导致这种复杂性的根本原因可能有很多。常见的示例包括:
手动操作过多。例如,时尚零售商 PacSun 曾这样描述其 DDoS 缓解供应商:“即使他们能够 [自动] 捕获 80% 的问题流量,我们仍然必须手动处理最危险的 20% 流量。”
简单请求的流程过多。例如,IT 咨询公司 Bouvet 曾描述其 VPN 供应商:“我�们花了几天时间才以安全方式配置新用户,确保这些用户只能访问他们明确需要访问的内容。”
警报和信号数量让人不堪重负。例如,Mindbody 曾说:“我们拥用多种不同的产品,这些产品的界面和功能各不相同,并且在不同的平台上使用。真的非常难以管理和监测这些迥然不同的解决方案。”
缺乏技术兼容性。例如,Stax 表示其 Zero Trust 供应商与多个关键应用不兼容:“我们的绝大多数计算机设备都运行 MacOS……但他们(供应商)有限的 Mac 兼容性经常导致我们的服务延迟发布。”
除了低效之外,每项挑战各自会带来重大风险。如果更新安全策略耗时过长,IT 团队和安全团队可能无法足够迅速地阻止新威胁。如果入职流程缓慢,员工生产力会受到影响。警报过多可能意味着一些真正的威胁会被忽视,例如最近的 3CX 供应链攻击,一些行业专家将其归咎于警报疲劳。如果员工无法轻松使用所需应用,他们更有可能寻找应变方法,表现形式为影子 IT��。
有时,组织遇到复杂性问题可能是因为没有正确使用现有的安全技术栈。但更常见的情况是,复杂性源于更基本的技术问题和不一致性。因此,如此多组织彻底整顿其安全技术栈并寻求整合供应商也就不足为奇。
但是,通过整合供应商来解决复杂性问题的可能性有多大呢?
表面的安全效率与实质的安全效率
至少,表面看来,整合安全供应商会节省时间。因为减少需要阅读的支持文档以及与供应商的会议次数总是好的。
但是,仅减少供应商数量及其服务并不一定能提高运营效率。原因何在?表面之下,许多安全“平台”实际上只是各种不同服务的集合。虽然可以通过单一仪表板访问这些服务,但在后端,它们实际上是在不同的数据中心中运行,可能是因为这些服务由被收购的公司提供,或者只是建立在专门的基础设施之上。
在这种“虚假效率”影响下,许多运营任务仍然难以完成。不同的服务可能需要复杂的集成,还有在更改策略和创建用户账户时,需要处理很多步骤和工单。与相关应用的兼容性可能分散,如果必须在不同数据中心之间来回切换流量会导致延迟,这可能损害最终用户体验。
那么,企业可以怎样更有效地降低运营复杂性呢?
从采用适当的底层基础架构着手,提高运营效率
降低安全复杂性通常需要将许多安全服务整合成单个统一平台,但该平台的底层基础架构非常重要。具体而言,它应该具备三个特征:统一的网络结构、共享威胁情报,以及灵活且不会过时。
下面将介绍这些特征在实践中如何发挥作用,让安全团队和 IT 团队提高效率与可见性。
统一的网络结构
这个特征是指整个安全技术栈的服务(包括混合办公安全、应用安全、网络安全和电子邮件安全)可以在单个一致的网络中运行。
更具体地说,这个网络应该遍布全球,让办公室、用户、应用、ISP、互联网交换点、云实例,以及任何一种旧有硬件之间可以实现“任意对任意”直接连接。它应该提供双栈或仅限 IPv6 网络功能,以便内部用户可以通过任何 ISP 连接来访问资源。而且每个网络节点都应该能够响应任何用户请求,并执行任何类型的安全策略。
如果所有安全服务都部署到同一网络结构,组织将能够提高效率,因为:
简化集成。得益于全球“任意对任意”互连,组织可以轻松地将新的企业应用集成到网络�中,而无需妥协或制定需要大量人工操作的权宜之计。
改善最终用户体验。因为流量不会在不同网络节点之间来回传输,用户可以体验到更快速、更可靠的连接,最终减少提交的支持工单数量。
共享威胁情报
更具体地说,这意味着平台的威胁情报应完整全面,但不重复或内部自相矛盾。平台应分析涵盖众多攻击面的各类威胁,并在单一仪表板中展示这些数据,清楚地列出相互依赖关系和影响。此外,平台应将这些情报自动应用于整个技术栈的安全服务,并让团队能够轻松定制策略,以根据需要进行额外调整。
如果威胁情报广泛且一致,组织将能够提高效率,因为:
减少警报疲劳:减少重复警报,并增强团队值得采取行动的信心。
更轻松地进行风险分析:减少全面了解组织的攻击面中整体风险格局所花费的时间,从而更轻松地确定风险优先级。
加快响应速度:组合运用自动化和简便的策略更新,尽快阻止新型威胁。
灵活且不会过时
这要求供应商提供可组合的网络,并且其安全服务无需专门的基础设施。使用覆盖每项服务的单一开发平台,添加自定义路由规则、安全策略和自定义代码(也就是通常所说的“可组合性”概念)是一个相当简单的过程。
说到这里,基础设施同质性依然非常重要。如果每一项服务在所有地方都使用相同的底层服务器以及相同的单一管理和控制平面,未来的服务将能够在任何地方运行,并顺利地集成到现有网络中。
上述这些特征通过以下方式降低复杂性:
易于定制:每个组织的的安全技术栈都是复杂而非简单的。可组合性会显著减少适应各种奇怪的边缘保护所需的时间。
提高未来敏捷性:目前尚不需要或未开发的服务,将自动与技术栈中现有的所有内容兼容,无需处理复杂或受限的集成流程。
Cloudflare 兑现整合承诺
Cloudflare 安全性服务旨在满足上述所有要求,从而提高运营效率。我们采用的这种方法称为 Everywhere Security。其工作原理如下所述:
统一的全球平台:云原生 Zero Trust、应用和 API 保护、电子邮件安全以及网络安全服务,都在覆盖全球 330 个城市的 Cloudflare 网络的每个数据中心内的每台服务器上运行。
网络提供支持的威胁情报:我们服务并保护约五分之一的全球互联网流量,然后将据此生成的威胁情报自动应用于所有 Cloudflare 服务。这会改善威胁可见性,同时减少冗余警报。
持续的安全创新:Cloudflare 拥有快速、持续进行安全和网络创新的优良记录。可组合的云平台让客户可以轻松采用新服务和安全模型(例如 Zero Trust)。
本文来自有关影响当今技术决策者的最新趋势和主题的系列文章。
深入探讨这个话题
阅读 《Cloudflare 如何在您开展业务的任何地方加强安全》 电子书。
关键要点
阅读本文后,您将能够了解:
安全技术栈过于复杂的常见原因和后果
降低安全复杂性的策略
共享威胁情报的集成式安全解决方案的价值