2023年的網絡分區:人工智能和自動化如何改變事物

2023-06-16 18:00:33    編輯: robot
導讀 網絡分區是一種基本的預防性安全控制,可減少企業的攻擊面並阻止橫向移動。它使攻擊者的生活更具挑战性,因爲他們無法從互聯網直接訪問所有虛擬機(vm)。而且,即使他們進入了企業網絡,如果防火牆和區域限制了...

網絡分區是一種基本的預防性安全控制,可減少企業的攻擊面並阻止橫向移動。它使攻擊者的生活更具挑战性,因爲他們無法從互聯網直接訪問所有虛擬機(vm)。

而且,即使他們進入了企業網絡,如果防火牆和區域限制了內部網絡連接和流量,他們也無法從一個虛擬機快速跳轉到下一個虛擬機。然而,人工智能和IT自動化的興起挑战了一項基本的分區原則:階段。


階段如何影響網絡和網絡安全

开發區、測試區、預生產區域和生產區域,敏捷工程方法取代了老式的瀑布模型,但是階段仍然存在。一些IT部門有三個或只有兩個階段,一些談論集成測試或單元測試階段。目的是一樣的:

防止錯誤地在生產上進行實驗”,或者在沒有事先在測試安裝上進行測試的情況下故意修復生產問題。應用的運行穩定性對許多企業來說至關重要,因此不允許在生產中進行未經測試的更改。階段啓用並執行此原則。

● 限制存儲敏感數據的機器,例如,在开發和單元測試階段只允許合成或匿名數據。
● 阻礙橫向移動,尤其是從通常沒有得到完美保護的开發服務器到生產機器。

實際上,更大的網絡設計會區分內部和外部,即互聯網可達區域,並在互聯網和外部區域之間,放置Web應用防火牆和應用接口(API)管理解決方案。國家或業務單位是其他廣泛使用的分區維度。在非生產階段可能會採用相同或更簡單的分區概念。

這是傳統的設置。在過去的幾年裏,人工智能和IT自動化成爲人們關注的焦點,並帶來了變化。

IT自動化如何影響網絡分區

高可用性和快速編碼到部署周期,都需要數據中心的自動化。另外,自動化使管理員更有效率。與過去幾年的全職工作相比,如今安裝和設置軟件只需單擊一下即可完成,在過去,管理員需要處理20張軟盤。

如今的監控服務器有自動報警。如果需要手動幹預,他們會主動通知管理員。此外,CI/CD管道是標准的。然而,這些效率提升需要修改網絡分區概念。

監控和部署組件和CI/CD管道對網絡分區的影響

監控解決方案檢查VM和網絡組件的可用性,並尋找可能暗示安全事件的事件。我們可以將監控組件放置在生產區內的專用區域或完全單獨放置。顯然,如果這些應用按分區分开,則不太可能出現操作錯誤。此外,應該有選擇地打开防火牆,而不是只打开所有防火牆。

監控解決方案就是一個例子,其他解決方案屬於同一類別,例如,補丁管理或漏洞掃描。然而,雖然有可能規避此類解決方案的跨階段訪問,但根據定義,CI/CD管道是跨階段的。

首先,將代碼部署到本地筆記本電腦上,然後是測試服務器、集成環境,最後部署到生產環境。因此,CI/CD管道的純粹性質需要跨階段訪問。同樣,如果一個工具必須在所有階段部署和更改VM,則區域之間的防火牆不應完全拆除,而只能選擇性地爲該工具开放。

訓練人工智能模型和網絡分區

人工智能提出了將生產數據與开發活動分开的想法。訓練人工智能模型意味着運行算法,從數千個變量和數百萬個數據集中檢測依賴關系,這是不可能手工檢測的。

此培訓需要實際數據,盡管它可能不需要所有敏感數據,例如客戶姓名、地址和社會安全號碼。模型訓練的類似开發任務必須在生產數據上運行,因此必須在生產區域中運行。但是,一個獨立的人工智能和分析生產(子)區域是有意義的。人工智能通常意味着想要保持安全的大量數據,並將其與正常工作流程分开。


人工智能與自動化平台工程與舞台概念

IT自動化組件和人工智能訓練環境不同於正常應用工作負載。兩者都需要適應傳統的分區概念,以實現跨階段的連接。然而,區分生產實例和它們的工程是至關重要的。

人工智能平台的工程和自動化工具的監控遵循企業通常的工程方法。工程師首先在开發區工作,然後再將更改推廣到測試預生產和生產環境。在沒有特殊要求的情況下,經典規則適用於工程:僅連接到當前階段,不提供用於开發和早期測試的生產數據。

總而言之,盡管IT自動化相關工具和人工智能模型的訓練有少數例外,但傳統的分區和分段概念在20年代仍然存在。區域和階段的世界並沒有變得模糊,它變得越來越豐富多彩和復雜。

標題:2023年的網絡分區:人工智能和自動化如何改變事物

地址:https://www.utechfun.com/post/225868.html

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

猜你喜歡