虽然经济环境尚未完全好转,但是企业却不能呆在原地观望不前。它们必须扩张自己的业务,寻找新的增长机会,在现有的优势市场之外开拓新的地盘。
而在这种业务转型的过程中,IT技术将会发挥关键性的作用,Gartner的副总裁Mark McDonald说。“假如企业想要改变自己的运营方式,包括在其他国家经营业务,假如企业想要让自己的产品打入邻近的行业市场,那么企业就需要IT技术来获得规模和连接性,以便进入这些市场,以有效地方式与新的客户打交道。”
在此,我们确定了IT技术可以帮助企业重塑业务、装备员工的六大关键领域,这些技术将会让企业和员工的工作更高效。
数据中心网络扁平化
专业人士和厂商都表示,现在是让数据中心网络扁平化的时候了。随着虚拟化和虚拟机围绕基础设施移动的速度加快,网络也必须加快速度。
加快网络速度的最佳途径是取消交换机(一个交换机层),同时提高端口的速度。
简单地把服务器与交换机之间以及交换机与交换机之间的速度提高到10G,不足以优化数据中心网络的性能,使之满足移动虚拟机的需求。缩短延迟时间(通过三层网络架构向二层网络架构过渡,再向一层网络架构过渡)和取消生成树(Spanning Tree)也是关键的因素。
10G以太网交换机有较高的无阻塞吞吐量,允许用户把服务器机架和架顶式交换机直接连接到核心网络,从而不再需要汇聚层。再有,服务器虚拟化由于切断了应用和操作系统与物理硬件的直接联系,从而可以把更多的应用负荷加载到较少的服务器上。
用较少的服务器硬件承担更多的应用负荷需要更高性能的网络。一种更高性能的网络是用一个能够利用交换机之间的多个有效链路的新技术取代以太网中的生成树协议。这类技术(如IETF正在研究的TRILL)旨在克服生成树协议在规模和拓扑重聚方面的局限性。
多链接半透明互联(TRILL)旨在成为具有链路状态路由增强功能的二层协议,支持最短路径多跳路由,从而使用户能够建立大规模以太网和光纤通道以太网数据中心网络。TRILL旨在克服与生成树协议相联系的缓慢的拓扑重聚时间。缓慢的拓扑重聚时间会限制规模且更容易出现链路故障。
厂商也在提出自己的类似TRILL的使数据中心网络扁平化的方法。思科的FabricPath是TRILL的一个“预标准扩展集”。它包括TRILL,但是扩展了它的功能。瞻博网络称,它的虚拟机箱技术可以实现TRILL的同样目标,主要是消除数据中心网络的交换层并且让服务器之间的“东西”通信比“南北”更顺畅。虚拟机箱技术把多台瞻博网络交换机相互连接起来组成一台支持数百个千兆以太网端口的交换机。
Brocade的One架构采用TRILL,而Avaya的VENA采用IEEE应对TRILL的方案802.1AQ最短路径桥接。阿尔卡特-朗讯计划今年为其新的OmniSwitch 10000设备增加TRILL式的多机箱/虚拟机箱连接。
纽约证券交易所正在使其瞻博网络10G网络扁平化,以降低延迟并且取消市场馈送流量处理层。
纽约证券交易所的东家NYSE Euronext的高级副总裁兼全球沟通负责人Andy Bach表示,它基本上取消了一跳,因此减少了10至20毫秒的延迟。
Bach称,从服务器机架交换机到核心的多个10G链路取消了汇聚层。纽约证券交易所还将开始在实验室测试两个瞻博网络数据中心架构(DCF)的能力,进一步使这个网络扁平化和激活更多链路。
当问到Bach提到的DCF 1.6和2.0是不是瞻博网络的Stratus架构的时候,他没有发表评论。
Bach在谈到多有效连接实施的时候说,它是虚拟机箱和相互连接的方法。那是我们的发展方向。在我们进入2012年的时候,我们会实现这个目标。生成树协议早就远去了。
扁平化数据中心网络的另一个推动因素是向把存储协议融合到以太网的统一交换架构的迁移。这也需要一个适合两层法的延迟极低的无损架构。
