分布式计算时代保护数据中心的八...
分布式计算时代保护数据中心的八个步骤
2021-02-23
分布式计算时代保护数据中心的八个步骤
当今的动态计算环境需要更灵活、适应性更强的安全解决方案;这篇文章将在这方面给你一些建议:

当前的信息安全跟不上企业的业务和IT发展速度,这已经不是什么秘密了。然而,尽管数据中心为适应应用的快速变化和跨私有云和公共云的部署而增加的动态,但数据中心的安全解决方案仍然相对稳定,防火墙或其他网络瓶颈设备等外围支持设备一旦离开数据中心,很容易受到攻击。

此外,安全策略受网络参数(如IP地址、端口、子网和区域)的约束。因此,安全管理变得高度手动且容易出错,缺乏可见性和灵活性,无法随着云的迁移或应用程序和环境的变化进行相应调整。因此,我们建议企业考虑采取以下策略,使自己的安全管理更好地适应快速变化的计算环境的要求:

1.估计工作负载的变化、增加和迁移

在许多企业中,部署新应用程序、更改现有应用程序或将应用程序迁移到云需要安全团队付出巨大努力。因为很多系统——从防火墙和VLAN配置到云安全系统——都必须修改。企业需要围绕应用程序工作负载(包括其性质、环境和关系)构建安全管理和相关设置,而不是围绕底层基础架构。这种自适应安全策略可以根据应用程序的变化,如新工作负载启动(作为自动扩展操作的一部分)、应用程序迁移和环境变化,自动及时地调整安全策略。

2.检查应用程序的交互

企业通常缺乏公共云环境中数据中心和应用程序工作负载之间东西向流量的可见性。他们需要基于由单个工作负载组成的应用程序之间的流量,获得多层应用程序的图形视图。该应用程序的拓扑视图可以提供南北和东西交互、灵活的工作负载全景,并连接来自外部实体的未授权请求。更好的是,如果应用程序拓扑图是交互式的,安全团队可以深入到特定工作负载的细节以及工作和其他工作负载之间关系的细节。这有助于安全团队根据应用程序需求设计准确且信息充分的安全策略。

3.必须假设被攻击是不可避免的

很多时候,企业在投入强大的外部防御后,觉得可以坐以待毙,放松一下,假设这些防御背后的工作量是安全的。但过去很长一段时间,黑客攻击导致的数据泄露,大多是黑客入侵某企业某服务器造成的。然后这些黑客就可以进入企业数据中心,然后入侵其他易受攻击的系统,最后窃取企业的敏感数据。企业还需要在自己的数据中心采取相应的安全管理措施,以便在允许正常通信路径的同时,锁定工作负载之间的交互,防止未授权的连接请求。

网络攻击很少是由单个服务器或终端造成的。即使单个工作负载受损,数据中心的安全策略也应防止攻击横向扩散并影响其他系统。这种攻击面的减少也有助于系统的恢复,因为单个工作负载将与整个IT环境完全隔离。

4.面向未来的应用程序部署

企业安全团队经常担心对部署在云中的网络缺乏控制。大多数数据中心的安全策略依赖于网络,这意味着私有数据中心的应用程序的安全性通常与云中的应用程序非常不同。这导致不同的安全策略,需要测试和维护。企业必须在私有数据中心和公共云中选择一致的安全策略。毕竟,应用程序的预期行为和安全要求不会随着其运行位置的变化而变化。

5.选择独立于基础架构的安全技术

专门为特定计算环境设计的安全措施没有考虑到当前计算环境的动态性,在当前计算环境中,虚拟服务器可以根据需要在任何地方启动,应用程序可以根据需要进行部署或更改。因此,开发一套能够感知环境并保护应用程序工作负载而不依赖底层网络或计算环境的安全策略非常重要。另外,由于数据中心内混合了裸机服务器、虚拟服务器甚至包括Linuxcontainers在内的容器,安全措施可以为未知的计算环境提供一致的安全策略,易于部署和维护,不易出错。

6.消除内部防火墙和流量分流的使用

安全性取决于通过检查点或外围设备联系安全策略将流量转移到IP地址、端口、子网、VLAN或安全区域。这导致每当应用程序发生变化或静态安全模型中开始新的工作负载时,都需要手动更改安全规则,这导致防火墙规则暴露,并增加了人为错误的机会。

可以使用工作负载的上下文感知来动态地分离安全措施。安全性适应底层网络参数,并允许在不影响安全策略的情况下进行更改。在环境感知系统中,可以通过使用自然语言语法而不是IP地址来指定安全策略。此外,对单个工作负载实施策略的横向能力为管理员提供了更好的控制。

7.易于使用和按需加密数据,以保护分布式和异构应用程序之间的交互

在分布式计算环境中,应用程序的工作负载需要跨公共和私有网络进行通信,因此需要对数据进行加密。IPSec连接可用于加密应用程序工作负载之间的通信。然而,尽管IPSec在节点之间提供了永久的和独立于应用程序的加密连接,但很难建立和维护。自适应安全解决方案可以提供IPsec驱动的策略,而无需额外的软件或硬件。这使安全管理员能够根据需要在运行的应用程序工作负载之间设置数据加密。

8.制定战略,将安全措施与R&D和企业运营实践相结合

DevOps业务实践和IT运营的灵活性和敏捷性的结合,可以加速企业相关应用的推出和变革。不幸的是,静态安全架构阻碍了企业连续应用交付的潜在优势。自适应安全架构可以提供自动化业务流程工具的集成,并将安全策略的更改作为连续交付流程的一部分。这使企业的安全团队和DevOps团队能够从工作负载开始应用时就建立相应的安全性,并在工作负载退役之前保持所有工作负载的安全。

您企业的安全管理策略应该反映当前基础架构和应用程序的分布和动态。借鉴这些步骤,设计符合您企业的适应性安全管理方法,可以改善您的安全状况,有助于使安全政策的设计成为您企业业务发展的动力。

展开