今天的動態(tài)計(jì)算環(huán)境需要更靈活的和適應(yīng)性強(qiáng)的安全解決方案；本文中將為您在這方面提供一些建議：

　　當(dāng)前的信息安全已無法跟上企業(yè)的業(yè)務(wù)和IT發(fā)展速度早已不是什么秘密了。而盡管數(shù)據(jù)中心動態(tài)性的日益增加，以便適應(yīng)應(yīng)用程序的快速變化，以及跨私有和公共云的部署，數(shù)據(jù)中心的安全解決方案卻依然相對穩(wěn)定，其外圍的配套設(shè)備如防火墻或其他網(wǎng)絡(luò)瓶頸設(shè)備，一旦離開數(shù)據(jù)中心內(nèi)部就很容易受到攻擊。

　　此外，安全政策被諸如IP地址，端口，子網(wǎng)和區(qū)域等網(wǎng)絡(luò)參數(shù)所綁定。這樣就導(dǎo)致安全管理成為了高度手動且容易出錯，缺乏能見度，以及能夠隨著云的遷移或應(yīng)用程序和環(huán)境的變化而進(jìn)行相應(yīng)調(diào)整的靈活性。故我們建議，企業(yè)應(yīng)該考慮采取以下策略使自己的安全管理能更好的適應(yīng)快速變化的計(jì)算環(huán)境的要求：

　　1、預(yù)估工作負(fù)載的變化，增加，和遷移

　　在許多企業(yè)，部署新的應(yīng)用程序，改變現(xiàn)有的應(yīng)用程序，或?qū)��?yīng)用程序遷移到云，需要其安全團(tuán)隊(duì)花費(fèi)相當(dāng)大的努力。因?yàn)楹芏嘞到y(tǒng)——包括從防火墻、VLAN的配置到云安全系統(tǒng)——都必須修改。企業(yè)需要圍繞應(yīng)用程序的工作負(fù)載(包括其性質(zhì)，環(huán)境和關(guān)系)建立安全管理和相關(guān)設(shè)置，而不是圍繞底層的基礎(chǔ)設(shè)施。這種自適應(yīng)的安全策略能自動及時的根據(jù)應(yīng)用程序的變化，包括諸如新的工作負(fù)載啟動(作為自動縮放操作的一部分)，應(yīng)用遷移和環(huán)境的變化而調(diào)整安全策略。

　　2、審核您的應(yīng)用程序的交互

　　企業(yè)對于其數(shù)據(jù)中心和公共云環(huán)境的應(yīng)用程序工作負(fù)載之間東西走向的流量普遍缺乏可視性。他們需要對基于個別工作負(fù)載所構(gòu)成的應(yīng)用程序之間的流量的多層應(yīng)用程序有一個圖形視圖。這種應(yīng)用程序的拓?fù)湟晥D可以提供南北走向和東西走向的互動，靈活的工作負(fù)載全貌，并連接來自外部實(shí)體的未經(jīng)授權(quán)的請求。更好的情況是，如果應(yīng)用拓?fù)鋱D是交互式的，安全團(tuán)隊(duì)可以深入到具體的工作負(fù)載的細(xì)節(jié)，以及該工作負(fù)責(zé)與其他工作負(fù)載關(guān)系的細(xì)節(jié)。這可以幫助安全團(tuán)隊(duì)基于應(yīng)用程序需求設(shè)計(jì)一種準(zhǔn)確的、且消息靈通的安全策略。

　　3、必須假定受到攻擊是不可避免的

　　很多時候，企業(yè)在投資了強(qiáng)大的外圍防御之后，就覺得自己可以高枕無憂的假定這些防御背后的工作負(fù)載是安全的了。然而，在過去相當(dāng)長一段時期，大多數(shù)黑客攻擊所導(dǎo)致的數(shù)據(jù)泄露，均是由于黑客入侵了企業(yè)內(nèi)部的某一臺服務(wù)器而造成的。然后這些黑客就得以能夠長驅(qū)直入的進(jìn)入企業(yè)數(shù)據(jù)中心，進(jìn)而侵入到其他易受攻擊的系統(tǒng)里面，終于竊取到企業(yè)的敏感數(shù)據(jù)。企業(yè)在其自己的數(shù)據(jù)中心也需要相應(yīng)的安全管理措施，以便能夠鎖定工作負(fù)載之間的相互作用，在允許正常通信路徑的同時，防止未經(jīng)授權(quán)的連接請求。

　　網(wǎng)絡(luò)攻擊很少是由于某一臺單一的服務(wù)器或單一終端所造成的。即使某個單一工作負(fù)載受到損害，數(shù)據(jù)中心的安全戰(zhàn)略應(yīng)防止攻擊的橫向擴(kuò)散，影響其它的系統(tǒng)。在這樣的攻擊面的減少也有助于系統(tǒng)的恢復(fù)，因?yàn)閱蝹�工作負(fù)載會從整個IT大環(huán)境完全隔離。