行业专家称,存储流量不能容忍通过包含汇聚层的三层架构时增加的交换跳跃的缓存和延迟。除了10G、TRILL和最短路径桥接之外,使网络更顺畅的标准还有IEEE的数据中心桥接/融合增强以太网(DCB)和ANSI T11的光纤通道以太网(FCoE)。DCB定义一个用于无损传输的以太网结构,FCoE规定局域网/存储区域网融合。
网络扁平化方面的另一个重要标准是IEEE研究制定的“VEPA”及其相关的技术。VEPA的含义是“虚拟以太网端口汇聚”,旨在消除需要在数据中心管理的大量的交换设备。VEPA卸载了服务器中的管理程序和虚拟交换机的大量的网络处理工作,依靠网络中的物理交换机计算接入控制列表、虚拟局域网、NAC、管理媒体接入控制地址表、校正策略以及端口和虚拟机过滤器。
#p#
将企业Wi-Fi提高到更高层次
采用802.11n协议,企业Wi-Fi网络正在从方便易用的网络向关键性基础设施转变。
企业Wi-Fi网络将成为用户首选的和主要的接入方式。这就意味着IT部门必须重新考虑如何部署、保护、管理和运行无线局域网。
来自IT前线的证据表明,花钱把802.11n提供的Wi-Fi数据传输速度比802.11abg提供的速度提高3倍至5倍是很容易的。如果发生这种事情,无线局域网预计鞥个轻松处理日益增多的Wi-Fi用户,吸引对延迟非常敏感的多媒体通讯的应用,为不能满足需求的企业提供一致的、高吞吐量。
迅速发展的特点正在迫使IT专业人员重新考虑他们的无线局域网的方法。
位于诺克斯维尔的田纳西大学IT设计师Philippe Hanset半开玩笑地说,我的新的Wi-Fi设计标准是:人们可以在厕所阅读在iPhone或者iPad上的报纸。人们现在可以在以前想不到的地方观看多媒体内容。
Hanset对多媒体有一个广泛的定义。他说,我不认为多媒体就是视频。这是根据人们将在无线网络上看到的新的应用程序设计的一个无线网络。这些应用程序包括一个视频聊天应用程序(如苹果的FaceTime)、用于协作的丰富媒体Web应用程序或者企业赞助的社交网络和VoIP电话。
Aberdeen Group负责无线和移动实践的高级研究分析师Andrew Borg称,这些应用程序有独特的性能要求,如延迟和纠错。802.11n必须作为设计良好的无线局域网基础设施的一部分进行优化。
同时,Wi-Fi用户数量正在迅速增长。每个用户的Wi-Fi设备数量也在爆炸式增长。在田纳西大学,Wi-Fi设备在过去的两年里已经从3千部增长到了9千部。目前,大多数这类设备是iPod Touch和智能手机,而不是笔记本电脑。这些新的设备一般都体积较小,Wi-Fi无线电信号较弱,天线没有嵌入在笔记本电脑中的天线那样敏感。
处理这些变化需要知道你的用户现在和未来将运行什么应用程序;设计一个能够满足具体吞吐量目标以支持这些应用程序的无线局域网;创建一个超越接入点和控制器的“基础设施”,以便包括网络和用户安全、端对端的网络管理、持续的监视和一个经过培训的无线局域网响应团队和服务台。
下面是你把你的企业无线局域网提高到下一个层次需要了解的东西。
·设计容量而不是覆盖范围
采用802.11n,极少的接入点能够创建一个覆盖整个企业的Wi-Fi网络。但是,随着通信类型、应用程序和客户的发展,仅有覆盖范围是不够的。加州克莱尔蒙特斯克利普斯学院的IT经理Jeff Sessler说,在这所大学,一个802.11n接入点能够覆盖有6个教室的楼房,每个教室有大约25个学生。不过,虽然每一个人都能得到无线功能,但是,我们不能保证一个接入点或者两个无线接入点上的150多个学生都能满足基本的性能需求。
Sessler表示,为容量进行设计和制作意味着考虑一个指定区域的实际用户需求,部署足够的接入点满足你的性能预期。
