在網路世界中,有愈來愈多的商業夥伴,需要透過網路彼此相互連結,並且交換商務資料,因此資訊安全的控管就顯得更加重要。
對B2B業者來說,過去的資料交換介面相當單純,因為不會有太多的設備和應用程式需要聯結溝通,但如今隨著資訊科技的發展,許多重要的應用程式、伺服器和資料庫都需要彼此連結,雖然採用DMZ的佈署方式仍然存在,但卻需要更多有關身分驗證等的安全控制措施。
最近,隨著雲端服務的熱潮,為了控管雲端安全,許多資安技術像是反惡意程式、script分析、url過濾、IPS和web應用層防火牆等,都是許多組織考慮採用的產品,但是針對Web 2.0 App動態產生內容和透過雲端分享的新方法,傳統的資安控制措施不見得是那麼地有效。
針對B2B的資安架構,在CSO Online由Forrester Research分析師Usman Sindhu所發表的一篇文章,針對組織基本的存取控制策略,提到了以下4個層面的安全防護建議:
1. 應用程式存取控制 - 當應用程式和服務存在雲端之上,身分驗證與存取的授權就顯得十分重要,因此透過識別與存取管理(IAM),能夠去定義身分角色、責任和應用程式存取層級,以控管對關鍵資源的存取。
2. 資料存取控制 - 作者將資料存取控制定義為分享給相關團體時應有的授權過程和資料保護,認為相關技術的採用是因為組織想要對資料進行分類、提取、加密、發現,以及控制誰可存取資料,所以除了技術之外,也需要制定一項政策以針對網路不同存取點來實施權限管理。
3. 網路存取控制 - B2B的互動需要仰賴入侵偵測、入侵防禦系統,以及資安事件管理來消除可能的威脅,所以組織整體的存取控制將可用來啟動B2B環境,針對不同的網路層面和交換介面應有的安全措施。
4. 實體存取控制 - 識別證與監視器已成為許多組織基礎的安控措施,而為了達到實體的安全控管,也有組織採用GPS、RFID、感應器、智慧卡等技術,以連結到使用者進行身分識別,因此基於身分識別的控管方法,將成為實體存取控制的新領域。
以上是B2B基礎安全架構的4個層面,作者認為B2B並沒有一項容易實施的資安解決方案,而是需要多種的技術,在不同層面上進行整合的控管,所以組織需要自行去定義需使用的安全技術,以發展出適合的存取控制安全架構。
參考資料:The 4 tiers of a secure B2B framework
2010年6月23日 星期三
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言