機房建置：關於數據安全的新思考

機房建置，和IT基礎設施的大多數領域一樣，安全歷來都是一個孤立的領域，致力於保護數據、應用程序和網絡連接。隨着自帶設備(BYOD)政策和網絡端點的出現，大多數公司的安全實踐是以被動反應的方式演變的，也就是按照具體的需求來獲取和使用新技術。
大中型企業部署50項或更多安全技術的情況並不少見。雖然性價比不高，但到目前爲止，這種方法在應對各種攻擊方面確實有幾分效果。

現在，安全威脅正以前所未有的速度變化，迫使企業轉向更具前瞻性的安全模式。攻擊的焦點和手段日新月異，攻擊的目標空前廣泛，在這種情況下，需要採取積極主動的方法和統籌全局的安全策略。
當今的網絡安全
管轄權問題和匿名性助長了網絡犯罪活動。現在，黑客具備的能力和擁有的資源超過了以往任何時候。互聯網使黑客只需要點擊一下鼠標就可以拉近與所有人的距離，他們似乎比從前更加大膽、更富有攻擊性。結果，安全威脅與日俱增，攻擊更加複雜，損失愈發嚴重。
幸好，企業已經注意到了安全領域的這種變化，正在採取措施加以解決。受IT服務解決方案公司Datalink的委託，IDG Research Services公司近期對美國大公司的100多位IT高管進行了一項調查，發現在回答他們公司的前五大IT投資方向時，受調查者最常提到的就是改善IT安全。他們中的大多數人(75%)還表示，與兩年前相比，安全問題現在變得更加重要。
顯然，如果企業不希望淪爲網絡攻擊的受害者，就必須制定和實施全面的IT安全策略，確保數據的機密性、完整性和可用性。然而，很多傳統的安全技術已經跟不上變化。而且，據Cybersecurity Ventures估計，到2019年，全球網絡安全人才缺口將達到150萬。這種人才缺口反映到微觀層面，意味着對很多企業來說，IT安全的專業化程度越來越高，而通常人手很少、資源有限的IT部門卻被要求承擔重大的責任。
範式轉換：安全新邊界
企業通常會爲他們的網絡建立安全邊界。然而，事實越來越清楚地表明，更恰當的焦點是數據中心，尤其是對那些剛開始沒有資源來保護各方面操作的企業來說。數據中心是企業存放應用程序和數據的地方，往往是企業最寶貴的數字資產，也是網絡罪犯最頻繁攻擊的目標。
當然，爲數據中心建立安全邊界說起來容易，做起來卻很難。“邊界”也許在五年前很容易確定，但網絡技術和網絡形態的每一次進步都使邊界變得愈發模糊。雲計算、混合雲、彈性網絡等新技術導致安全邊界更加難以確定。如果再考慮到包括合作伙伴、供應商和服務提供商在內的商業關係也在變得更加複雜，這些技術的複雜性就更高了。把所有層面都考慮進去後，這便成了一項重大的挑戰，但還是可以做到的。
建立新邊界並不意味着拋棄本地安全的概念。理想情況下，目前的措施應該保留下來，但只是作爲全面策略的一部分。
反思數據中心設計
想要應付近些年來日益猖獗的網絡犯罪，顯然需要企業做出根本性轉變。網絡交易的可見性是加強安全的關鍵。不幸的是，目前的基礎設施劃分方法使得追蹤系統的數據請求和返回數據的最終到達變得十分困難。
在反思數據中心的運作方式時，企業必須考慮以下幾個重要問題：
監控將在哪裏發生?信息聚集在哪裏很重要，因爲傳送過程中的地址會不斷改變。如果你只着眼於入口點和出口點，就會錯過服務器上應用程序之間的東西互動。哪些設備和事件應該下最大力氣進行監控?應用層面?系統層面?用戶層面?所有這些?都不是這些?“正確”的答案取決於業務類型和流經基礎設施“脈絡”的數據的敏感性。企業需要技術提供什麼安全能力?企業是否需要日誌信息、數據包捕獲和外部威脅情報?是否有能力收集、存儲、處理和關聯信息?警報是如何處理的?對於問題如何分類、升級和解決，所有人必須立場一致。
企業不同，答案也不盡相同。絕對沒有一種“萬金油”式的網絡安全方法。企業的安全策略必須契合其商業目標、風險承受能力和部署能力。因此，企業在制定全面的安全策略時，應該考慮尋求幫助。
拋棄過時看法
以前，安全技術要想發揮作用，必然導致網絡速度慢到不行。結果，企業不得不在嚴密保護和高生產率之間二選一。由於生產率能創造收入，因此常常勝出。安全功能會束縛數據流動和應用程序表現的看法，如今也依然存在。
想要讓安全措施被採納，IT必須向企業清楚地表明，新技術是強大、快速和準確的。它能迅速檢查輸入流量，發現和處理可疑查詢，並讓合規查詢自由通過。
另一個錯誤的看法是，不同的安全技術無法結合成一個統一的安全策略。現在最好的系統都擁有開放的應用程序編程接口(API)，能夠簡化與其他技術的整合。
展望未來
顯然，下一代數據中心必須把信息的安全性融入其設計中，不能事後來補救。但想要讓數據安全真正起作用，企業的安全策略必須把人、過程和技術都納入考量。
無論是現在還是未來，人都是最脆弱的一環。實施新技術時，企業必須確保相應的支持人員受到適當培訓，且樂於承擔其職責。同樣，過程必須經過檢查和改進，以有效利用新的能力和功能。
很多時候，企業雖然獲取並部署了最新技術，但卻未能物盡其用。這就像購買了一輛功能豐富的高檔汽車，但卻不願意去了解那些功能有什麼用。用指標來定義和衡量成功是很重要的。
及早和經常讓公司股東參與安全技術評估和選擇過程，這有助於使安全技術獲得支持和認可。適當的政策也非常重要。公司領導層必須知道，他們的安全命令是如何轉化成安全行動的。把技術解決方案與企業政策和標準聯繫起來是必要之舉。
拓展安全邊界，採取新的數據中心設計方法，培訓人員，改進過程以充分利用新的安全技術，這些都是艱鉅的挑戰，但也只是個開始。想要領先於網絡罪犯，IT安全專家必須攜手合作，分享他們的經驗和知識。越能更快地收集、消化和分享關於安全威脅的趨勢與具體類型的信息，就越能更快地執行相關的解決措施，IT也就越能有效地保護企業免受任何負面影響。