这种方法中的一个关键的要素是理解接入点在预定的通讯类型和通讯量、用户数量和应用程序的情况下如何发挥性能。全面的测试将澄清用户需求、接入点能够提供什么、如何部署和在什么地方部署接入点以满足服务水平的要求。
一种做法是部署具有通讯优先等级和应用程序或用户带宽限制的Wi-Fi网络。这是不断优化无线性能的整个重点的一部分。然而,从头开始设计无线局域网以应对新兴的多媒体的挑战也许是一个更有效的长期的解决方案。
·采取不同方式处理802.11n迁移
一个802.11n网络不仅仅是一个速度更快的Wi-Fi网络。这个网络有更高的速度,但是,也有更高的预期。要满足这些预期,IT部门也许需要制定新的部署方案或者更新现有的方案。
位于西雅图的华盛顿大学的移动通讯战略主管David Morton称,我们正在以不同的方式处理我们的802.11n迁移工作。这是一个不同的架构和标准并且是一种不同的部署方法。作为这所大学向802.11n转变的一部分,IT部门更新了其Wi-Fi部署指南,规定了一些细节,包括那个接入点正在使用,预计会有什么水平的信号,接入点如何安装、布线和供电等等。
斯克利普斯学院的Sessler称,我发现802.11n无线电比802.11g在覆盖范围方面有明显的改善,能够在指定的距离始终保持较高的性能。同时,许多IT部门正在首次大规模使用5GHz Wi-Fi频段:它有不同的射频信号传播特性,需要在802.11n无线局域网中考虑这个因素。
在华盛顿大学,分阶段实施的802.11n升级工作是由项目经理监管的。Morton表示,有许多协调工作需要做。这包括找到合适的人在适当的时候参加这个项目。
·不要忘记后台
最佳设计的无线局域网可能因为后台服务过载而瘫痪。两个例子是RADIUS服务器和DHCP服务器在遇到潮水般请求的时候由于各种原因出现故障。
此外,DHCP服务器通常不知道一个Wi-Fi用户已经断开了连接,或者没有及时发布IP地址。这可能导致这个无线局域网没有可用的IP地址。
·控制无线局域网管理
据IT人员称,与有线网络的管理工具相比,无线管理工具仍然是新的。无线管理工具倾向于把重点放在具体的问题方面,倾向于把重点放在反应方面,缺少端对端的观点。
华盛顿大学的Morton称,有许多很好的Wi-Fi工具。有些工具专门解决Wi-Fi网络的设计网络或者配出故障问题。但是,目前缺少的是向我们显示网络在发生什么事情及其影响的工具。我们不了解整个网络的情况。在你查看在网络中做出一些修改的时候和在将来投资网络的时候,这些情况是非常重要的。你要能够在趋势刚刚出现的时候就抓住它,这样,你就不会手足无措。
最佳的企业知道他们的无线网络性能如何,健康状况如何。
据Aberdeen Group的研究报告称,最佳企业知道他们的无线网络性能如何以及健康状况如何。例如,他们会定期地例行性地使用RF(射频)频谱分析器,很可能使用一些工具创建网络数据的客户报告。
除了拥有广泛的必要的工具以及使用这种工具的技术和预期之外,一个关键的做法是收集和利用这些公司产生的信息。Aberdeen Group发现,一个拥有最佳性能的无线局域网的企业很可能通过一个集中的无线局域数据库实施知识共享。据Borg称,这是许多无线局域网最佳做法的一个关键的实现因素。
·准备应对客户问题
在内布拉斯加州弗里蒙特的米兰德路瑟兰学院,IT人员遇到了801.11n用户的一些顽固的问题,这些用户的信号强度会突然在非常强或者非常弱的周期内循环,导致无法连接。这些设备有802.11x客户端软件,可用于身份识别,通常使用5GHz频带。造成这个问题的确切原因一直没有找到。但是,当服务台下载了更新的驱动程序之后,这个问题解决了。
