在BYOD、专有和公共Wi-Fi以及其他接入方式的挑战下，日益多孔的企业边界让传统网络边界安全变得过时。

网络安全从军事、情报、医疗和人身安全领域借用了很多概念和想法，很多时候，这些概念很有帮助，但有时候也会误导人们。企业边界的概念就是一个很好的例子。

最初，安全架构是基于这样的前提，即网络边界安全可以在“内部”(专用线路、服务器、路由器以及受安全专业人员控制由用户使用的设备)构建，并可抵御“外部”(公共网络和外部设备)威胁。内部和外部之间的界限当然就是企业边界。具体而言，网络边界安全由防火墙以及其他受保护设备提供，这些设备物理地隔离企业基础设施与潜在不安全的公共设备及服务。

但现在企业边界内部和外部之间的这种分隔不复存在。用户越来越多地在企业外部工作，通过公共互联网或移动设备及服务来连接。企业数据和应用通常位于云端，并且，最重要的是，我们不能够再假定内部设备受到传统网络边界安全的保护：因为不断有内部人员攻击自己的企业，无论是有意还是不知情的情况下。

我们现在需要的是无边界保护：我们的架构应该是这样，无论用户、应用和资产位于何处，都可以保护它们，而不涉及企业边界。这种保护必须能够抵御长期、多面攻击，例如高级持续性攻击(APT)。

提供有效的网络边界安全

在这种架构中有几个关键构建块：

1. 数据丢失防护(DLP)

第一个关键构建块是DLP产品和应用，它们的形式包括硬件设备、软件应用和基于云的服务。它们可监控结构化数据(数据库、电子表格)以及非结构化数据(电子邮件、Word文档、多媒体文件)以确保只有具有访问权限的人可以查看或修改这些信息。假如索尼影业部署有效的DLP系统，他们就可以避免破坏性的攻击事故。DLP产品供应商包括：Blue Coat Systems、思科、Code Green Networks、GTB Technologies、McAfee、Sophos、赛门铁克、趋势科技、Digital Guardian和Websense。DLP产品中的主要功能包括实时性能、全面支持各种文件格式、协议、语言(并非所有文件都是英文)、易于管理和配置，以及有效整合政策。

2. 安全Web网关

与DLP产品一样，安全Web网关(SWG)的形式包括硬件设备、软件应用和基于云的服务。DLP与SWG的区别在于，虽然DLP产品监控企业的资产来抵御不当的查看、修改或共享，SWG还会流量来抵御恶意软件。SWG供应商包括Barracuda、Blue Coat、思科、McAfee、iSheriff、Sophos、赛门铁克、趋势科技、Websense和Zscaler。这些产品的主要功能包括实时性能、支持多种协议(IPSex和SSL)、沙箱技术、整合社交媒体以及支持移动设备。

3. 安全分析产品和框架

分析工具是安全信息和事件管理(SIEM)产品市场的产物。与SIEM产品一样，安全分析工具旨在发现安全事件，最好是在实时。而与这些工具不同的是，现代安全分析工具通常是基于大数据技术，例如Hadoop。它们通常会结合各种设备与产品来提供对企业安全状态的持续分析。安全分析产品供应商包括Agiliance、Blue Coat、Damballa、FireEye、Guidance Software、HP Arcsight、IBM、Lastline、LogRhythm、McAfee和Splunk。这些产品的主要功能包括与在线数据源的实时整合(保持更新的重要方式)、实时性能和警报，以及修复功能。

总结

企业边界已经消失，无边界时代的出现意味着安全专业人士需要重新考虑其安全架构，消除网络边界安全的假设。同时，这也意味着评估新产品和框架，并着眼于如何实现无缝集成。