不論其為雲端或持續攀升到應用堆疊上層的威脅,亦或整體app解構至API與微服務,事實是這些破壞(disruption)產生了一個向外的漣波效應。此一效應動搖了資料中心的建構基礎,並且在資料中心架構內產生不可預期的改變。

現在,這些改變隨著無疆界商務(borderless business)的興起而更形激烈。無疆界商務仰賴應用程式,其中很多部署在SaaS和IaaS,而有些則仍在資料中心。

改變的原因是因為無疆界商務無法有效的藉由以往那種以一個防火牆作為商務策略控制點的傳統架構方法確保安全。

那種方法不再適用,因為我們要確保安全的「周邊」不再是資料中心。現在的周邊是應用程式。以IP為基礎的傳統防火牆無法發揮效用的原因不只是因為它們對應用程式的了解有限,而且也因為受限於其繫鏈(tether)的本質。傳統IP防火牆對於資料中心而言仍屬必要,但在雲端等高度變化的網路環境則效率不彰,因為其要保護的應用程式定址空間通常會快速改變。容器(container)的使用也增加了網路應用存取控制的多變問題,原因在於它們有著非常短暫的生命壽期。以分鐘(而非日、星期、月等單位)計算的生命週期,對傳統IP防火牆產生難以置信的壓力。

另一方面,以身分識別為基礎(identity-based)的應用存取控制是以使用者和應用進行比對,而非IP位址,提供一種較好的方法可以根據脈絡(而非組態)控制應用存取。這意謂著與其局限於IP位址,我們還可以根據用戶端、地點、裝置、時間、網路速度和應用程式來評估使用者的存取請求。這提供一種比較好的方法可以決定誰應該(或不應該)存取某一應用程式。而且那也比較容易提供應用服務,不論它們部署在什麼地方。以身分識別為基礎的存取控制服務可以和應用程式一併從資料中心延伸到雲端,因為其控制是奠基於對用戶端和應用程式的了解,並且即時施行相關政策而不論攜載請求與回應的網路為何。

以身分識別為基礎的存取控制也意謂著在不同的環境建立同位(parity)控制。傳統的IP防火牆應用存取控制方法意謂著要在資料中心使用一種系統並且在雲端使用另一系統,而相同的身分識別存取控制服務則可以部署在這二種環境,亦即一致的政策管控,維護更好的企業政策遵循,並減少管理與稽核方面的營運負荷。預期此種同位控制在混合(多重雲端)環境的需求將持續攀升。F5的2016應用交付狀態報告顯示,近一半(48%)受訪者表示採納雲端的一項重要安全條件就是要建立其與on-premises之間的政策與稽核同位控制。

再者,因為竊盜或密碼遭輕易破解所造成的安全事件,突顯從基本密碼認證轉移到更智慧型存取控制的必要性。PWC最近的一項全球安全調查顯示91%受訪者採用「進階的認證」,包括認證憑證(token)和雙因子(two-factor)認證。他們表示進階認證方法有著顯著的優點,其效益非僅只是提升客戶信心,同時也強化企業信心。

情境感知(context-based)存取控制提供了類似的方法,根據多重「因子」評估使用者請求。雙因子認證可以藉由這類方案建置,不過企業也可以開發一些仰賴情境線索(contextual clues)的認證方法,實現更流暢的應用經驗。在物聯網時代,物件(things)成為用戶端,因此或許需要訴諸更自動化的多因子認證政策,因為大多數物件並沒有自己的行動電話,而行動電話所有者也不希望被頻繁的要求和物件進行同步化。

不論您決定採用何種認證與存取控制,幾乎可以確定的是那將不會是單獨的仰賴IP防火牆。因為IP防火牆的前提是假設存在一個定義完善的企業疆界。以今天的雲端環境、行動通訊和生命週期短暫的應用基礎設施而言,那個疆界已不存在。