米兰德路瑟兰学院的IT主管Ken Clipperton称,根据这个经验,我们服务台的经验法则是如果一台正确配置的客户机遇到连接无线网络的问题,那么,我们就检查更新的驱动程序。
培训服务台人员有效地处理客户无线问题和让IT人员在网络方面解决这些问题对于减少线路中断和提供用户对无线服务的满意度是非常重要的。
·扩展Wi-Fi最佳做法库
Aberdeen Group的研究报告发现,拥有最佳无线局域网性能、可靠性和用户满意度的企业是那些把最佳做法汇集起来解决整个无线网络不同部分的问题的企业。这些最佳做法相互促进,改善网络可靠性和性能。
例如,高性能的无线局域网一般都拥有集中的Wi-Fi管理、无线入侵检测/防御系统、带宽优先次序和频谱分析器用于连续不断地排除故障和微调网络。每一个最佳做法都有一组相关的最佳做法:例如,IT政策和计划安排能够保证定期使用频谱分析器,而现场调查应用程序能够使用这个数据描绘波动现象并且找到故障点。同样,入侵控制系统补充定期的站点方面的安全漏洞评估、安全培训和IT人员认证以及对用户实施的熟悉安全的教育。
#p#
在企业中为iPad寻找合适位置
iPad进入企业是迟早的事情,因此IT部门最好事先为其找到最适合的使用场所。
虽然企业接受iPad的速度比接受iPhone快一些,但是,一些人士称,他们仍然在考虑如何应用iPad。
一个大问题是确定如何在企业领域最充分地利用iPad。iPad平板电脑很轻、容易使用并且深受员工的喜爱。但是,iPad真的是替代智能手机或者笔记本电脑的产品吗?这两个问题的答案到目前为止还都是否定的,至少对于大多数工人来说是如此。
波士顿美术馆的IT经理Phil Getchell称,我们还没有为每一个人配发一台ipad作为主要设备或者备用设备。我们目前有10台iPad,主要用于一些特定的项目,没有广泛应用。
ChangeWave上个月发表的一篇研究报告称,许多企业正在考虑冒险尝试使用平板电脑。在接受调查的企业IT购买者中,7%的人表示他们的公司目前使用了平板电脑。14%的受访者表示,他们的公司将在2011年第一季度购买平板电脑。iPad在企业采购计划中仍然占统治地位。但是,ChangeWave还发现人们对于戴尔和RIM的平板电脑的兴趣正在增长。RIM面向企业的PlayBook平板电脑将于第一季度出货。
波士顿美术馆将把iPad平板电脑用于两个目的。第一,他们把iPad平板电脑分配给波士顿美术馆图书馆的解说员。他们需要一种轻型的、便携式移动设备为他们迅速地提供信息以便回答参观者提出的有关这个美术馆的问题。第二,销售部门的人员使用iPad平板电脑管理这个美术馆的成员名单和销售以及其它电子商务功能。Getchell称,波士顿美术馆已经发现到目前为止管理它的iPad平板电脑非常方便,因为它限制了iPad的使用范围并且禁止员工把公司的iPad带回家。
Wells Fargo公司高级副总裁兼总经理Sharon Murphy表示,她的公司正在试验管理iPad平板电脑以了解这种产品的优点和缺点。虽然iPad到目前为止能够取代智能手机和笔记本电脑的一些关键功能,但是,iPad在近期不会取代任何一种设备。
Murphy特别指出,iPad适用于这样的数据消费者:他们需要一种可随时访问数据的简单的和可接入网络的设备。但是,对于编写庞大文件的或者实施大量数据输入的数据制作者来说,使用PC仍然是最好的方法。
Murphy解释说,我们将看到两个阵营在发展:信息消费者和信息提供者。iPad对于消费更多的信息并且没有制作同样多的信息的那些人来说肯定有一个合适的位置。
