現(xiàn)在的信息安全根本無(wú)法跟上業(yè)務(wù)和IT的發(fā)展速度，這已經(jīng)不是什么秘密。數(shù)據(jù)中心變得越來(lái)越動(dòng)態(tài)，以適應(yīng)快速的應(yīng)用程序變化以及跨私有云和公共云的各種部署，而由于防火墻或其他阻塞點(diǎn)設(shè)備等外圍設(shè)備，安全仍然是相對(duì)靜態(tài)的，這讓數(shù)據(jù)中心內(nèi)部的數(shù)據(jù)容易受到攻擊。另外，安全政策被綁定到IP地址、端口、子網(wǎng)和區(qū)域等網(wǎng)絡(luò)參數(shù)。因此，安全是高度手動(dòng)的，容易出錯(cuò)，并且缺乏可視性，無(wú)法靈活應(yīng)對(duì)云遷移或應(yīng)用程序和環(huán)境等變化。企業(yè)應(yīng)該考慮以下措施來(lái)讓其安全更能適應(yīng)快速變化的計(jì)算環(huán)境的需求：

1.預(yù)見(jiàn)工作負(fù)載的變化、增加和移動(dòng)

在很多企業(yè)，部署新的應(yīng)用程序、改變現(xiàn)有的應(yīng)用程序或遷移應(yīng)用程序到云計(jì)算需要安全團(tuán)隊(duì)付出很大的努力，因?yàn)檫@需要修改很多系統(tǒng)，從防火墻和VLAN配置到云安全系統(tǒng)。企業(yè)需要圍繞應(yīng)用程序工作負(fù)載(其屬性、環(huán)境和關(guān)系)來(lái)構(gòu)建安全性，而不是圍繞底層基礎(chǔ)設(shè)施。這種自適應(yīng)安全策略可以基于應(yīng)用程序變化(例如啟用新的工作負(fù)載、應(yīng)用程序遷移或環(huán)境變化)自動(dòng)配置政策。

2.審核應(yīng)用程序的交互

企業(yè)對(duì)數(shù)據(jù)中心和公共云環(huán)境的應(yīng)用程序工作負(fù)載之間的東西流量普遍缺乏可視性。他們需要對(duì)多層應(yīng)用程序的圖形視圖，了解工作負(fù)載之間的流量情況。這種應(yīng)用程序拓?fù)湓噲D可以提供完整的視圖，包括南北和東西交互、未經(jīng)授權(quán)外部實(shí)體的連接請(qǐng)求。更好的是，如果應(yīng)用程序拓?fù)鋱D是交互式的，安全團(tuán)隊(duì)可以詳細(xì)了解特定工作負(fù)載的具體情況及其與其他工作負(fù)載的關(guān)系。這可以幫助安全團(tuán)隊(duì)基于應(yīng)用程序需求設(shè)計(jì)準(zhǔn)確的安全政策。

3.假設(shè)攻擊是不可避免的

很多時(shí)候企業(yè)采購(gòu)并部署強(qiáng)大的外圍防御，然后認(rèn)為其網(wǎng)絡(luò)外圍內(nèi)工作負(fù)載是安全的。然而，在大多數(shù)數(shù)據(jù)泄露事故中，攻擊者都攻入外圍并入侵服務(wù)器，并將數(shù)據(jù)輸出到其他易受攻擊系統(tǒng)，最終帶走敏感數(shù)據(jù)。企業(yè)需要確保其數(shù)據(jù)中心內(nèi)的安全性，可以鎖定工作負(fù)載之間的交互到批準(zhǔn)的通信路徑，防止未經(jīng)授權(quán)連接請(qǐng)求。

網(wǎng)絡(luò)攻擊很少是因?yàn)橐慌_(tái)服務(wù)器或端點(diǎn)受到攻擊。即使攻擊者攻擊了單個(gè)工作負(fù)載，數(shù)據(jù)中心安全策略仍可以防止攻擊橫向擴(kuò)展到其他系統(tǒng)。這種攻擊面的減少也有助于系統(tǒng)的恢復(fù)，因?yàn)閱蝹€(gè)工作負(fù)載完全隔離于大環(huán)境。

4.讓你的應(yīng)用程序部署面向未來(lái)

安全團(tuán)隊(duì)經(jīng)常擔(dān)心缺乏對(duì)云部署中網(wǎng)絡(luò)的控制。大多數(shù)數(shù)據(jù)中心安全戰(zhàn)略都是依賴于網(wǎng)絡(luò)，這意味著私有數(shù)據(jù)中心內(nèi)應(yīng)用程序的安全性非常不同于云計(jì)算中應(yīng)用程序的安全。也就是說(shuō)，企業(yè)需要對(duì)安全策略進(jìn)行測(cè)試和維護(hù)。企業(yè)必須選擇可用跨私有數(shù)據(jù)中心和公共云保持一致的安全戰(zhàn)略。畢竟，預(yù)期的應(yīng)用程序行為及其安全需求并不會(huì)因?yàn)槠溥\(yùn)行的位置而改變。

