傳統(tǒng)的安全模式是先擁有并控制基礎架構，然后沿著網(wǎng)絡邊界開始布防。而隨著多云時代的來臨，很多企業(yè)都有了公有云資源，基礎架構向云延伸，無法沿著網(wǎng)絡邊界進行布防。也就是說，傳統(tǒng)安全方案不能解決現(xiàn)在的安全問題。

從以往的實踐來看，傳統(tǒng)安全工作都是漸進式地應對一個個出現(xiàn)的安全問題。在戴爾科技集團大中華區(qū)市場部高級顧問李君鵬看來，必須進行一次徹底的變革，需要采用零信任模式，因為，零信任能為IT環(huán)境帶來明確的控制。

零信任架構有三個原則：第一個，要確保當前環(huán)境中所有的設備和實體都是已知的，為此，需要反復驗證和確認；第二個，顯式地聲明設備和實體可以進行的行為，并只能進行這些允許的行為；第三個，要能監(jiān)控和分析行為，及早發(fā)現(xiàn)安全威脅。

零信任架構屬于非常嚴格的安全管理，在具體的實現(xiàn)層面，包含三個層次，分別是業(yè)務控制層、控制平面和基礎架構層面，業(yè)務控制層在業(yè)務層面進行安全設定，控制平面執(zhí)行這些設定，基礎架構層面負責在基礎架構層面執(zhí)行安全設定。

在實際部署中，由于缺少明確的定義，各個層之間沒有很好的融合，經(jīng)常需要企業(yè)自己進行很多設置，所以，零信任架構進行的并不順利。

戴爾作為全球最大的IT基礎設施提供商，在基礎架構層面上有明顯優(yōu)勢。李君鵬表示，戴爾正在整個業(yè)界實現(xiàn)零信任的集成，讓零信任更簡單地被采納，減輕客戶集成的負擔。

戴爾將零信任視為基礎架構端到端生命周期不可缺少的一部分，從產(chǎn)品設計、開發(fā)、制造、交付、部署和維護，甚至最后產(chǎn)品停用都貫穿其中，整個生命周期中都采用了零信任技術架構。而這，都為戴爾幫助企業(yè)加強現(xiàn)代安全打下了基礎。

戴爾認為可以通過“保護數(shù)據(jù)和系統(tǒng)”、“提升網(wǎng)絡彈性”和“降低安全復雜性”，三部分來加強現(xiàn)代安全。

加強現(xiàn)代安全：保護數(shù)據(jù)和系統(tǒng)

在保護數(shù)據(jù)和系統(tǒng)方面，戴爾提出了整體安全愿景。

從底層可信賴基礎架構開始、到云架構層、到應用層、再到設備層全盤考慮，并提出了解決各個層次安全問題的方法或者具體方案。

之所以能全盤考慮，主要還是因為戴爾是全球最大的IT供應商，在企業(yè)面前有端到端的整體存在，從客戶端到服務器、存儲、網(wǎng)絡都一應俱全，并且，所有這一切都有內置的安全，都實現(xiàn)了零信任架構。

在基礎架構之上，戴爾能為云架構層的安全管理帶來更高的一致性，也就降低了管理的復雜性。從應用層來看，戴爾與包括VMware在內的合作伙伴合作，幫助企業(yè)在云環(huán)境中實現(xiàn)一個統(tǒng)一的視圖。為企業(yè)在開發(fā)應用、托管應用和組織管理應用時提供了一致的操作層。

在設備層，隨著企業(yè)聯(lián)網(wǎng)設備越來越多，安全管理也面臨更大壓力，戴爾不僅提供了強大的設備集成能力，還通過端點安全技術對所有類型和所有的設備提供保護和管理。

在保護數(shù)據(jù)和系統(tǒng)方面，戴爾認為安全需要轉型。比如，從先開發(fā)應用后做安全的模式轉變?yōu)閮仍诘陌踩?，在應用開發(fā)階段就加入進去；從信息安全團隊單獨負責安全轉變?yōu)橛蒁evOps、基礎架構、網(wǎng)絡團隊進行統(tǒng)一參與；以及從以威脅管理為中心向以業(yè)務為中心轉變。

在具體實踐層面，戴爾根據(jù)NIST安全框架，在識別、保護、檢測、響應和恢復五個維度上都有具體的對應，這也體現(xiàn)了戴爾作為提供多種基礎架構IT供應商的優(yōu)勢。

正如李君鵬所言，“隨著保護企業(yè)IT環(huán)境變得越來越復雜，與一個可信賴的合作伙伴合作，提供跨整個IT范圍的廣泛的解決方案，而不是嘗試跨多個供應商和協(xié)議拼湊端到端覆蓋，這樣做更有意義?！?/p>

加強現(xiàn)代安全：提升網(wǎng)絡彈性

NIST安全框架已是安全實踐上的一個共識，NIST框架的前四個部分是網(wǎng)絡安全的范疇，而最后一部分是恢復，完整的NIST框架就構成了網(wǎng)絡彈性能力。一直以來，戴爾非?？粗鼗謴湍芰?，重視構建網(wǎng)絡彈性戰(zhàn)略。