市场研究公司Forrester的分析师Christian Kane称,无论企业使用iPad做什么,任何使用iPad的企业最担心的问题就是安全。企业对于如何应用iPad采取了谨慎的方法,因为他们仍然不能确定他们需要什么安全措施。虽然iPad拥有一些本地的安全功能,如加密和远程删除,但是,企业通常必须要查看第三方应用程序以满足他们的安全需求。
分析师Kane称,一些企业希望得到一种能够跨平台工作的移动设备管理解决方案。这样,他们就能够管理Android和iPhone操作系统。平板电脑市场还很新,尽管苹果向开发人员施加压力要求得到更安全的应用程序,但是,平板电脑市场仍在发展之中。
安全厂商Safend负责产品管理的副总裁Edy Almer称,安全对于iPad和其它平板电脑来说比对智能手机更加重要,因为平板电脑能够比智能手机携带更多的企业数据。
Almer称,在iPhone上,除了电子邮件之外,你不能编辑内容。电子邮件是保密的。在平板电脑上,你可以做许多事情。假如你是一个医生,你可以使用iPad评估医疗影像的结果。这个问题是,这个核磁共振成像资料附带患者的数据,因此,在那台机器上就有保密的个人健康信息。如果这个设备丢失,就可以追溯到某个人。
Almer称,当涉及到第三方安全应用程序时,企业应该寻找这样的功能,即允许他们专门指定什么数据可以在公司的iPad上使用,什么数据不可以在iPad上使用。这将降低iPad丢失之后企业丢失敏感数据的风险,因为在删除丢失设备上的数据之前其他人会有机会看到关键的企业数据。Almer还指出,企业应该考虑仅允许企业发放的iPad进入工作场所,因为这将为这些iPad制定更多的执行什么安全政策的规定。
Almer表示,如果你把iPad作为机构的配备提供给员工,你就有权管理它和远程删除它的数据。如果它不是你拥有的设备,你就不能这样做。因此,如果你有许多人使用iPad,向他们提供机构的iPad而不允许他们使用自己的iPad是一个好主意。
Murphy赞同这个观点。她表示,企业需要投资第三方应用程序,如果他们将在自己的网络上使用iPad的话。她说,Wells Fargo有一个逐个步骤搞清楚哪一个应用程序最适合需求的方法。
Murphy称,我们必须支持一系列的第三方工具,这样,我们就能够有一套完整的设备。我把这个方法称作“作法自毙”的方法。
Murphy表示,这种补救方法是缓慢和小心翼翼的。这是Wells Fargo一直谨慎地对待扩大iPad在员工中应用的原因,也是她认为平板电脑不能很快在企业中取代更安全的笔记本电脑或者智能手机的原因。
同样,Getchell称,企业在确保覆盖自己全部的安全用户群之前应该认真考虑在整个员工队伍中部署iPad的问题。
Getchell称,他们应该担心iPad如何迅速地变得非常流行。如果iPad不足以取代笔记本电脑成为你的主要企业设备,你就不要广泛地使用它。
#p#
做好向私有云迁移的准备
在企业进入云之前必须完全掌握虚拟化,获得公司高层的支持,最好能有成功的商业案例。
云计算不容置疑的经济利益促使很多企业在考虑构建他们自己的私有云,但是企业在进入云之前必须确保企业已经准备就绪。
ING美国公司是云安全联盟的创始人之一、云技术的用户之一,该公司负责IT战略和企业架构的副总裁Alan Boehme认为,人员、公司治理、价格和技术必须协调行动才行。
此外,组织在准备接受私有云的挑战之前,还需要攀爬一段虚拟化成熟曲线,Forrester副总裁兼首席分析师James Staten说。
攀爬这段曲线是要经历4部曲,首先是要向不太情愿采纳虚拟化的业务部门推销虚拟化,然后是郑重其事地部署,再就是优化服务器池的使用率,最后是在全企业创造鼓励共享虚拟基础设施的激励措施,他说。
在第一阶段,IT部门得在自己的组织内部寻找开发人员来尝试云技术。第二阶段,IT部门需要获得批准,以便在需要时可将虚拟机迁移出物理机之外。
