現在的信息安全根本無(wú)法跟上業(yè)務(wù)和IT的發(fā)展速度,這已經(jīng)不是什么秘密。數據中心變得越來(lái)越動(dòng)態(tài),以適應快速的應用程序變化以及跨私有云和公共云的各種部署,而由于防火墻或其他阻塞點(diǎn)設備等外圍設備,安全仍然是相對靜態(tài)的,這讓數據中心內部的數據容易受到攻擊。
另外,安全政策被綁定到IP地址、端口、子網(wǎng)和區域等網(wǎng)絡(luò )參數。因此,安全是高度手動(dòng)的,容易出錯,并且缺乏可視性,無(wú)法靈活應對云遷移或應用程序和環(huán)境等變化。企業(yè)應該考慮以下措施來(lái)讓其安全更能適應快速變化的計算環(huán)境的需求:
1.預見(jiàn)工作負載的變化、增加和移動(dòng)
在很多企業(yè),部署新的應用程序、改變現有的應用程序或遷移應用程序到云計算[注]需要安全團隊付出很大的努力,因為這需要修改很多系統,從防火墻和VLAN配置到云安全系統。企業(yè)需要圍繞應用程序工作負載(其屬性、環(huán)境和關(guān)系)來(lái)構建安全性,而不是圍繞底層基礎設施。這種自適應安全策略可以基于應用程序變化(例如啟用新的工作負載、應用程序遷移或環(huán)境變化)自動(dòng)配置政策。
2.審核應用程序的交互
企業(yè)對數據中心和公共云環(huán)境的應用程序工作負載之間的東西流量普遍缺乏可視性。他們需要對多層應用程序的圖形視圖,了解工作負載之間的流量情況。這種應用程序拓撲試圖可以提供完整的視圖,包括南北和東西交互、未經(jīng)授權外部實(shí)體的連接請求。更好的是,如果應用程序拓撲圖是交互式的,安全團隊可以詳細了解特定工作負載的具體情況及其與其他工作負載的關(guān)系。這可以幫助安全團隊基于應用程序需求設計準確的安全政策。
3.假設攻擊是不可避免的
很多時(shí)候企業(yè)采購并部署強大的外圍防御,然后認為其網(wǎng)絡(luò )外圍內工作負載是安全的。然而,在大多數數據泄露事故中,攻擊者都攻入外圍并入侵服務(wù)器,并將數據輸出到其他易受攻擊系統,最終帶走敏感數據。企業(yè)需要確保其數據中心內的安全性,可以鎖定工作負載之間的交互到批準的通信路徑,防止未經(jīng)授權連接請求。
網(wǎng)絡(luò )攻擊很少是因為一臺服務(wù)器或端點(diǎn)受到攻擊。即使攻擊者攻擊了單個(gè)工作負載,數據中心安全策略仍可以防止攻擊橫向擴展到其他系統。這種攻擊面的減少也有助于系統的恢復,因為單個(gè)工作負載完全隔離于大環(huán)境。
4.讓你的應用程序部署面向未來(lái)
安全團隊經(jīng)常擔心缺乏對云部署中網(wǎng)絡(luò )的控制。大多數數據中心安全戰略都是依賴(lài)于網(wǎng)絡(luò ),這意味著(zhù)私有數據中心內應用程序的安全性非常不同于云計算中應用程序的安全。也就是說(shuō),企業(yè)需要對安全策略進(jìn)行測試和維護。企業(yè)必須選擇可用跨私有數據中心和公共云保持一致的安全戰略。畢竟,預期的應用程序行為及其安全需求并不會(huì )因為其運行的位置而改變。
5.選擇獨立于基礎設施的安全技術(shù)
設計用于特定計算環(huán)境的安全并不適用于現在動(dòng)態(tài)的計算環(huán)境,在現在的環(huán)境中,我們可以按需在任何地方啟用虛擬服務(wù)器,并且應用程序也可以按意愿部署和更改。重要的是制定背景感知的安全策略,可以保護應用程序工作負載,而不需要依賴(lài)于底層網(wǎng)絡(luò )或計算環(huán)境。此外,由于數據中心的異構性質(zhì)(包含裸機服務(wù)器、虛擬服務(wù)器甚至Linux容器),獨立于計算環(huán)境的安全戰略更加易于部署、易于維護,且不容易出錯。
6.消除對內部防火墻和流量導向的使用
對于通過(guò)阻塞點(diǎn)或外圍設備依賴(lài)于流量導向的安全,安全政策會(huì )綁定到IP地址、端口、子網(wǎng)、VLAN或安全區域。這會(huì )產(chǎn)生靜態(tài)的安全模式,需要在每次應用程序變更或推出新的工作負載時(shí)對安全規則進(jìn)行手動(dòng)更改,這會(huì )導致防火墻規則爆炸,并增加人為錯誤的機會(huì )。
企業(yè)應該利用工作負載的動(dòng)態(tài)性質(zhì),將安全從底層網(wǎng)絡(luò )參數中解耦出來(lái),當變化發(fā)生時(shí)不會(huì )影響安全策略。在背景感知的系統中,安全政策可以使用自然語(yǔ)言語(yǔ)法(而不是IP地址)來(lái)明確。此外,在工作負載水平執行政策的能力可以提供對管理員更細粒度的控制。
7.使用簡(jiǎn)單的按需動(dòng)態(tài)數據加密來(lái)保護分布式異構應用程序之間的交互
在分布式計算環(huán)境(即應用程序工作負載需要跨公共和私有網(wǎng)絡(luò )進(jìn)行通信)中,動(dòng)態(tài)數據加密是必要的。IPsec連接性可以用來(lái)加密應用程序工作負載之間的通信。
但是,雖然IPsec在節點(diǎn)之間提供永久的、與應用無(wú)關(guān)的加密連接,但它也很難建立和維護。自適應安全解決方案可以提供政策驅動(dòng)的IPsec,而不需要額外的軟件或硬件。這允許安全管理員在任何地方運行的應用工作負載之間設置按需動(dòng)態(tài)數據加密。
8.制定戰略來(lái)整合安全與開(kāi)發(fā)運營(yíng)實(shí)踐
開(kāi)發(fā)運營(yíng)做法結合了靈活的開(kāi)發(fā)做法與IT運營(yíng)來(lái)加速應用程序的推出和變更。然而,靜態(tài)安全架構阻止了企業(yè)利用連續應用交付的潛在優(yōu)勢。自適應安全架構可以整合自動(dòng)化和編排工具來(lái)推出安全變更作為連續交付過(guò)程的一部分。這可以讓安全和開(kāi)發(fā)運營(yíng)團隊在最開(kāi)始就將安全構建到應用程序,一直保持到應用程序的終止使用。
你的安全策略應該反映現在的基礎設施和應用程序的動(dòng)態(tài)和分布式性質(zhì)。這些步驟可以幫助你設計出自適應的做法,來(lái)提高你的安全狀態(tài)。
