今天的動(dòng)態(tài)計算環(huán)境需要更靈活的和適應性強的安全解決方案;本文中將為您在這方面提供一些建議:
當前的信息安全已無(wú)法跟上企業(yè)的業(yè)務(wù)和IT發(fā)展速度早已不是什么秘密了。而盡管數據中心動(dòng)態(tài)性的日益增加,以便適應應用程序的快速變化,以及跨私有和公共云的部署,數據中心的安全解決方案卻依然相對穩定,其外圍的配套設備如防火墻或其他網(wǎng)絡(luò )瓶頸設備,一旦離開(kāi)數據中心內部就很容易受到攻擊。
此外,安全政策被諸如IP地址,端口,子網(wǎng)和區域等網(wǎng)絡(luò )參數所綁定。這樣就導致安全管理成為了高度手動(dòng)且容易出錯,缺乏能見(jiàn)度,以及能夠隨著(zhù)云的遷移或應用程序和環(huán)境的變化而進(jìn)行相應調整的靈活性。故我們建議,企業(yè)應該考慮采取以下策略使自己的安全管理能更好的適應快速變化的計算環(huán)境的要求:
1、預估工作負載的變化,增加,和遷移
在許多企業(yè),部署新的應用程序,改變現有的應用程序,或將應用程序遷移到云,需要其安全團隊花費相當大的努力。因為很多系統——包括從防火墻、VLAN的配置到云安全系統——都必須修改。企業(yè)需要圍繞應用程序的工作負載(包括其性質(zhì),環(huán)境和關(guān)系)建立安全管理和相關(guān)設置,而不是圍繞底層的基礎設施。這種自適應的安全策略能自動(dòng)及時(shí)的根據應用程序的變化,包括諸如新的工作負載啟動(dòng)(作為自動(dòng)縮放操作的一部分),應用遷移和環(huán)境的變化而調整安全策略。
2、審核您的應用程序的交互
企業(yè)對于其數據中心和公共云環(huán)境的應用程序工作負載之間東西走向的流量普遍缺乏可視性。他們需要對基于個(gè)別工作負載所構成的應用程序之間的流量的多層應用程序有一個(gè)圖形視圖。這種應用程序的拓撲視圖可以提供南北走向和東西走向的互動(dòng),靈活的工作負載全貌,并連接來(lái)自外部實(shí)體的未經(jīng)授權的請求。更好的情況是,如果應用拓撲圖是交互式的,安全團隊可以深入到具體的工作負載的細節,以及該工作負責與其他工作負載關(guān)系的細節。這可以幫助安全團隊基于應用程序需求設計一種準確的、且消息靈通的安全策略。
3、必須假定受到攻擊是不可避免的
很多時(shí)候,企業(yè)在投資了強大的外圍防御之后,就覺(jué)得自己可以高枕無(wú)憂(yōu)的假定這些防御背后的工作負載是安全的了。然而,在過(guò)去相當長(cháng)一段時(shí)期,大多數黑客攻擊所導致的數據泄露,均是由于黑客入侵了企業(yè)內部的某一臺服務(wù)器而造成的。然后這些黑客就得以能夠長(cháng)驅直入的進(jìn)入企業(yè)數據中心,進(jìn)而侵入到其他易受攻擊的系統里面,終于竊取到企業(yè)的敏感數據。企業(yè)在其自己的數據中心也需要相應的安全管理措施,以便能夠鎖定工作負載之間的相互作用,在允許正常通信路徑的同時(shí),防止未經(jīng)授權的連接請求。
網(wǎng)絡(luò )攻擊很少是由于某一臺單一的服務(wù)器或單一終端所造成的。即使某個(gè)單一工作負載受到損害,數據中心的安全戰略應防止攻擊的橫向擴散,影響其它的系統。在這樣的攻擊面的減少也有助于系統的恢復,因為單個(gè)工作負載會(huì )從整個(gè)IT大環(huán)境完全隔離。
4、面向未來(lái)的應用程序的部署
企業(yè)的安全團隊往往擔心缺乏對于在云中部署的網(wǎng)絡(luò )的控制。大多數數據中心的安全策略對于網(wǎng)絡(luò )存在依賴(lài),這意味著(zhù)在私有數據中心的應用程序的安全較之在云中的應用程序的安全往往是非常不同的。這導致了不同的安全策略,需要進(jìn)行測試和維護。企業(yè)必須在私有數據中心和公共云選擇一致的安全策略。畢竟,應用程序預期的行為和安全需求不會(huì )隨著(zhù)其運行地方的變化而發(fā)生改變。