Staten称此阶段为英雄阶段,因为IT部门在此阶段可以有效地减少增加新资源的时间和成本。在此阶段中,需要虚拟和不需要虚拟的物理服务器之间的比例会加大,成为衡量虚拟化是否成功的一个指标。
而在第三阶段,随着企业试图最大化物理服务器资源池的使用率,上述比例会逐渐变得不重要,这一阶段的关键指标就是使用率。在此阶段中,工具和程序必须及时部署到位,务必使虚拟机的蔓延降至最低程度,确保闲置的虚拟机能够关闭,服务器资源可重复使用,Staten说。
最后一个阶段就是向各业务部门积极推广虚拟化,要让他们相信整个组织共享资源才是最好的资源配置。这一阶段最有效的手段就是要随时向用户比较新增和开通一台物理服务器(一般需要数周时间)、在数据中心开通一个新的虚拟机(一般需要一天到一周)以及在云中利用标准模板打开一个虚拟机(即刻)这三者之间巨大的时间差异。当集中的服务器仓库可以在各业务部门间共享时,可以说企业就为采纳私有云做好了准备。
对于还未能在这条虚拟化成熟曲线上攀爬到太高阶段的企业来说,也有一些更快捷的方法可以采用。Boehme说,比如IT部门的一个小组可以与云服务提供商建立一种关系,在提供商的云基础设施内为企业客户创建一个专用云。这种做法可以卸掉创建企业所有和维护的私有云的很多沉重负担。
但是要向私有云迁移,其准备过程要比只是虚拟化复杂得多,Boehme说,这其中培训是个关键。企业的IT人员必须要打破以前狭隘的以任务为中心的观念,要变成通才和多面手。比如说,代替一个存储专家,现在是一个能够采用存储技能的、由多方面人员组成的小组。“让人们摆脱专业束缚,只要有适当的管理手段,你手下的人是会很快转变过来的,”而这些人就会去激励变化,并使变化的痛苦减弱。
此外,如果企业想要雇人来实现向私有云的迁移,它们应该考虑较年轻的专业人士,因为这些人是跟着虚拟化一起成长起来的,不会被一些传统的IT服务配置思维所禁锢。
有了云架构中的虚拟化,用户便可配置自己的工作空间,并辅以治理手段确保个别人不会过度配置资源,这样一来,虚拟机的实时迁移便能平滑进行,也不会违背协作风险规则,Boehme说。
IT部门还必须为他们所提供的云服务建立财务透明制度,以便让客户能够方便地购买这些服务。客户们对于按使用计费的方式并不熟悉。在传统上,他们都是为物理服务器付费的,但是在云中,却可以按每分钟、每个核心、每个兆字节付费,Boehme说。在云中,服务的价格是变化的,取决于各种因素,例如资源部署的环境以及每天何时使用资源等。
企业一旦准备要采用私有云,还必须挑选正确的应用进行部署,美国高尔夫联合会(USGA)负责IT的执行董事Jessica Caroll说。举例来说,USGA正在规划一个可支持该组织社交媒体网站的应用,但是对于网站会有多大流量没有概念。于是他们决定利用一家公有云提供商的网络构造一个托管的私有云。如果云应用需要更多的处理能力或者存储容量,扩容也很方便很快捷。
在选择一家可在其公有云中创建私有云的提供商时,Caroll的建议是必须现场参观其服务能力——例如服务器、数据中心、发电机等——以便确保必要的服务等级。
#p#
采用下一代防火墙
下一代防火墙要求的是一种只和安全目标相关的传统防火墙完全不同的思维方式。
企业如果想从传统防火墙变换为下一代防火墙,会发生什么情况?企业必须清楚,下一代防火墙的安全思维方式和传统防火墙的安全目标已经完全不同了,它尤其需要建立应用感知控制,对员工们的上网、浏览Web内容以及上社交网站的行为进行监控。
“这里面有一个分歧需要解决,”SonicWall的产品管理副总裁Patrick Sweeney说。就传统基于端口的防火墙而言,系统管理员要讨论的是“协议语言”,这种老式的思维方式对新一代防火墙来说是不合适的。企业需要采用一种更加关注业务的语汇,一种和应用有关联的语汇,可以让CIO、CFO和CEO们更容易理解的语汇。“必须统一这几类人之间所讲的语言,”Sweeney说。
