该公司正在彻底重新思考网络安全

很少有事情比大数据泄露更严重地损害公司的声誉和利润。例如，雅虎遭受了历史上最大的黑客事件，该公司从未真正恢复过来。

通常，当黑客设法访问公司的内部网络及其服务器时，就会发生这些数据泄露。这使他们几乎可以自由地控制公司的 IT 系统，但可能会造成巨大的损害。

然而，位于佛罗里达州郊外科勒尔盖布尔斯的 Cyxetra 认为，它的新产品应用门技术可能会让网络级数据泄露成为过去。我们采访了 Cyxetra 软件定义边界安全首席技术官 Kurt Glazemakers（如图），以了解更多信息。

本质上有缺陷

互联网本质上是一个大型计算机网络。正如 Glazemakers 解释的那样，从美国军事防御合同和美国大学开始，互联网及其核心通信协议 TCP/IP 的创建并没有考虑到安全性：

“TCP/IP 协议的发明从来没有考虑到安全性，因此从设计的角度来看，网络没有任何安全内容，这是……必须稍后通过在网络上添加网络设备和工具来添加的内容。最重要的是，实际上安全网络概念并不存在。”

这种内在安全性的缺乏给互联网带来了一种自由感，尽管它起源于军事，但也带来了一种无政府主义感。当然，这不利于良好的业务，但对日常用户来说也是一个真实存在的危险。我们信任拥有大量个人数据的公司——想象一下，如果谷歌遭遇大规模数据泄露——这些数据需要得到保护。

AppGate——它是如何工作的

因此，Cyxetra 创建了 AppGate，这是一种称为软件定义边界 (SD) 的新型安全性。

“当我们创建 AppGate 时，”Glazemakers 说，“SDP 这个术语还没有被发明。” 这种新型安全性彻底颠覆了连接网络的传统方法：

“你总是先连接，然后再进行身份验证……我想说，我们试图通过 SDP 进行的改变是真正扭转这种情况。” 目前，“他们[用户]从自己的凭据开始，所以你[公司]添加了第二个因素。”

然而，AppGate：

“真正扭转局面并说‘嘿，第二个因素，让我们先这样做并使用您的设备，您想要连接到任何网络并对其进行端口连接，然后说嘿，由于第二个因素，该设备属于该用户，正确的？我无法使用其他设备，或者我需要执行加载程序，所以这是首先要更改的事情。其次，如果您对设备使用该身份验证，您可以拥有凭据，但它们必须与您连接的设备相匹配。一旦您完成了这些工作（并且您尚未建立连接），我们就可以在您的用户设备周围的上下文中创建一个身份，一旦我们有了这个身份，我们将查看您的应用程序在哪里，并构建一个单独的身份该设备的边界......这意味着每个用户和设备上下文都会生成完全不同的网络视图。”

简而言之，这意味着 AppGate 为每个用户创建独特的网络视图。如果用户没有正确的上下文来访问网络的一部分，他们根本看不到它。例如，想象一下，您进入一间办公室，扫描通行证后，进入电梯前往您所在的楼层。但是，您不能访问每个楼层，而只能看到您事先有权访问的楼层。

这使得 AppGate 成为一个完全动态的安全系统，它不是将一揽子规则应用于整个网络，而是根据设备运行的上下文向不同的人应用不同的规则。正如 Glazemakers 解释的那样，这些规则甚至可以在以逐票为基础。

AppGate 的实际应用

目前，公司通过为不同的用户配置文件分配不同的权限以及为公司本地网络内外的设备分配不同的权限来保护其网络。这依赖于 VPN 和记忆的字母数字字符串密码——这两者都不是完全安全的。

事实上，根据 Glazemakers 的说法，黑客进入公司网络的“主要入口点”之一是通过窃取的 VPN 凭据。 AppGate 通过将用户限制在“更小、完全隔离的微网络”和“将网络连接到多个位置（可以是云、我自己的网络或第三方数据中心）”而不是连接多个不同的位置来消除这种风险。网络的位置。

那么，真的有人在使用这项技术吗？ Glazemakers 无法讨论 Cyxetra 的所有客户，但表示挪威邮轮公司一直在使用 AppGate 彻底改造其订票服务：

“他们主要将它用于......自由职业者，因为他们使用很多可以在家工作的自由职业者，连接到 AppGate，然后使用软件电话帮助他们在呼叫中心订票......
“所以在这里，你首先要确保[网络]的语音质量和性能完全没问题，因为如果不是，你显然无法订票。其次，您要确保它以安全的方式完成，这样没有其他人可以从您的设备劫持电话或订票……因此 [使用 AppGate] 您可以使用完全位于网络之外的设备，甚至没有网络管理访问，它不受公司控制，但它仍然安全，并且使用 SDP 不会产生[负面]影响。

那么，为什么没有更多的企业使用 AppGate 和 SDP 技术呢？釉料制造商将其归咎于市场意识。由于它仍然是一项新技术，公司需要一段时间才能了解和了解它可能为其 IT 基础设施带来的好处。