您的位置: 网界网 > 安全 > 正文

Palo Alto高层谈如何控制影子IT的风险

2015年07月31日 15:34:05 | 作者:上海分站 | 来源:it168网站

摘要:Palo Alto Networks大中华区销售总裁徐涌认为:在这个时代,SaaS (软件即服务,Software as a Service)供应商代为管理的企业数据持续增加。显而易见,这些云服务为企业提供近乎实时访问高级功能的服务,使团队能够在竞争中处于...

标签
云服务
SaaS
实时访问

Palo Alto Networks大中华区销售总裁徐涌认为:在这个时代,SaaS[注] (软件即服务[注],Software as a Service)供应商代为管理的企业数据持续增加。显而易见,这些云服务为企业提供近乎实时访问高级功能的服务,使团队能够在竞争中处于领先地位。作为安全专家,Palo Alto Networks的目标是为客户提供方便,而非掣肘。因此,其提出影子IT的概念,并建议企业应该采取务实的态度 ─ 我们如何做才能更好地支持业务需要,同时控制风险呢?

我们必须认清影子IT (Shadow IT)不足为惧。影子IT是指那些不在企业IT部门掌控下的IT 设备、软件及服务。IDC调查指出,影子IT形成的两大主因包括:IT供应商的推广延伸至商业用户,以及业务流程主管要求加快IT项目的进度。

Palo Alto Networks大中华区销售总裁徐涌提出要想使策略有效,必须考虑两个现实问题。首先,大部分安全操作缺乏用来监督企业使用SaaS服务所需的透明度,简单来说就是您要先看到才能谈安全。这并非指您需要在公司彻查并堵截那些违规的云使用者,因为这会影响业务的增长。但是,您可对使用者的习惯进行甄别,以便在企业级层面上采用某些特定服务。

如果这些服务能对一个团队有利,那整个公司便可从中获得优势。下一代防火墙[注]在这时候便扮演着非常独特的角色。

下一代防火墙的设计一方面能够让企业安全地使用与业务相关的应用程序,同时拦截那些可能会带来不必要风险的应用程序。为了实现这一目的,下一代防火墙能对上千个应用程序进行识别,其中就包括那些基于SaaS平台的程序。

这不但为企业的影子 IT 增加了可视性,更是一个建立控制系统的有效方法。在某些情况下,您可能需要快速判断某些SaaS服务是否会带来太高风险,下一代防火墙有能力确保用户落实以应用程序和用户为基础的防火墙策略。这为个人(您的公司高管有可能会要求访问他的Box账户)、团队(如人力资源部门)或整个公司提供更精细的访问控制功能。一些机构已经把这些政策延伸为合规计划的一部分,以确保团队在获得访问权限前能够接受基本的使用培训。

第二个需要重视的客观情况源自于BYOX(Bring Your Own “X”)政策,由BYOX应运而生的移动工作团队和持续增加的云服务已经完全侵蚀传统的区域边界。新的边界将由两个简单的因素所界定:我们的个人身份和可访问的数据。在云应用程序、保留在企业内的应用程序和用以接入应用程序的设备之间进行谨慎协调,来保护新的边界。

对于在公司内上班的员工,您可以借助下一代防火墙提高可视性并进行风险控制。通过更高的可视性来确保只使用经过认可的SaaS服务。

Forrester指出(+微信关注网络世界),下一代防火墙在Zero Trust架构中可用作分段网关(segmentation gateway)。这有助于通过在敏感数据段建立保护区来阻止黑客的入侵(lateral movement)。

识别敏感数据段后,以用户和应用程序为基础的防火墙策略便可实时做出相应的调整,确保只有获得授权的人和其设备才可接入。按照这种操作,假如您只授权给特定的团队如人力资源部门,您便可以确保只有人力资源部门员工才可接入,除非修改策略。

对于移动办公人员,有三个问题需要优先考虑。这些考虑都是基于一个简单的前提:用户应该获得与网络内同等的保护。最根本的就是要确保设备能够安全启用,而部署和安装要做到简化。如此一来可以确保正确地设置设备,例如使用强化的密码和加密功能。

移动员工应该获得在网络内工作时同样级别的保护,从而免受漏洞和恶意软件的攻击。

最后,您必须能够有效控制数据的访问与传输,即通过应用程序、用户、用户的设备来控制访问。数据的传输控制则需要延伸至设备,确保数据保留在获认可的应用程序之内。

下一代防火墙的正确部署,不但可以保护您的用户免受网络攻击,而且还可以提供必需的可视性,从而降低影子IT带来的相关风险。这些功能今天以整合解决方案的形式存在于市场。应用最新科技来设计一个能够满足您目标的IT架构,同时自由地采用最新的SaaS服务以实现业务创新才是您的目标。

参考资料

1.SaaS:软件即服务(Software as a Service,简称)有时被作为“即需即用软件”(即“一经要求,即可使用”)提及,它是一种软件交付模式。在这种交付模式中云端集中式托管软件及其...详情>>

2.下一代防火墙:(Next Generation Firewall),简称NGFW,是可以全面应对应用层威胁的高性能防火墙。通过借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安...详情>>

[责任编辑:网络安全 lin_hongji@cnw.com.cn]

我也说几句