您可能听过 F5 的许多人这么说:“身份就是新的防火墙。” 这可能听起来很简短,但这个简单的陈述中却包含了很多内容。 大量的安全性以及我们应对当今数字中断的不断变化的方式。
无论是云或威胁在应用堆栈中稳步上升,还是整体式应用程序分解为 API 和微服务,现实情况是,这些中断正在向外产生连锁反应。 这种影响已经动摇了数据中心建设的基础,并导致数据中心架构发生意料之中的变化。 目前,无边界业务的出现极大地推动了这些变化。 依赖于应用的业务,其中许多应用程序部署在那里(SaaS),一些部署在那里(IaaS),还有一些仍部署在这里(数据中心)。
这些变化源于人们认识到,以防火墙为中心作为业务战略控制点的传统架构无法有效地保护无边界业务。
它不再以那种方式起作用,因为被保护的边界不再是数据中心。 现在,周长就是那个应用、那个应用和那个其他应用。 传统的基于 IP 的防火墙不仅因为对应用的理解有限而且因为其受限制的性质而无效。 传统的基于 IP 的防火墙仍然是数据中心的必需品,但在云等高度不稳定的网络环境中基本上无效,因为它要保护的应用的地址空间通常会快速变化。 容器的引入也增加了基于网络的应用访问控制的波动性问题,因为它们的生命周期通常更短。 由于生命周期以分钟而不是天或周(或月)来衡量,因此传统基于 IP 的防火墙承受的压力非常大。
另一方面,基于身份的应用访问控制关注的是匹配用户和应用程序,而不是 IP 地址,并提供了一种基于上下文而不是配置来控制应用访问的更好方法。 这意味着,如果您真的想看一下,那么除了 IP 地址之外,还可以根据客户端、位置、设备、一天中的时间、网络速度和应用来评估用户的访问请求,而不是缩小 IP 地址的范围。 该访问权限提供了一种更好的方法来确定谁(或什么)应该(或不应该)访问给定的应用。 并且,无论应用部署在何处,为其提供该服务都变得更加容易。 基于身份的访问控制服务可以随应用从数据中心传输到云端,并在必要时返回,因为它的控制基于对客户端和应用的理解,并实时应用策略,而不管承载这些请求和响应的网络如何。
基于身份的访问控制选项还意味着在不同环境之间提供奇偶校验。 虽然依靠传统的基于 IP 的防火墙来控制对应用的访问意味着在数据中心使用一个系统,在云中使用另一个系统,但可以在两个环境中部署相同的基于身份的访问控制服务,这意味着基于一致的策略可以更好地遵守公司政策,并在管理和审计方面减少运营开销。 我们发现,对于那些在混合(多云)环境中运营的人来说,这种奇偶校验的需求持续存在。 在我们的 2016 年应用交付状况报告中,近一半 (48%) 的受访者认为,与本地部署相比,政策和审计的一致性是采用云的重要安全因素。
此外,由被盗或易被发现的凭证所导致的安全漏洞不断增加,这表明,现在是时候超越基于密码的基本身份验证,采用更智能的方式来允许或拒绝访问。 普华永道在其最新的全球安全调查中指出,91% 的受访者使用“高级身份验证”。 他们引用了令牌和双因素身份验证方法,并指出高级身份验证不仅在客户信心方面,而且在企业信心方面也带来了显著的好处。
基于上下文的访问控制通过提供多个“因素”来评估请求,从而提供了类似的措施。 此类解决方案可以实现双因素身份验证,但组织也可以开发依赖于自动提供的上下文线索的身份验证措施,以获得更加无缝的应用体验。 有人可能会说,在“物体”充当客户端的时代,需要一种更加自动化的基于“多因素”的身份验证策略,因为大多数“物体”并没有自己的手机,而主人可能不喜欢参与物体同步和“打电话回家”所需的频繁交易。
无论您的组织对身份验证和访问控制的决心如何,几乎可以肯定的是,它不会完全依赖(如果有的话)基于 IP 的防火墙。 因为基于 IP 的防火墙依赖于存在明确界定的公司边界的概念。 而在当今的应用基础设施多云、移动且几乎转瞬即逝的世界中,这种界限已不复存在。