　　4、面向未來的應(yīng)用程序的部署

　　企業(yè)的安全團(tuán)隊(duì)往往擔(dān)心缺乏對于在云中部署的網(wǎng)絡(luò)的控制。大多數(shù)數(shù)據(jù)中心的安全策略對于網(wǎng)絡(luò)存在依賴，這意味著在私有數(shù)據(jù)中心的應(yīng)用程序的安全較之在云中的應(yīng)用程序的安全往往是非常不同的。這導(dǎo)致了不同的安全策略，需要進(jìn)行測試和維護(hù)。企業(yè)必須在私有數(shù)據(jù)中心和公共云選擇一致的安全策略。畢竟，應(yīng)用程序預(yù)期的行為和安全需求不會隨著其運(yùn)行地方的變化而發(fā)生改變。

　　5、選擇獨(dú)立于基礎(chǔ)設(shè)施的安全技術(shù)

　　被設(shè)計(jì)專門用于特定的計(jì)算環(huán)境下的安全措施沒有考慮當(dāng)前的計(jì)算環(huán)境的動態(tài)性，其中的虛擬服務(wù)器可以按需在任何地方啟動，應(yīng)用程序亦可以根據(jù)需求隨意部署或改變。因此，開發(fā)出一套可以根據(jù)環(huán)境感知的，得以保護(hù)應(yīng)用程序的工作負(fù)載，而不依賴于底層網(wǎng)絡(luò)或計(jì)算環(huán)境的安全政策是非常重要的。此外，由于數(shù)據(jù)中心混合運(yùn)行著裸機(jī)服務(wù)器，虛擬服務(wù)器，甚至是包括Linux containers容器，安全措施可以為不可知的計(jì)算環(huán)境提供一致的安全策略，易于部署，易于維護(hù)，而且不容易出錯。

　　6、杜絕使用內(nèi)部防火墻和流量轉(zhuǎn)向

　　安全性依賴于流量通過關(guān)卡或周邊設(shè)備聯(lián)系安全政策到IP地址，端口，子網(wǎng)，VLAN，或安全區(qū)域的轉(zhuǎn)向。這導(dǎo)致在靜態(tài)安全模型中，每當(dāng)某個應(yīng)用程序發(fā)生變化或新的工作負(fù)載啟動時，均需要進(jìn)行手動更改安全規(guī)則，從而也就導(dǎo)致了防火墻規(guī)則的暴露，增加了人為錯誤的機(jī)會。

　　安全措施可以使用工作負(fù)載的環(huán)境感知動態(tài)解耦安全從底層網(wǎng)絡(luò)參數(shù)適應(yīng)，并允許發(fā)生變化，而不會影響安全策略。在一個環(huán)境感知系統(tǒng)，安全策略可以通過使用自然語言的語法，而不是IP地址來指定。此外，在個別工作負(fù)載執(zhí)行政策的水平能力為管理員提供了更精細(xì)的控制。

　　7、使用簡單，按需數(shù)據(jù)加密，以保護(hù)分布式、異構(gòu)的應(yīng)用程序之間的互動

　　在分布式計(jì)算環(huán)境中，應(yīng)用程序的工作負(fù)載需要跨公共和私人網(wǎng)絡(luò)進(jìn)行通信，因此，加密數(shù)據(jù)是必要的.iPSec連接可用于應(yīng)用程序工作負(fù)載之間的通信加密。但是，盡管IPSec提供節(jié)點(diǎn)之間永久性的，與應(yīng)用無關(guān)的加密連接，其也很難建立和維護(hù)。自適應(yīng)的安全解決方案，可以提供IPsec驅(qū)動的策略，而無需額外的軟件或硬件。這使得安全管理員能夠在運(yùn)行的應(yīng)用程序工作負(fù)載之間按需設(shè)置數(shù)據(jù)的加密。

　　8、開發(fā)策略，以便讓安全措施與企業(yè)的研發(fā)運(yùn)營實(shí)踐整合

　　企業(yè)的DevOps業(yè)務(wù)實(shí)踐的靈活敏捷性與IT運(yùn)營相結(jié)合，能夠加快企業(yè)相關(guān)應(yīng)用程序的推出和變化的步伐。不幸的是，靜態(tài)的安全架構(gòu)妨礙了企業(yè)連續(xù)應(yīng)用程序交付的潛在優(yōu)勢。自適應(yīng)的安全架構(gòu)則能夠提供自動化的業(yè)務(wù)流程工具的集成，并將安全政策的更改作為連續(xù)交付過程的一部分。這使得企業(yè)的安全團(tuán)隊(duì)和DevOps團(tuán)隊(duì)能夠從工作負(fù)載開始申請時就建立其相應(yīng)的安全，并保持所有工作負(fù)載的安全直至該工作負(fù)載退役。

　　您企業(yè)的安全管理策略應(yīng)該反映當(dāng)前的基礎(chǔ)設(shè)施和應(yīng)用程序的分布特性和動態(tài)性。參考并借鑒上述這些步驟以設(shè)計(jì)符合您企業(yè)的自適應(yīng)的安全管理方法，可以提高你的安全狀況，并有助于讓安全政策的設(shè)計(jì)成為您企業(yè)業(yè)務(wù)發(fā)展的推動力量。

　　本文作者Chandra Sekar是Illumio公司的產(chǎn)品營銷高級總監(jiān)，Illumio公司是Illumio自適應(yīng)安全平臺制造商.illumio ASP采用實(shí)時遙測工作負(fù)載，為每款在數(shù)據(jù)中心或在公共云中運(yùn)行的工作負(fù)載編程制定安全策略，并在有任何變化發(fā)生時重新計(jì)算這些安全政策。