唯边界网络防御，无法抵御今日威胁。
 

　　涉及网络安全，内部与外部之间已不存在界限，可防御的边界这种概念已经过时。

　　边界地位曾经尊崇如王：保住边界，你的资产就守住了。建立防火墙，用深度包检测(DPI)加固之，设置入侵预防和检测系统，然后你就可放松了。虽然边界安全依然需要，层次化的防御也是应对新攻击方法的必须。

　　世界上最坚固的边界，已经被云服务、内部人威胁和BYOD这种模糊了业务与个人生活的方式所渗透。边界提供的安全感，等同于对不再适应需求的防御系统那危险的过度自信;就好像依赖护城河来防御空袭一样。

　　了解自身阿喀琉斯之踵

　　今日的互联世界，漏洞是多维度的，意味着你的防御系统也必须是多维度的。对某一领域的过度投资，会导致其他方面的投入不足。

　　各种云服务让边界难以定义，更别说保护它的安全了。如果数据被存储在云端，你真的知道边界在哪儿吗?你的托管提供商到底把数据放在哪里呢?他们对数据设置了什么安全控制措施呢?

　　然后，内部人员威胁问题，无论是无意内部人还是恶意内部人。从定义上，此类威胁就已经突破了边界，所以边界强度也就无关紧要了。内部人可以访问公司网络：即便只是低级权限或来宾权限，他们都已身处公司网络之中。

　　BYOD，无论是偷偷带进来的还是本来就有此策略，都往工作场所里引入了大量的潜在渗入者。带进公司并随意连接公司数据的个人设备，为攻击者提供了便利的渗入渗出路径。

　　配置边界设备，比如防火墙、VPN和访问控制列表(ACL)，可能确实是挫败某些攻击所需，但不应只关注这些领域。

　　谁都不信任

　　按需知密，是最古老最基本的安全原则。网络空间里，人们需要类似的原则，来将网络访问权限制在完成工作所需的最小权限。

　　通过对所有尝试访问网络或网络资源的终端要求身份验证，并在使用后关闭会话以防止非授权访问，最少权限原则(POLP)可提升企业内部安全性。

　　在选择VPN提供商和云托管商之类的服务时，尽职调查是十分关键的。你会想要尽一切可能确保在边界外托管的数据是受到保护的，无论是在传输中还是静静存储其上时。

　　对员工进行背景核查，是另一个有价值的防御措施——当敌人很可能已经潜入的时候。

　　5个问题考验防御系统的强度

　　围着企业竖起一道坚固的围墙或许不太可能，但你可以拷问已有防御系统的强度：

　　评估用于云服务的策略以确保尽可能安全;

　　弄清自身数据的确切物理存储地和所应用的安全控制措施;

　　定义企业内数据访问等级，以及对特定数据类型的访问级别;

　　评估对BYOD的态度，确保雇员都接受过网络安全培训;

　　确保理解企业内使用了哪些影子IT服务。

(责任编辑：宋编辑)