網(wǎng)絡彈性戰(zhàn)略指的是，不管發(fā)生設備故障、網(wǎng)絡故障，還是災難威脅、網(wǎng)絡威脅，業(yè)務都能正常運轉的能力，網(wǎng)絡彈性戰(zhàn)略需要借助各種技術手段讓業(yè)務持續(xù)運作，不能讓企業(yè)遭受損失。本質上，這都是從業(yè)務角度進行的思考。

戴爾科技集團大中華區(qū)數(shù)據(jù)保護技術總監(jiān)李巖在與許多企業(yè)的溝通中了解到，很多企業(yè)在被攻擊后基本沒有太好的辦法，通常都是先斷網(wǎng)，然后立馬報警，最后，等著國家網(wǎng)絡安全部門來開展調查，這一過程可能會持續(xù)較長時間，期間將不得不承受較大損失。

網(wǎng)絡彈性戰(zhàn)略考慮了安全防護手段被突破后的情況，解決的是被突破之后如何保障業(yè)務運行的問題。為此，就需具備恢復手段，這里所說的恢復手段指的網(wǎng)絡恢復，它是一種解決方案，而且是整個網(wǎng)絡彈性戰(zhàn)略里最關鍵的一個組成部分。

然而，翻開許多企業(yè)在安全方面投入的分配數(shù)據(jù)，識別/保護部分大概是10-20%，檢測部分大概是70到80%，在響應部分的投入微乎其微，在恢復上的投入幾乎為零。如果恢復上的投入有所增加，那將帶來更多收益，對恢復的投資將幫助企業(yè)提高投資回報率。

戴爾認為，可以通過構建“三位一體”的數(shù)據(jù)保護策略和框架，來增加恢復手段。

所謂“三位一體”，指的分別是：所有的數(shù)據(jù)都需要做備份，重要的數(shù)據(jù)需要準備災難恢復解決方案，最后，企業(yè)的黃金數(shù)據(jù)、最核心的數(shù)據(jù)需要放到“數(shù)據(jù)避風港”里。

“數(shù)據(jù)避風港CyberRecovery”是戴爾的一套方案，設計用來防止金融行業(yè)數(shù)據(jù)受到威脅，所以，各種設計都用了最嚴格的標準，使用了一堆“狠活兒”。

首先，為了讓數(shù)據(jù)不被黑客觸碰到，“數(shù)據(jù)避風港CyberRecovery”使用了Air-Gap（氣閘）進行了物理隔離，“數(shù)據(jù)避風港”里備份的數(shù)據(jù)與生產(chǎn)環(huán)境是完全斷開的，縱使黑客有通天本領也無法觸碰這些數(shù)據(jù)。

第二，“數(shù)據(jù)避風港CyberRecovery”不允許數(shù)據(jù)進行改動，不可被篡改，即使是內部的人員也不能對其進行刪改。第三點，為了確保備份來的數(shù)據(jù)是安全的，會做許多智能分析。

在實際使用中，如果生產(chǎn)環(huán)境遭受攻擊，就需要從“數(shù)據(jù)避風港CyberRecovery”里恢復數(shù)據(jù)，為了保證安全，“數(shù)據(jù)避風港CyberRecovery”會短時間內打開閘門，快速對數(shù)據(jù)進行恢復，從而將業(yè)務系統(tǒng)恢復到正常狀態(tài)。

李巖還表示，對關鍵數(shù)據(jù)的保護和恢復能力，但純靠一個解決方案是不夠的，還需要一些方法，比如，對數(shù)據(jù)進行分類，選出哪些是需要放到“數(shù)據(jù)避風港”里，此外，還涉及到人員和流程管理的許多問題。

其實，安全問題歷來就很復雜，涉及到硬件、軟件、業(yè)務流程和人員操作流程等多個方面，也正因如此，構建現(xiàn)代安全才特別提到了“安全復雜性”的問題。

這就是加強現(xiàn)代安全的第三個方面：降低安全復雜性。

復雜性是安全的敵人，當企業(yè)要管理的東西越來越多，安全風險就會越來越多。戴爾認為，自動化、智能化和整合能應對這一問題，將更多的人工智能和機器學習注入到這些安全工具當中，可以更好地管理威脅。

從李君鵬的介紹中了解到，戴爾基于云的監(jiān)控和分析軟件——CloudIQ結合了主動監(jiān)控、自動通知、推薦、機器學習和預測分析等功能，可用來降低基礎架構的安全風險。除了工具，戴爾的安全管理團隊可以為企業(yè)提供安全支持服務，能夠幫助客戶降低安全的復雜性。

結束語

戴爾并不是一家安全公司，但考慮到如今IT架構方面的變化，戴爾在安全方面的責任也越發(fā)重要，憑借在基礎架構領域方面的優(yōu)勢，戴爾在零信任架構的落地，在數(shù)據(jù)和系統(tǒng)的保護以及網(wǎng)絡彈性方面的價值也非常顯而易見。

zhupb