今天的動(dòng)態(tài)計(jì)算環(huán)境需要更靈活的和適應(yīng)性強(qiáng)的安全解決方案;本文中將為您在這方面提供一些建議:
當(dāng)前的信息安全已無法跟上企業(yè)的業(yè)務(wù)和IT發(fā)展速度早已不是什么秘密了。而盡管數(shù)據(jù)中心動(dòng)態(tài)性的日益增加,以便適應(yīng)應(yīng)用程序的快速變化,以及跨私有和公共云的部署,數(shù)據(jù)中心的安全解決方案卻依然相對(duì)穩(wěn)定,其外圍的配套設(shè)備如防火墻或其他網(wǎng)絡(luò)瓶頸設(shè)備,一旦離開數(shù)據(jù)中心內(nèi)部就很容易受到攻擊。
此外,安全政策被諸如IP地址,端口,子網(wǎng)和區(qū)域等網(wǎng)絡(luò)參數(shù)所綁定。這樣就導(dǎo)致安全管理成為了高度手動(dòng)且容易出錯(cuò),缺乏能見度,以及能夠隨著云的遷移或應(yīng)用程序和環(huán)境的變化而進(jìn)行相應(yīng)調(diào)整的靈活性。故我們建議,企業(yè)應(yīng)該考慮采取以下策略使自己的安全管理能更好的適應(yīng)快速變化的計(jì)算環(huán)境的要求:
1、預(yù)估工作負(fù)載的變化,增加,和遷移
在許多企業(yè),部署新的應(yīng)用程序,改變現(xiàn)有的應(yīng)用程序,或?qū)?yīng)用程序遷移到云,需要其安全團(tuán)隊(duì)花費(fèi)相當(dāng)大的努力。因?yàn)楹芏嘞到y(tǒng)——包括從防火墻、VLAN的配置到云安全系統(tǒng)——都必須修改。企業(yè)需要圍繞應(yīng)用程序的工作負(fù)載(包括其性質(zhì),環(huán)境和關(guān)系)建立安全管理和相關(guān)設(shè)置,而不是圍繞底層的基礎(chǔ)設(shè)施。這種自適應(yīng)的安全策略能自動(dòng)及時(shí)的根據(jù)應(yīng)用程序的變化,包括諸如新的工作負(fù)載啟動(dòng)(作為自動(dòng)縮放操作的一部分),應(yīng)用遷移和環(huán)境的變化而調(diào)整安全策略。
2、審核您的應(yīng)用程序的交互
企業(yè)對(duì)于其數(shù)據(jù)中心和公共云環(huán)境的應(yīng)用程序工作負(fù)載之間東西走向的流量普遍缺乏可視性。他們需要對(duì)基于個(gè)別工作負(fù)載所構(gòu)成的應(yīng)用程序之間的流量的多層應(yīng)用程序有一個(gè)圖形視圖。這種應(yīng)用程序的拓?fù)湟晥D可以提供南北走向和東西走向的互動(dòng),靈活的工作負(fù)載全貌,并連接來自外部實(shí)體的未經(jīng)授權(quán)的請(qǐng)求。更好的情況是,如果應(yīng)用拓?fù)鋱D是交互式的,安全團(tuán)隊(duì)可以深入到具體的工作負(fù)載的細(xì)節(jié),以及該工作負(fù)責(zé)與其他工作負(fù)載關(guān)系的細(xì)節(jié)。這可以幫助安全團(tuán)隊(duì)基于應(yīng)用程序需求設(shè)計(jì)一種準(zhǔn)確的、且消息靈通的安全策略。
3、必須假定受到攻擊是不可避免的
很多時(shí)候,企業(yè)在投資了強(qiáng)大的外圍防御之后,就覺得自己可以高枕無憂的假定這些防御背后的工作負(fù)載是安全的了。然而,在過去相當(dāng)長(zhǎng)一段時(shí)期,大多數(shù)黑客攻擊所導(dǎo)致的數(shù)據(jù)泄露,均是由于黑客入侵了企業(yè)內(nèi)部的某一臺(tái)服務(wù)器而造成的。然后這些黑客就得以能夠長(zhǎng)驅(qū)直入的進(jìn)入企業(yè)數(shù)據(jù)中心,進(jìn)而侵入到其他易受攻擊的系統(tǒng)里面,終于竊取到企業(yè)的敏感數(shù)據(jù)。企業(yè)在其自己的數(shù)據(jù)中心也需要相應(yīng)的安全管理措施,以便能夠鎖定工作負(fù)載之間的相互作用,在允許正常通信路徑的同時(shí),防止未經(jīng)授權(quán)的連接請(qǐng)求。
網(wǎng)絡(luò)攻擊很少是由于某一臺(tái)單一的服務(wù)器或單一終端所造成的。即使某個(gè)單一工作負(fù)載受到損害,數(shù)據(jù)中心的安全戰(zhàn)略應(yīng)防止攻擊的橫向擴(kuò)散,影響其它的系統(tǒng)。在這樣的攻擊面的減少也有助于系統(tǒng)的恢復(fù),因?yàn)閱蝹(gè)工作負(fù)載會(huì)從整個(gè)IT大環(huán)境完全隔離。
4、面向未來的應(yīng)用程序的部署
企業(yè)的安全團(tuán)隊(duì)往往擔(dān)心缺乏對(duì)于在云中部署的網(wǎng)絡(luò)的控制。大多數(shù)數(shù)據(jù)中心的安全策略對(duì)于網(wǎng)絡(luò)存在依賴,這意味著在私有數(shù)據(jù)中心的應(yīng)用程序的安全較之在云中的應(yīng)用程序的安全往往是非常不同的。這導(dǎo)致了不同的安全策略,需要進(jìn)行測(cè)試和維護(hù)。企業(yè)必須在私有數(shù)據(jù)中心和公共云選擇一致的安全策略。畢竟,應(yīng)用程序預(yù)期的行為和安全需求不會(huì)隨著其運(yùn)行地方的變化而發(fā)生改變。
