網(wǎng)絡(luò)分區(qū)是一種基本的預(yù)防性安全控制���,可減少企業(yè)的攻擊面并阻止橫向移動(dòng)。它使攻擊者的生活更具挑戰(zhàn)性�,因?yàn)樗麄儫o法從互聯(lián)網(wǎng)直接訪問所有虛擬機(jī)(vm)。
而且����,即使他們進(jìn)入了企業(yè)網(wǎng)絡(luò),如果防火墻和區(qū)域限制了內(nèi)部網(wǎng)絡(luò)連接和流量�,他們也無法從一個(gè)虛擬機(jī)快速跳轉(zhuǎn)到下一個(gè)虛擬機(jī)。然而����,人工智能和IT自動(dòng)化的興起挑戰(zhàn)了一項(xiàng)基本的分區(qū)原則:階段。
階段如何影響網(wǎng)絡(luò)和網(wǎng)絡(luò)安全
開發(fā)區(qū)���、測試區(qū)��、預(yù)生產(chǎn)區(qū)域和生產(chǎn)區(qū)域�,敏捷工程方法取代了老式的瀑布模型����,但是階段仍然存在�。一些IT部門有三個(gè)或只有兩個(gè)階段�,一些談?wù)摷蓽y試或單元測試階段。目的是一樣的:
防止錯(cuò)誤地在生產(chǎn)上進(jìn)行實(shí)驗(yàn)”����,或者在沒有事先在測試安裝上進(jìn)行測試的情況下故意修復(fù)生產(chǎn)問題。應(yīng)用的運(yùn)行穩(wěn)定性對許多企業(yè)來說至關(guān)重要��,因此不允許在生產(chǎn)中進(jìn)行未經(jīng)測試的更改����。階段啟用并執(zhí)行此原則。
● 限制存儲(chǔ)敏感數(shù)據(jù)的機(jī)器���,例如�����,在開發(fā)和單元測試階段只允許合成或匿名數(shù)據(jù)�����。
● 阻礙橫向移動(dòng)����,尤其是從通常沒有得到完美保護(hù)的開發(fā)服務(wù)器到生產(chǎn)機(jī)器。
實(shí)際上��,更大的網(wǎng)絡(luò)設(shè)計(jì)會(huì)區(qū)分內(nèi)部和外部����,即互聯(lián)網(wǎng)可達(dá)區(qū)域,并在互聯(lián)網(wǎng)和外部區(qū)域之間�,放置Web應(yīng)用防火墻和應(yīng)用接口(API)管理解決方案����。國家或業(yè)務(wù)單位是其他廣泛使用的分區(qū)維度。在非生產(chǎn)階段可能會(huì)采用相同或更簡單的分區(qū)概念���。
這是傳統(tǒng)的設(shè)置��。在過去的幾年里�,人工智能和IT自動(dòng)化成為人們關(guān)注的焦點(diǎn)�����,并帶來了變化�����。
IT自動(dòng)化如何影響網(wǎng)絡(luò)分區(qū)
高可用性和快速編碼到部署周期,都需要數(shù)據(jù)中心的自動(dòng)化�。另外,自動(dòng)化使管理員更有效率�����。與過去幾年的全職工作相比����,如今安裝和設(shè)置軟件只需單擊一下即可完成,在過去���,管理員需要處理20張軟盤�����。
如今的監(jiān)控服務(wù)器有自動(dòng)報(bào)警���。如果需要手動(dòng)干預(yù),他們會(huì)主動(dòng)通知管理員�。此外,CI/CD管道是標(biāo)準(zhǔn)的��。然而,這些效率提升需要修改網(wǎng)絡(luò)分區(qū)概念����。
監(jiān)控和部署組件和CI/CD管道對網(wǎng)絡(luò)分區(qū)的影響
監(jiān)控解決方案檢查VM和網(wǎng)絡(luò)組件的可用性,并尋找可能暗示安全事件的事件�����。我們可以將監(jiān)控組件放置在生產(chǎn)區(qū)內(nèi)的專用區(qū)域或完全單獨(dú)放置���。顯然���,如果這些應(yīng)用按分區(qū)分開���,則不太可能出現(xiàn)操作錯(cuò)誤����。此外����,應(yīng)該有選擇地打開防火墻,而不是只打開所有防火墻�����。
監(jiān)控解決方案就是一個(gè)例子,其他解決方案屬于同一類別�����,例如���,補(bǔ)丁管理或漏洞掃描����。然而�����,雖然有可能規(guī)避此類解決方案的跨階段訪問�����,但根據(jù)定義��,CI/CD管道是跨階段的�。
首先,將代碼部署到本地筆記本電腦上,然后是測試服務(wù)器����、集成環(huán)境,最后部署到生產(chǎn)環(huán)境�。因此,CI/CD管道的純粹性質(zhì)需要跨階段訪問�����。同樣����,如果一個(gè)工具必須在所有階段部署和更改VM,則區(qū)域之間的防火墻不應(yīng)完全拆除�,而只能選擇性地為該工具開放。
訓(xùn)練人工智能模型和網(wǎng)絡(luò)分區(qū)
人工智能提出了將生產(chǎn)數(shù)據(jù)與開發(fā)活動(dòng)分開的想法��。訓(xùn)練人工智能模型意味著運(yùn)行算法��,從數(shù)千個(gè)變量和數(shù)百萬個(gè)數(shù)據(jù)集中檢測依賴關(guān)系����,這是不可能手工檢測的�。
此培訓(xùn)需要實(shí)際數(shù)據(jù),盡管它可能不需要所有敏感數(shù)據(jù),例如客戶姓名����、地址和社會(huì)安全號碼。模型訓(xùn)練的類似開發(fā)任務(wù)必須在生產(chǎn)數(shù)據(jù)上運(yùn)行���,因此必須在生產(chǎn)區(qū)域中運(yùn)行�。但是����,一個(gè)獨(dú)立的人工智能和分析生產(chǎn)(子)區(qū)域是有意義的。人工智能通常意味著想要保持安全的大量數(shù)據(jù)�����,并將其與正常工作流程分開�。
人工智能與自動(dòng)化平臺工程與舞臺概念
IT自動(dòng)化組件和人工智能訓(xùn)練環(huán)境不同于正常應(yīng)用工作負(fù)載。兩者都需要適應(yīng)傳統(tǒng)的分區(qū)概念���,以實(shí)現(xiàn)跨階段的連接����。然而�����,區(qū)分生產(chǎn)實(shí)例和它們的工程是至關(guān)重要的。
人工智能平臺的工程和自動(dòng)化工具的監(jiān)控遵循企業(yè)通常的工程方法��。工程師首先在開發(fā)區(qū)工作���,然后再將更改推廣到測試預(yù)生產(chǎn)和生產(chǎn)環(huán)境��。在沒有特殊要求的情況下���,經(jīng)典規(guī)則適用于工程:僅連接到當(dāng)前階段,不提供用于開發(fā)和早期測試的生產(chǎn)數(shù)據(jù)�����。
總而言之�,盡管IT自動(dòng)化相關(guān)工具和人工智能模型的訓(xùn)練有少數(shù)例外,但傳統(tǒng)的分區(qū)和分段概念在20年代仍然存在�。區(qū)域和階段的世界并沒有變得模糊,它變得越來越豐富多彩和復(fù)雜�。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議�,請謹(jǐn)慎對待�����。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)����。
京公網(wǎng)安備 11010502041587號