分布式计算时代保护数据中心的8大步骤
2015-04-20 机房360 编辑:litao984lt
今天的动态计算环境需要更灵活的和适应性强的安全解决方案;本文中将为您在这方面提供一些建议:
当前的信息安全已无法跟上企业的业务和IT发展速度早已不是什么秘密了。而尽管数据中心动态性的日益增加,以便适应应用程序的快速变化,以及跨私有和公共云的部署,数据中心的安全解决方案却依然相对稳定,其外围的配套设备如防火墙或其他网络瓶颈设备,一旦离开数据中心内部就很容易受到攻击。
此外,安全政策被诸如IP地址,端口,子网和区域等网络参数所绑定。这样就导致安全管理成为了高度手动且容易出错,缺乏能见度,以及能够随着云的迁移或应用程序和环境的变化而进行相应调整的灵活性。故我们建议,企业应该考虑采取以下策略使自己的安全管理能更好的适应快速变化的计算环境的要求:
1、预估工作负载的变化,增加,和迁移
在许多企业,部署新的应用程序,改变现有的应用程序,或将应用程序迁移到云,需要其安全团队花费相当大的努力。因为很多系统——包括从防火墙、VLAN的配置到云安全系统——都必须修改。企业需要围绕应用程序的工作负载(包括其性质,环境和关系)建立安全管理和相关设置,而不是围绕底层的基础设施。这种自适应的安全策略能自动及时的根据应用程序的变化,包括诸如新的工作负载启动(作为自动缩放操作的一部分),应用迁移和环境的变化而调整安全策略。
2、审核您的应用程序的交互
企业对于其数据中心和公共云环境的应用程序工作负载之间东西走向的流量普遍缺乏可视性。他们需要对基于个别工作负载所构成的应用程序之间的流量的多层应用程序有一个图形视图。这种应用程序的拓扑视图可以提供南北走向和东西走向的互动,灵活的工作负载全貌,并连接来自外部实体的未经授权的请求。更好的情况是,如果应用拓扑图是交互式的,安全团队可以深入到具体的工作负载的细节,以及该工作负责与其他工作负载关系的细节。这可以帮助安全团队基于应用程序需求设计一种准确的、且消息灵通的安全策略。
3、必须假定受到攻击是不可避免的
很多时候,企业在投资了强大的外围防御之后,就觉得自己可以高枕无忧的假定这些防御背后的工作负载是安全的了。然而,在过去相当长一段时期,大多数黑客攻击所导致的数据泄露,均是由于黑客入侵了企业内部的某一台服务器而造成的。然后这些黑客就得以能够长驱直入的进入企业数据中心,进而侵入到其他易受攻击的系统里面,终于窃取到企业的敏感数据。企业在其自己的数据中心也需要相应的安全管理措施,以便能够锁定工作负载之间的相互作用,在允许正常通信路径的同时,防止未经授权的连接请求。
网络攻击很少是由于某一台单一的服务器或单一终端所造成的。即使某个单一工作负载受到损害,数据中心的安全战略应防止攻击的横向扩散,影响其它的系统。在这样的攻击面的减少也有助于系统的恢复,因为单个工作负载会从整个IT大环境完全隔离。
4、面向未来的应用程序的部署
企业的安全团队往往担心缺乏对于在云中部署的网络的控制。大多数数据中心的安全策略对于网络存在依赖,这意味着在私有数据中心的应用程序的安全较之在云中的应用程序的安全往往是非常不同的。这导致了不同的安全策略,需要进行测试和维护。企业必须在私有数据中心和公共云选择一致的安全策略。毕竟,应用程序预期的行为和安全需求不会随着其运行地方的变化而发生改变。
5、选择独立于基础设施的安全技术
被设计专门用于特定的计算环境下的安全措施没有考虑当前的计算环境的动态性,其中的虚拟服务器可以按需在任何地方启动,应用程序亦可以根据需求随意部署或改变。因此,开发出一套可以根据环境感知的,得以保护应用程序的工作负载,而不依赖于底层网络或计算环境的安全政策是非常重要的。此外,由于数据中心混合运行着裸机服务器,虚拟服务器,甚至是包括Linux containers容器,安全措施可以为不可知的计算环境提供一致的安全策略,易于部署,易于维护,而且不容易出错。
6、杜绝使用内部防火墙和流量转向
安全性依赖于流量通过关卡或周边设备联系安全政策到IP地址,端口,子网,VLAN,或安全区域的转向。这导致在静态安全模型中,每当某个应用程序发生变化或新的工作负载启动时,均需要进行手动更改安全规则,从而也就导致了防火墙规则的暴露,增加了人为错误的机会。
安全措施可以使用工作负载的环境感知动态解耦安全从底层网络参数适应,并允许发生变化,而不会影响安全策略。在一个环境感知系统,安全策略可以通过使用自然语言的语法,而不是IP地址来指定。此外,在个别工作负载执行政策的水平能力为管理员提供了更精细的控制。
7、使用简单,按需数据加密,以保护分布式、异构的应用程序之间的互动
在分布式计算环境中,应用程序的工作负载需要跨公共和私人网络进行通信,因此,加密数据是必要的。IPSec连接可用于应用程序工作负载之间的通信加密。但是,尽管IPSec提供节点之间永久性的,与应用无关的加密连接,其也很难建立和维护。自适应的安全解决方案,可以提供IPsec驱动的策略,而无需额外的软件或硬件。这使得安全管理员能够在运行的应用程序工作负载之间按需设置数据的加密。
8、开发策略,以便让安全措施与企业的研发运营实践整合
企业的DevOps业务实践的灵活敏捷性与IT运营相结合,能够加快企业相关应用程序的推出和变化的步伐。不幸的是,静态的安全架构妨碍了企业连续应用程序交付的潜在优势。自适应的安全架构则能够提供自动化的业务流程工具的集成,并将安全政策的更改作为连续交付过程的一部分。这使得企业的安全团队和DevOps团队能够从工作负载开始申请时就建立其相应的安全,并保持所有工作负载的安全直至该工作负载退役。
您企业的安全管理策略应该反映当前的基础设施和应用程序的分布特性和动态性。参考并借鉴上述这些步骤以设计符合您企业的自适应的安全管理方法,可以提高你的安全状况,并有助于让安全政策的设计成为您企业业务发展的推动力量。
本文作者Chandra Sekar是Illumio公司的产品营销高级总监,Illumio公司是Illumio自适应安全平台制造商。Illumio ASP采用实时遥测工作负载,为每款在数据中心或在公共云中运行的工作负载编程制定安全策略,并在有任何变化发生时重新计算这些安全政策。