5、選擇獨(dú)立于基礎(chǔ)設(shè)施的安全技術(shù)
被設(shè)計(jì)專門用于特定的計(jì)算環(huán)境下的安全措施沒有考慮當(dāng)前的計(jì)算環(huán)境的動(dòng)態(tài)性,其中的虛擬服務(wù)器可以按需在任何地方啟動(dòng),應(yīng)用程序亦可以根據(jù)需求隨意部署或改變。因此,開發(fā)出一套可以根據(jù)環(huán)境感知的,得以保護(hù)應(yīng)用程序的工作負(fù)載,而不依賴于底層網(wǎng)絡(luò)或計(jì)算環(huán)境的安全政策是非常重要的。此外,由于數(shù)據(jù)中心混合運(yùn)行著裸機(jī)服務(wù)器,虛擬服務(wù)器,甚至是包括Linux containers容器,安全措施可以為不可知的計(jì)算環(huán)境提供一致的安全策略,易于部署,易于維護(hù),而且不容易出錯(cuò)。
6、杜絕使用內(nèi)部防火墻和流量轉(zhuǎn)向
安全性依賴于流量通過關(guān)卡或周邊設(shè)備聯(lián)系安全政策到IP地址,端口,子網(wǎng),VLAN,或安全區(qū)域的轉(zhuǎn)向。這導(dǎo)致在靜態(tài)安全模型中,每當(dāng)某個(gè)應(yīng)用程序發(fā)生變化或新的工作負(fù)載啟動(dòng)時(shí),均需要進(jìn)行手動(dòng)更改安全規(guī)則,從而也就導(dǎo)致了防火墻規(guī)則的暴露,增加了人為錯(cuò)誤的機(jī)會(huì)。
安全措施可以使用工作負(fù)載的環(huán)境感知?jiǎng)討B(tài)解耦安全從底層網(wǎng)絡(luò)參數(shù)適應(yīng),并允許發(fā)生變化,而不會(huì)影響安全策略。在一個(gè)環(huán)境感知系統(tǒng),安全策略可以通過使用自然語(yǔ)言的語(yǔ)法,而不是IP地址來指定。此外,在個(gè)別工作負(fù)載執(zhí)行政策的水平能力為管理員提供了更精細(xì)的控制。
7、使用簡(jiǎn)單,按需數(shù)據(jù)加密,以保護(hù)分布式、異構(gòu)的應(yīng)用程序之間的互動(dòng)
在分布式計(jì)算環(huán)境中,應(yīng)用程序的工作負(fù)載需要跨公共和私人網(wǎng)絡(luò)進(jìn)行通信,因此,加密數(shù)據(jù)是必要的.iPSec連接可用于應(yīng)用程序工作負(fù)載之間的通信加密。但是,盡管IPSec提供節(jié)點(diǎn)之間永久性的,與應(yīng)用無關(guān)的加密連接,其也很難建立和維護(hù)。自適應(yīng)的安全解決方案,可以提供IPsec驅(qū)動(dòng)的策略,而無需額外的軟件或硬件。這使得安全管理員能夠在運(yùn)行的應(yīng)用程序工作負(fù)載之間按需設(shè)置數(shù)據(jù)的加密。
8、開發(fā)策略,以便讓安全措施與企業(yè)的研發(fā)運(yùn)營(yíng)實(shí)踐整合
企業(yè)的DevOps業(yè)務(wù)實(shí)踐的靈活敏捷性與IT運(yùn)營(yíng)相結(jié)合,能夠加快企業(yè)相關(guān)應(yīng)用程序的推出和變化的步伐。不幸的是,靜態(tài)的安全架構(gòu)妨礙了企業(yè)連續(xù)應(yīng)用程序交付的潛在優(yōu)勢(shì)。自適應(yīng)的安全架構(gòu)則能夠提供自動(dòng)化的業(yè)務(wù)流程工具的集成,并將安全政策的更改作為連續(xù)交付過程的一部分。這使得企業(yè)的安全團(tuán)隊(duì)和DevOps團(tuán)隊(duì)能夠從工作負(fù)載開始申請(qǐng)時(shí)就建立其相應(yīng)的安全,并保持所有工作負(fù)載的安全直至該工作負(fù)載退役。
您企業(yè)的安全管理策略應(yīng)該反映當(dāng)前的基礎(chǔ)設(shè)施和應(yīng)用程序的分布特性和動(dòng)態(tài)性。參考并借鑒上述這些步驟以設(shè)計(jì)符合您企業(yè)的自適應(yīng)的安全管理方法,可以提高你的安全狀況,并有助于讓安全政策的設(shè)計(jì)成為您企業(yè)業(yè)務(wù)發(fā)展的推動(dòng)力量。
本文作者Chandra Sekar是Illumio公司的產(chǎn)品營(yíng)銷高級(jí)總監(jiān),Illumio公司是Illumio自適應(yīng)安全平臺(tái)制造商.illumio ASP采用實(shí)時(shí)遙測(cè)工作負(fù)載,為每款在數(shù)據(jù)中心或在公共云中運(yùn)行的工作負(fù)載編程制定安全策略,并在有任何變化發(fā)生時(shí)重新計(jì)算這些安全政策。