5、選擇獨立于基礎設施的安全技術(shù)
被設計專(zhuān)門(mén)用于特定的計算環(huán)境下的安全措施沒(méi)有考慮當前的計算環(huán)境的動(dòng)態(tài)性,其中的虛擬服務(wù)器可以按需在任何地方啟動(dòng),應用程序亦可以根據需求隨意部署或改變。因此,開(kāi)發(fā)出一套可以根據環(huán)境感知的,得以保護應用程序的工作負載,而不依賴(lài)于底層網(wǎng)絡(luò )或計算環(huán)境的安全政策是非常重要的。此外,由于數據中心混合運行著(zhù)裸機服務(wù)器,虛擬服務(wù)器,甚至是包括Linux containers容器,安全措施可以為不可知的計算環(huán)境提供一致的安全策略,易于部署,易于維護,而且不容易出錯。
6、杜絕使用內部防火墻和流量轉向
安全性依賴(lài)于流量通過(guò)關(guān)卡或周邊設備聯(lián)系安全政策到IP地址,端口,子網(wǎng),VLAN,或安全區域的轉向。這導致在靜態(tài)安全模型中,每當某個(gè)應用程序發(fā)生變化或新的工作負載啟動(dòng)時(shí),均需要進(jìn)行手動(dòng)更改安全規則,從而也就導致了防火墻規則的暴露,增加了人為錯誤的機會(huì )。
安全措施可以使用工作負載的環(huán)境感知動(dòng)態(tài)解耦安全從底層網(wǎng)絡(luò )參數適應,并允許發(fā)生變化,而不會(huì )影響安全策略。在一個(gè)環(huán)境感知系統,安全策略可以通過(guò)使用自然語(yǔ)言的語(yǔ)法,而不是IP地址來(lái)指定。此外,在個(gè)別工作負載執行政策的水平能力為管理員提供了更精細的控制。
7、使用簡(jiǎn)單,按需數據加密,以保護分布式、異構的應用程序之間的互動(dòng)
在分布式計算環(huán)境中,應用程序的工作負載需要跨公共和私人網(wǎng)絡(luò )進(jìn)行通信,因此,加密數據是必要的.iPSec連接可用于應用程序工作負載之間的通信加密。但是,盡管IPSec提供節點(diǎn)之間永久性的,與應用無(wú)關(guān)的加密連接,其也很難建立和維護。自適應的安全解決方案,可以提供IPsec驅動(dòng)的策略,而無(wú)需額外的軟件或硬件。這使得安全管理員能夠在運行的應用程序工作負載之間按需設置數據的加密。
8、開(kāi)發(fā)策略,以便讓安全措施與企業(yè)的研發(fā)運營(yíng)實(shí)踐整合
企業(yè)的DevOps業(yè)務(wù)實(shí)踐的靈活敏捷性與IT運營(yíng)相結合,能夠加快企業(yè)相關(guān)應用程序的推出和變化的步伐。不幸的是,靜態(tài)的安全架構妨礙了企業(yè)連續應用程序交付的潛在優(yōu)勢。自適應的安全架構則能夠提供自動(dòng)化的業(yè)務(wù)流程工具的集成,并將安全政策的更改作為連續交付過(guò)程的一部分。這使得企業(yè)的安全團隊和DevOps團隊能夠從工作負載開(kāi)始申請時(shí)就建立其相應的安全,并保持所有工作負載的安全直至該工作負載退役。
您企業(yè)的安全管理策略應該反映當前的基礎設施和應用程序的分布特性和動(dòng)態(tài)性。參考并借鑒上述這些步驟以設計符合您企業(yè)的自適應的安全管理方法,可以提高你的安全狀況,并有助于讓安全政策的設計成為您企業(yè)業(yè)務(wù)發(fā)展的推動(dòng)力量。
本文作者Chandra Sekar是Illumio公司的產(chǎn)品營(yíng)銷(xiāo)高級總監,Illumio公司是Illumio自適應安全平臺制造商.illumio ASP采用實(shí)時(shí)遙測工作負載,為每款在數據中心或在公共云中運行的工作負載編程制定安全策略,并在有任何變化發(fā)生時(shí)重新計算這些安全政策。
