代理是未来安全的关键组成部分

随着我们迈向数字化转型的第三阶段，从代码到客户application路径的每个点收集和分析数据和遥测至关重要。 企业严重依赖机器学习分析，它提供各种数据，例如消费者使用模式、库存跟踪和季节变化，从而提高性能、提高效率并增强竞争优势。 同时，机器学习对于企业应对当前以及未来将继续面临的高级安全威胁也至关重要。

然而，对于实现机器学习的价值而言，仍然存在一个至关重要的安全架构争论：数据包过滤还是代理？ 大约二十年前，当我还是思科首席技术官办公室安全创新小组的实习生时，这场争论就开始激烈起来，而今天仍在继续。

早期，网络数据包过滤似乎因注重速度和反馈而取得胜利。 数据包过滤方法针对单个数据包进行操作，在过去，这种方法通常比面向连接的代理方法速度更快。 基于数据包过滤方法构建的安全解决方案逐渐演变为更具状态的引擎，变得“应用程序感知”，更加注重application和身份。 不过，基于数据包过滤的安全性的核心价值主张在很大程度上依赖于对单个数据包的速度检查。

然而，最终“应用程序流畅”可编程代理的发展提供了超越数据包过滤早期优势的价值。 这一价值的关键有两点： 首先，代理提供了对每个交互的可见性——从用户到application、从网络到application以及跨逻辑业务流，所有这些都使其能够检测到高级攻击。 其次，可编程代理可以注入代码、丰富标头并插入跟踪数据来动态地检测客户端和applications。 换句话说，检查已经不够了——代理提供了关键的能力，可以对发现模式和产生可操作的安全见解所需的数据的广度和深度进行交互。

检查和仪器的力量

显然，仍然需要过滤不良流量，并将检查能力集中在良好流量上。 通过将用户身份与其他访问控制策略相连接，这使组织能够进行广泛而深入的研究，并拥有符合“零信任”设计方法的架构。

此外，攻击的复杂程度已经超越了通过对 WAF 等单个内联设备连接的“时间点”分析检测到的基本攻击。 检测和缓解高级攻击需要在一段时间内跨整个数据路径关联多个信号或数据点。

安全的未来取决于遥测，而遥测不只是从数据包中挑选出的技术数据点。 它需要从客户端到application到行为的交互的整体视图。 机器学习需要大量数据来建立和识别模式。 这就是为什么可编程代理是高级安全方法如此关键的一部分。 从仪器接收的高保真数据确保了丰富的数据，可以防止甚至预测application攻击。

最终，如果公司不断使用其工具箱中的一半工具来对抗高级攻击，他们将很难实现机器学习带来的性能改进、效率和竞争优势。