因为新一代快速、智能的防火墙是对应用感知的,所以它能让企业针对员工建立并强制执行基于身份的应用使用策略。所谓下一代防火墙(NGFW)还可以融合VPN功能,对流量执行入侵防御扫描,并且有智能可以利用一些技术进行声誉过滤,还能与Active Directory集成进行身份而和策略管理等。
这是研究公司Gartner和其他几家厂商(包括Palo Alto网络、McAfee、Check Point、Barracuda网络以及SonicWall等)给出的下一代防火墙的定义,以此来描绘他们的防火墙产品。
虽说NGFW浪潮至少已经持续了三年之久,但是Gartner也承认,其实际的使用到目前为止还是为数甚少,甚至还不到1%。至于未来,Gartner的乐观预计是到2014年,NGFW的采用率会增长到35%。
厂商们会继续研发NGFW产品及服务,NGFW“会成为企业的首选防火墙,”Gartner分析师Greg Young说。即便你的企业还没打算更新或者替换现有的防火墙,但IT经理仍然应该研究厂商的NGFW路线图,为下一次更新周期做好准备。
采用下一代防火墙的一个驱动力就是上网行为和带宽消耗会越来越多,SonicWall的Sweeney说。“所以你必须能够监控到每一个特定用户,看到他们是否在使用BitTorrent或者某个应用。”
借助NGFW,企业可根据带宽需求和优先级对应用加以控制。此外,有些NGFW产品,比如CheckPoint和SonicWall的产品还可以像防数据泄漏工具一样,基于关键词和其他规则定义限制应用的使用。
Check Point目前在其防火墙产品中通过应用控制软件刀片提供了NGFW控制,可覆盖近5000个应用和9万个社交网络器具,该公司的网络安全副总裁Oded Gonda说。Check Point的防火墙还采取了一种警告用户而不是一下子彻底禁止访问的做法,这种做法就是在用户要上Facebook的时候会插入一个“告知页面”,告诉你按照公司的政策,可能会限制共享某些与公司相关的信息。“有时候人们是不愿意被限制的,所以需要对他们进行教育和告知,”Gonda说。
Check Point的NGFW还可发挥这样一个作用,去寻找人们转向Web应用的原因。“IT部门要理解人们为何会使用谷歌文档的原因,”Gonda举例说。“有时候,这类信息是很难收集的。所以在用户首次使用谷歌文档的时候,插入一个问答页面你就能够他们使用该应用的原因。”Check Point称此功能为“用户检查”,从2011年开始启用。
从传统防火墙向NGFW转移是意义重大的。Young称,“企业必须制定转移规则和策略,”并对人员进行相应的培训。
有些企业选择逐步向NGFW过渡,串联使用传统的和下一代的防火墙。大约一半的SonicWall客户已经开始在使用带有应用感知的NGFW,Sweeney说,这些客户通常都会维持其传统防火墙的使用,同时随着时间的推移逐步加入了基于应用的控制。
根据Young的观点,从积极的方面看,向整合的多功能NGFW的转移将会降低企业的成本。
#p#
接受社交媒体
企业不能简单地把上社交网站视为员工的个人消遣行为,而完全在工作环境中禁止社交网站。
由于很有诱惑力,因此有些企业可能会禁止其员工访问社交网站和社交媒体网站,但这绝非长久之计。如今,很多行业企业的IT部门都会遭遇到来自员工的压力,要求放宽限制,能够让他们访问像Facebook、LinkedIn和YouTube等网站。
