在IP地址上基于网络安全性:值得吗?

网络本身和精心管理的授权政策无需将安全性分层到网络上,可能会妨碍攻击,而要以行政成本来阻碍攻击。

  • 在脸书上分享
  • 分享到Twitter
  • 分享LinkedIn
  • 分享Reddit
  • 通过电子邮件分享
  • 打印资源
网络安全 /网络流量扫描
hywards / getty图像

为什么超过90%的企业告诉我,他们期望在未来三年内花费更多的安全性,而几乎60%的企业表示他们期望在网络上花费较少的支出?我们显然认为网络技术越来越有效,更具竞争力。为什么没有安全的情况?简短的答案是,企业一直在追逐首字母缩写词而不是解决方案。

首字母缩写是因为本质上很难计划安全性。普通的网络专家发现存在问题,因为一些更高的读书或听到了有关违规的消息。也许他们快速搜索,他们发现他们真正需要的是Sase。也许他们需要SSE,我们被告知没有SD-WAN。无论如何,发生的事情是要在上面添加这个新东西,这会产生另一层保护……也许。并发症和成本?一定。

追逐首字母缩略词很糟糕,但是最新的安全方程式可能会有一个教训:SSE等于Sase减去SD-WAN,对吗?Well, maybe the minus-SD-WAN piece is where we’re going wrong, because a lot of our security cost and complexity problems could be solved by letting the network play a role in its own protection, and we actually know how to do that. In fact, it leverages networking’s fundamental property: addressing.

如果您无法解决所连接的内容,则无法建立联系。解决的力量是入侵的力量。所有的网络都是关于解决的,而解决可能在安全中发挥重要作用并不奇怪。诸如IP之类的工具虚拟专用网络, 私人的IP地址,(是)虚拟网络和软件定义的WAN广泛可用,但并非总是有效使用。

VPN可以降低入侵的风险

让我们从VPN开始。不使用某种形式的IP VPN的企业数量在统计上无关紧要。IP VPN是曾经被称为封闭用户组的一种形式,一个可以自由交流但与Internet隔离的地址的社区范围,除非明确公开其地址。但是,所有VPN用户都可以联系其他VPN用户,即使在公司内部,私有IP地址也可以从其他用户/应用程序中隔离一组用户/应用程序。

VPN实际上提供了很好的保护防止外部入侵,但它们有一个问题 - 小地点。MPLS VPN很昂贵,在远程位置并不总是可用。这些站点通常必须使用互联网,这可能意味着暴露应用程序,这意味着增加黑客攻击的风险。SD-WAN,通过添加任何具有Internet访问公司VPN的网站,可以降低风险。

或更确切地说,它降低了特定的风险。但是,从外部入侵并不是唯一的风险。如今,大多数安全问题来自公司内部计算机上种植的恶意软件。那里,从公司可能使用的VPN上的任何地方,恶意软件可以自由地努力邪恶。可以帮助的一件事是私人IP地址。

我们每天的每一刻都使用私人IP地址,因为几乎所有家庭网络和许多分支机构网络都基于它们。有一系列的IPv4和IPv6地址,供您在私人子网中使用,例如您的房屋。在私有子网中,这些地址像任何IP地址一样工作,但不能在Internet上进行路由。这意味着即使是公司VPN上的某人,也无法在子网外面到达具有私有IP地址的东西。

私有IP地址广泛用于容器网络。使用它们将数据中心分解为特定于应用程序的部件,2020欧洲杯预赛除了受到其他组件的保护外,不应该访问的应用程序组件受到保护。可访问的内容明确在您的控制之下,因为您必须将组件公开到Internet或VPN中才能使其可用。如果企业使用私有IP地址构建其资源池,则将应用程序的所有“内部”组件从攻击表面上取下,安全性可以集中在暴露于使用的组件上。这是一个很好的安全策略,但仍然不完美。幸运的是,网络可以利用一个最终工具,这是我们已经提到的。

几十年前,一家名为IPSILON的初创公司开发了一个IP网络的模型,其中边缘设备确定了持久流并将其映射到虚拟电路。这个想法旨在促进使用ATM(还记得吗?)在IP网络中,没有直接抓住,但这是产生的力量之一Mpls。我们可以利用持久流的概念为基于网络的安全性添加最终维度。

SD-WAN和虚拟网络可以提供网络安全

在IP网络术语中,持续流是一个会话,这是两个实体之间持续一段时间的端到端关系。我们的大多数应用程序通过会议进行通信,并且可以通过查看数据包标题来识别会话。好的事情是,如果您知道会话是什么,那么您就会知道有一个应用程序正在运行。如果您知道谁在运行它,试图运行它,并且谁允许运行它,则可以允许好处并阻止坏处。一些SD-WAN和虚拟网络产品和服务都有会话感知,这可以增加一组新的网络安全功能。现在出现的SSE产品有时也可以增加会话意识,但是作为那些讨厌的安全层,不是网络本身的一部分。

如果您是黑客种植恶意软件以蠕虫为物品,那么可以自由交谈的数据中心或一组云应用程序是一个不错的繁殖场。2020欧洲杯预赛如果允许谁与特别关键的应用程序交谈有限制,那么黑客必须做的不仅仅是植物恶意软件,他们必须将其种植在有权与目标交流的系统中。甚至很难知道可能是什么系统,因此安全性得到了提高。如果网络日记有任何尝试访问用户没有使用权的尝试,则可以进一步改善。

当然,该策略有问题。为了使其工作,企业必须花时间维持有关允许谁与什么联系的准确政策。这比管理许多安全层要多的努力?不仅仅应对本来可以预防的安全漏洞?考虑一下。

加入网络世界社区足球竞猜app软件FacebookLinkedIn评论最重要的主题。
有关的:

汤姆·诺尔(Tom Nolle)是新泽西州Voorhees的战略咨询公司CIMI Corporation的总裁。他的项目将他带入了世界各地,几乎进入了所有网络技术。

版权所有©2022 IDG Com足球竞彩网下载munications,Inc。