5.選擇獨(dú)立于基礎(chǔ)設(shè)施的安全技術(shù)

設(shè)計(jì)用于特定計(jì)算環(huán)境的安全并不適用于現(xiàn)在動(dòng)態(tài)的計(jì)算環(huán)境，在現(xiàn)在的環(huán)境中，我們可以按需在任何地方啟用虛擬服務(wù)器，并且應(yīng)用程序也可以按意愿部署和更改。重要的是制定背景感知的安全策略(+微信關(guān)注網(wǎng)絡(luò)世界)，可以保護(hù)應(yīng)用程序工作負(fù)載，而不需要依賴于底層網(wǎng)絡(luò)或計(jì)算環(huán)境。此外，由于數(shù)據(jù)中心的異構(gòu)性質(zhì)(包含裸機(jī)服務(wù)器、虛擬服務(wù)器甚至Linux容器)，獨(dú)立于計(jì)算環(huán)境的安全戰(zhàn)略更加易于部署、易于維護(hù)，且不容易出錯(cuò)。

6.消除對(duì)內(nèi)部防火墻和流量導(dǎo)向的使用

對(duì)于通過(guò)阻塞點(diǎn)或外圍設(shè)備依賴于流量導(dǎo)向的安全，安全政策會(huì)綁定到IP地址、端口、子網(wǎng)、VLAN或安全區(qū)域。這會(huì)產(chǎn)生靜態(tài)的安全模式，需要在每次應(yīng)用程序變更或推出新的工作負(fù)載時(shí)對(duì)安全規(guī)則進(jìn)行手動(dòng)更改，這會(huì)導(dǎo)致防火墻規(guī)則爆炸，并增加人為錯(cuò)誤的機(jī)會(huì)。

企業(yè)應(yīng)該利用工作負(fù)載的動(dòng)態(tài)性質(zhì)，將安全從底層網(wǎng)絡(luò)參數(shù)中解耦出來(lái)，當(dāng)變化發(fā)生時(shí)不會(huì)影響安全策略。在背景感知的系統(tǒng)中，安全政策可以使用自然語(yǔ)言語(yǔ)法(而不是IP地址)來(lái)明確。此外，在工作負(fù)載水平執(zhí)行政策的能力可以提供對(duì)管理員更細(xì)粒度的控制。

7.使用簡(jiǎn)單的按需動(dòng)態(tài)數(shù)據(jù)加密來(lái)保護(hù)分布式異構(gòu)應(yīng)用程序之間的交互

在分布式計(jì)算環(huán)境(即應(yīng)用程序工作負(fù)載需要跨公共和私有網(wǎng)絡(luò)進(jìn)行通信)中，動(dòng)態(tài)數(shù)據(jù)加密是必要的。IPsec連接性可以用來(lái)加密應(yīng)用程序工作負(fù)載之間的通信。

但是，雖然IPsec在節(jié)點(diǎn)之間提供永久的、與應(yīng)用無(wú)關(guān)的加密連接，但它也很難建立和維護(hù)。自適應(yīng)安全解決方案可以提供政策驅(qū)動(dòng)的IPsec，而不需要額外的軟件或硬件。這允許安全管理員在任何地方運(yùn)行的應(yīng)用工作負(fù)載之間設(shè)置按需動(dòng)態(tài)數(shù)據(jù)加密。

8.制定戰(zhàn)略來(lái)整合安全與開(kāi)發(fā)運(yùn)營(yíng)實(shí)踐

開(kāi)發(fā)運(yùn)營(yíng)做法結(jié)合了靈活的開(kāi)發(fā)做法與IT運(yùn)營(yíng)來(lái)加速應(yīng)用程序的推出和變更。然而，靜態(tài)安全架構(gòu)阻止了企業(yè)利用連續(xù)應(yīng)用交付的潛在優(yōu)勢(shì)。自適應(yīng)安全架構(gòu)可以整合自動(dòng)化和編排工具來(lái)推出安全變更作為連續(xù)交付過(guò)程的一部分。這可以讓安全和開(kāi)發(fā)運(yùn)營(yíng)團(tuán)隊(duì)在最開(kāi)始就將安全構(gòu)建到應(yīng)用程序，一直保持到應(yīng)用程序的終止使用。

你的安全策略應(yīng)該反映現(xiàn)在的基礎(chǔ)設(shè)施和應(yīng)用程序的動(dòng)態(tài)和分布式性質(zhì)。這些步驟可以幫助你設(shè)計(jì)出自適應(yīng)的做法，來(lái)提高你的安全狀態(tài)。

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬(wàn)的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話：0371-60135995
服務(wù)熱線：0371-60135900