全球化是今天大多数公司的新常态,但也带来了一些严重问题,尤其是涉及到管理大范围分布式网络中的防火墙资产的时候。
总部设在美国的典型跨国公司,可能在全球数十个国家设有办事处和数据中心。即便公司采取积极主动的结构化逻辑化方法实现网络安全,每个数据中心都有防火墙保护,所有这些防火墙也必须能协同工作,让网络流量能在国际网络和数据中心间安全传输。那该怎样管理呢?有3个关键问题需要考虑。
问题1:时间问题
任何环境下,防火墙管理核心元素之一,都是配置,尤其是变更控制过程,即应用程序网络连接更新或修改时更新防火墙规则。
然而,在全球性网络中,分布多国的应用程序需要通信和共享信息,这就让问题变得更加复杂了。可以想像一个常见景象:一家公司在其全球网络中部署了一个新应用,因而需要在多个国家实现防火墙策略修改。策略修改本身很容易实现,但问题来了——到底什么时间点上干这事儿呢?
很多大型企业,策略修改都被限制在特定变更控制窗口时间内,目的是为了缓解核心应用运营停机或配置错误的风险。因此,防火墙策略修改通常选择在夜间或周末完成,避开高风险时段。在对于全球化公司,运营横跨多个时区,高风险时段各国不同。而且,日历上的高流量时段也各不相同,圣诞节前夕对西欧和美国零售商最为关键,春节则是亚洲零售商最为重视的阶段。
所以,公司企业面临取舍选择。他们可以按网络中最重要节点位置的方便,设置一个通用的变更控制窗口时间,然后希望其他地方设法配合。这是一种快速方便却危险的方式。或者,他们可以在不同的国家设置不同的变更控制窗口,尽力协调零散的防火墙修改过程。因为合法流量在变更全部完成之前基本是被阻在半途的,这种做法不太可能在变更过程中途引起安全问题——但封锁不同地点之间的相互通信明显会造成严重的运营问题。该变更管理过程,要求公司网络运营和应用程序部署团队之间,要有细致缜密的协同。
最后,时间问题没有简单的答案。公司需要衡量两种方法的利弊,选择最适合的途径。
问题2:符合法律规定
在多个国家运营多个数据中心的另一个方面,就是多个司法管辖区问题。不同的国家在地区管理和信息流动上适用的法律不同;比如说,瑞士,就要求银行信息不得流出瑞士国境,而澳大利亚政府,则不允许政府或联邦信息离境。
这些法律,对跨国企业数据中心管理有着重大技术性影响,无论是在实地还是在云端。信息必须依据当地监管要求进行分离、储存和保护,通常会需要IT团队来处理这些事务。技术上讲,所有这些必要的分割都可以远程实现,甚至外包给服务提供商,但这依然是公司的一大负担——尤其是在公司迁移到云基础设施的时候,因为他们会特别担心法律合规的影响。
如果,最近的8100万美元SWIFT电汇欺诈案后,孟加拉央行决定正式起诉,那我们有可能真切看到法律合规问题的真实上演。他们该向哪个警方上诉?国际刑警组织能帮上忙吗?即使他们查出了罪犯身份,谁来逮捕?谁来提请引渡?
这些问题也没有唾手可得的答案。最终,公司企业需要自己担负起理解每一个数据存储传输国适用的数据保护法规的责任,而且还得将这些合规条文翻译成合适的技术性、法律性合规相关动作供其IT安全策略和业务部门参照执行。
问题3:还有谁?
当公司企业授权外部公司访问其网络时,局面会变得更加复杂。这个时候,有必要强调,这些外部公司也是公司企业信息安全和合规态势的一部分。最小化此类外部连接的风险,依赖于实现审慎的网络分段和采用额外控制措施,比如Web应用防火墙、数据泄露预防、入侵检测等。
进而,在某个时间点上,公司企业将不得不对外部连接做出调整,无论是因为自身或对方IT团队的既定维护工作,还是因为计划外停机的结果。由于可能需要与公司外人员的协调和调整现有工作流,同时还要遵守合同性或服务水平协议(SLA)责任,处理会影响到外部连接的变更,就比处理内部维护要复杂得多。作为该过程的一部分,公司企业需要确保他们的信息系统允许IT团队识别外部连接,并提供合同相关技术信息的访问,同时还要支持修改过的工作流。
最后,公司企业应该确保与第三方公司签订有覆盖所有外部连接相关的技术、业务和法律事务的合约。
要管理全球性网络基础设施,拥有防火墙管控全球网络流量方式的完整实时可见性和控制力,比以往任何时候都来得重要,无论你是想最大化安全与合规,还是想最小化宕机时间。
作者:nana
来源:51CTO
