如今，各國(guó)政府從未面(miàn)對(duì)過(guò)如此多的網絡安全威脅。從黑客行動主義者到有組織犯罪同，網絡攻擊者都(dōu)在不分晝夜地進(jìn)行攻擊，以損害各國(guó)政府的技術、基礎設施和民衆。恐怖主義組織正在積極尋求利用軟件漏洞，最近美國(guó)國(guó)家安全局關于ISIS和BlueKeep漏洞的調查就(jiù)證明了這(zhè)一點，後(hòu)者針對(duì)的是傳統的基于Windows的系統。甚至是業餘黑客通過(guò)開(kāi)發(fā)的工具包將(jiāng)各種(zhǒng)數據洩露到公共領域，從而構成(chéng)了越來越大的威脅。

毫不奇怪，網絡安全是首席信息官最關心的問題。調研機構Gartner公司預計，全球從2017年用于網絡安全的費用900億美元將(jiāng)增至2022年的1萬億美元。與此同時(shí)，美國(guó)經(jīng)濟顧問委員會(huì)的報告稱，惡意攻擊對(duì)全球經(jīng)濟造成(chéng)的損失可能(néng)高達每年1090億美元，而IBM公司估計，每次攻擊造成(chéng)的平均損失爲386萬美元。

由于存在如此多的風險，沒(méi)有哪一個政府組織能(néng)夠承受基礎設施的脆弱性。然而，在預算和資源緊張的背景下，打擊網絡威脅是政府機構工作人員面(miàn)臨的一個嚴峻挑戰。

數據中心的複雜性增加了網絡安全的挑戰

政府機構面(miàn)臨的管理挑戰之一是，數據中心環境在過(guò)去十年中變得越來越複雜。工作負載在本地、公共雲和私有雲中以及邊緣計算運行。這(zhè)種(zhǒng)多樣(yàng)性帶來了更大的安全風險。

可以理解，許多首席信息官都(dōu)在關注將(jiāng)關鍵工作負載放在何處，并希望跨環境實現端到端的安全性。但現實情況是，數據中心堆棧的每一層都(dōu)存在安全風險。黑客們已經(jīng)意識到了這(zhè)一點，并且已經(jīng)瞄準了應用層，現在正在進(jìn)一步升級對(duì)管理程序、引導驅動程序、固件甚至硬件的攻擊。

雖然政府機構一直緻力于降低個人計算機的安全風險，但他們開(kāi)始意識到需要將(jiāng)注意力轉移到基礎設施上。傳統的數據中心保護措施（如檢測和隔離軟件）或周邊控制（如防火牆）已經(jīng)不夠用了。而當發(fā)現問題時(shí)，很可能(néng)已經(jīng)造成(chéng)了損壞。

健全的安全性始于基礎設施的根源

爲了保護空閑、傳輸和使用中的數據，IT管理員必須從處理器基礎開(kāi)始，全面(miàn)了解組織的風險并建立控制。安全性必須在開(kāi)始時(shí)設計到數據中心架構中，而不是通過(guò)随機産品進(jìn)行臨時(shí)解決。

在應用程序層發(fā)生的數據中心攻擊很容易識别，但真正的威脅更嚴重，攻擊更難檢測和補救。這(zhè)是因爲傳統的檢測解決方案不太擅長(cháng)識别惡意軟件滲透到硬件組件的基礎上，而且有些組件會(huì)使堆棧暴露在額外的漏洞中。例如，管理程序的設計就(jiù)是爲了優化虛拟機内存空間和内核。然而，這(zhè)種(zhǒng)資源共享打開(kāi)了管理程序和堆棧，以增加攻擊風險。

建立信任鏈

信任鏈是從第一個引導過(guò)程建立強化安全性的關鍵，它始于可信平台模塊。TPM存儲在機器的芯片中而不是軟件中，存儲專門與設備本身相關的加密密鑰。建立信任根意味著(zhe)應對(duì)堆棧中的每個層（引導、虛拟化、庫、服務和應用程序）進(jìn)行檢查，從而證明堆棧的每一層的有效性。

到目前爲止，由于性能(néng)、複雜性和成(chéng)本因素，以這(zhè)種(zhǒng)方式保護基礎設施和應用程序堆棧并不容易實現。然而，現在存在這(zhè)樣(yàng)的技術和信念。