如今，各國政府從未面對過如此多的網(wǎng)絡(luò)安全威脅。從黑客行動主義者到有組織犯罪同，網(wǎng)絡(luò)攻擊者都在不分晝夜地進(jìn)行攻擊，以損害各國政府的技術(shù)、基礎(chǔ)設(shè)施和民眾。恐怖主義組織正在積極尋求利用軟件漏洞，最近美國國家安全局關(guān)于ISIS和BlueKeep漏洞的調(diào)查就證明了這一點，后者針對的是傳統(tǒng)的基于Windows的系統(tǒng)。甚至是業(yè)余黑客通過開發(fā)的工具包將各種數(shù)據(jù)泄露到公共領(lǐng)域，從而構(gòu)成了越來越大的威脅。

　　毫不奇怪，網(wǎng)絡(luò)安全是首席信息官最關(guān)心的問題。調(diào)研機(jī)構(gòu)Gartner公司預(yù)計，全球從2017年用于網(wǎng)絡(luò)安全的費用900億美元將增至2022年的1萬億美元。與此同時，美國經(jīng)濟(jì)顧問委員會的報告稱，惡意攻擊對全球經(jīng)濟(jì)造成的損失可能高達(dá)每年1090億美元，而IBM公司估計，每次攻擊造成的平均損失為386萬美元。

　　由于存在如此多的風(fēng)險，沒有哪一個政府組織能夠承受基礎(chǔ)設(shè)施的脆弱性。然而，在預(yù)算和資源緊張的背景下，打擊網(wǎng)絡(luò)威脅是政府機(jī)構(gòu)工作人員面臨的一個嚴(yán)峻挑戰(zhàn)。

　　數(shù)據(jù)中心的復(fù)雜性增加了網(wǎng)絡(luò)安全的挑戰(zhàn)

　　政府機(jī)構(gòu)面臨的管理挑戰(zhàn)之一是，數(shù)據(jù)中心環(huán)境在過去十年中變得越來越復(fù)雜。工作負(fù)載在本地、公共云和私有云中以及邊緣計算運行。這種多樣性帶來了更大的安全風(fēng)險。

　　可以理解，許多首席信息官都在關(guān)注將關(guān)鍵工作負(fù)載放在何處，并希望跨環(huán)境實現(xiàn)端到端的安全性。但現(xiàn)實情況是，數(shù)據(jù)中心堆棧的每一層都存在安全風(fēng)險。黑客們已經(jīng)意識到了這一點，并且已經(jīng)瞄準(zhǔn)了應(yīng)用層，現(xiàn)在正在進(jìn)一步升級對管理程序、引導(dǎo)驅(qū)動程序、固件甚至硬件的攻擊。

　　雖然政府機(jī)構(gòu)一直致力于降低個人計算機(jī)的安全風(fēng)險，但他們開始意識到需要將注意力轉(zhuǎn)移到基礎(chǔ)設(shè)施上。傳統(tǒng)的數(shù)據(jù)中心保護(hù)措施(如檢測和隔離軟件)或周邊控制(如防火墻)已經(jīng)不夠用了。而當(dāng)發(fā)現(xiàn)問題時，很可能已經(jīng)造成了損壞。

數(shù)據(jù)中心

　　健全的安全性始于基礎(chǔ)設(shè)施的根源

　　為了保護(hù)空閑、傳輸和使用中的數(shù)據(jù)，IT管理員必須從處理器基礎(chǔ)開始，全面了解組織的風(fēng)險并建立控制。安全性必須在開始時設(shè)計到數(shù)據(jù)中心架構(gòu)中，而不是通過隨機(jī)產(chǎn)品進(jìn)行臨時解決。

　　在應(yīng)用程序?qū)影l(fā)生的數(shù)據(jù)中心攻擊很容易識別，但真正的威脅更嚴(yán)重，攻擊更難檢測和補(bǔ)救。這是因為傳統(tǒng)的檢測解決方案不太擅長識別惡意軟件滲透到硬件組件的基礎(chǔ)上，而且有些組件會使堆棧暴露在額外的漏洞中。例如，管理程序的設(shè)計就是為了優(yōu)化虛擬機(jī)內(nèi)存空間和內(nèi)核。然而，這種資源共享打開了管理程序和堆棧，以增加攻擊風(fēng)險。

　　建立信任鏈

　　信任鏈?zhǔn)菑牡谝粋€引導(dǎo)過程建立強(qiáng)化安全性的關(guān)鍵，它始于可信平臺模塊。TPM存儲在機(jī)器的芯片中而不是軟件中，存儲專門與設(shè)備本身相關(guān)的加密密鑰。建立信任根意味著應(yīng)對堆棧中的每個層(引導(dǎo)、虛擬化、庫、服務(wù)和應(yīng)用程序)進(jìn)行檢查，從而證明堆棧的每一層的有效性。

　　到目前為止，由于性能、復(fù)雜性和成本因素，以這種方式保護(hù)基礎(chǔ)設(shè)施和應(yīng)用程序堆棧并不容易實現(xiàn)。然而，現(xiàn)在存在這樣的技術(shù)和信念。