这种压力来自多个方面。销售和营销团队希望通过社交媒体吸引客户,并向客户销售产品。企业内部员工希望有更多的自由能够在工作场所访问个人的社交网络账户。人力资源部门也希望能够招聘、雇佣和留住精通社交媒体的员工,但是他们都因为企业过于严格的限制使用策略而感到不满。
“有很多企业,无论大小,都在避免使用非常严厉的禁止社交媒体的做法,而改用一种更为宽松的访问模式,”Forrester的副总裁兼首席分析师Chenxi Wang说。
这里的挑战就在于,要找出既能让企业利用社交媒体发挥自身优势,又能保证员工的生产效率,确保网络安全的平衡之道。
专家们建议从制定一个好的计划开始。虽然很多企业已经采用了可接受的使用策略,恰当地解决了e-mail和互联网的使用问题,但却很少有企业制定过既能在工作期间使用社交媒体,又能保障企业网络正常运转的相关流程。
“组织需要做的第一件事就是要扩展现有的可接受的使用策略,以便覆盖所有类型的互联网沟通方式,”M86安全公司的技术战略副总裁Bradley Anstis说。
可接受的使用策略能够解决诸如允许访问的级别等问题。举例来说,并非所有员工都需要在YouTube上发布视频,或者下载Facebook的应用。对于某些群组的员工来说,只读访问就足够了。要教育员工知悉和社交媒体相关的安全风险,并提供相关的内容共享指南,都是可接受使用策略的关键内容。
2010年初,FaceTime通信公司曾经调查过1654位IT经理和终端用户,结果出现了很大的分歧。在这份调查中,62%的IT专业人士估计在他们的网络上存在着社交网络应用,而来自已部署了FaceTime设备的实际数据显示,社交网络应用在所调查的样本中为100%。所发现的文件共享工具也有74%,而只有32%的IT专业人士估计有人在用这类工具。发现Web聊天工具也有95%,但却只有31%的IT专业人士估计有人在用。
未来,IT的挑战就在于要解决因此带来的安全风险,例如通过员工的社交媒体活动而带进来的恶意软件,或者由于员工疏忽大意导致的商业敏感信息的泄露等。
除了纯粹的Web威胁外(恶意软件、僵尸网络、网络钓鱼、有目标攻击),还有治理结构、风险和法规遵从(总称GRC)等问题需要考虑,Check Point的产品营销经理John Vecchi说。“Web 2.0给IT部门的GRC努力带来了新的挑战,尤其是在数据保护方面。Web 2.0让企业信息有了更多的泄密渠道。”
为了监管社交媒体活动,IT部门必须能够在应用层有强制用户或特定群组的策略(比较典型的做法是与企业目录集成)。能够探测并禁止基于脚本的恶意软件也是重要的,因为这样做不仅可以分析下载的内容,而且还能发布内容,确保不会有人违背数据保护策略。
以美国的杜瓦尔县学区为例,该学区就定义了好几个互联网访问级别作为其可接受使用策略的组成部分。各校的校长和管理资源的官员拥有最全面的访问权,包括对社交网站的访问权,该学区的信息安全经理Jim Cullbert说。
而访问控制在该学区的其他群组中间则更为严格。例如学区的职员可允许使用园区网之外的e-mail应用,但是教师不允许,因为该学区希望所有教师与学生及学生家长间的通信只能通过内部的邮件系统来进行。学区的内容过滤策略与其Active Directory的部署紧密相连,并通过M86安全公司的Web过滤和报表技术强制执行。
虽然采取防范社交媒体安全的额措施是重要的,但是IT部门还是需要留意员工对于像Facebook、Twitter和LinkedIn等网站的使用,可能也会像企业基础设施中的其他方面一样是无法完全控制或者无法锁定的。因为员工的行为准则和价值判断是不可能自动千篇一律的。
因此Forrester的Wang建议,“对于员工们在网上做些什么一定要有开放的心态。我会让员工意识到风险的存在,并为他们提供工具自己去评估和社交媒体相关的风险,但是我也会让他们自己作出决断。”
