今天的動態計算環境需要更靈活的和適應性強的安全解決方案;本文中將為您在這方面提供一些建議：

當前的信息安全已無法跟上企業的業務和IT發展速度早已不是什么秘密了。而盡管數據中心動態性的日益增加，以便適應應用程序的快速變化，以及跨私有和公共云的部署，數據中心的安全解決方案卻依然相對穩定，其外圍的配套設備如防火墻或其他網絡瓶頸設備，一旦離開數據中心內部就很容易受到攻擊。

此外，安全政策被諸如IP地址，端口，子網和區域等網絡參數所綁定。這樣就導致安全管理成為了高度手動且容易出錯，缺乏能見度，以及能夠隨著云的遷移或應用程序和環境的變化而進行相應調整的靈活性。故我們建議，企業應該考慮采取以下策略使自己的安全管理能更好的適應快速變化的計算環境的要求：

1、預估工作負載的變化，增加，和遷移

在許多企業，部署新的應用程序，改變現有的應用程序，或將應用程序遷移到云，需要其安全團隊花費相當大的努力。因為很多系統——包括從防火墻、VLAN的配置到云安全系統——都必須修改。企業需要圍繞應用程序的工作負載(包括其性質，環境和關系)建立安全管理和相關設置，而不是圍繞底層的基礎設施。這種自適應的安全策略能自動及時的根據應用程序的變化，包括諸如新的工作負載啟動(作為自動縮放操作的一部分)，應用遷移和環境的變化而調整安全策略。

2、審核您的應用程序的交互

企業對于其數據中心和公共云環境的應用程序工作負載之間東西走向的流量普遍缺乏可視性。他們需要對基于個別工作負載所構成的應用程序之間的流量的多層應用程序有一個圖形視圖。這種應用程序的拓撲視圖可以提供南北走向和東西走向的互動，靈活的工作負載全貌，并連接來自外部實體的未經授權的請求。更好的情況是，如果應用拓撲圖是交互式的，安全團隊可以深入到具體的工作負載的細節，以及該工作負責與其他工作負載關系的細節。這可以幫助安全團隊基于應用程序需求設計一種準確的、且消息靈通的安全策略。

3、必須假定受到攻擊是不可避免的

很多時候，企業在投資了強大的外圍防御之后，就覺得自己可以高枕無憂的假定這些防御背后的工作負載是安全的了。然而，在過去相當長一段時期，大多數黑客攻擊所導致的數據泄露，均是由于黑客入侵了企業內部的某一臺服務器而造成的。然后這些黑客就得以能夠長驅直入的進入企業數據中心，進而侵入到其他易受攻擊的系統里面，終于竊取到企業的敏感數據。企業在其自己的數據中心也需要相應的安全管理措施，以便能夠鎖定工作負載之間的相互作用，在允許正常通信路徑的同時，防止未經授權的連接請求。

網絡攻擊很少是由于某一臺單一的服務器或單一終端所造成的。即使某個單一工作負載受到損害，數據中心的安全戰略應防止攻擊的橫向擴散，影響其它的系統。在這樣的攻擊面的減少也有助于系統的恢復，因為單個工作負載會從整個IT大環境完全隔離。

4、面向未來的應用程序的部署

企業的安全團隊往往擔心缺乏對于在云中部署的網絡的控制。大多數數據中心的安全策略對于網絡存在依賴，這意味著在私有數據中心的應用程序的安全較之在云中的應用程序的安全往往是非常不同的。這導致了不同的安全策略，需要進行測試和維護。企業必須在私有數據中心和公共云選擇一致的安全策略。畢竟，應用程序預期的行為和安全需求不會隨著其運行地方的變化而發生改變。

5、選擇獨立于基礎設施的安全技術

被設計專門用于特定的計算環境下的安全措施沒有考慮當前的計算環境的動態性，其中的虛擬服務器可以按需在任何地方啟動，應用程序亦可以根據需求隨意部署或改變。因此，開發出一套可以根據環境感知的，得以保護應用程序的工作負載，而不依賴于底層網絡或計算環境的安全政策是非常重要的。此外，由于數據中心混合運行著裸機服務器，虛擬服務器，甚至是包括Linux containers容器，安全措施可以為不可知的計算環境提供一致的安全策略，易于部署，易于維護，而且不容易出錯。

6、杜絕使用內部防火墻和流量轉向

安全性依賴于流量通過關卡或周邊設備聯系安全政策到IP地址，端口，子網，VLAN，或安全區域的轉向。這導致在靜態安全模型中，每當某個應用程序發生變化或新的工作負載啟動時，均需要進行手動更改安全規則，從而也就導致了防火墻規則的暴露，增加了人為錯誤的機會。

安全措施可以使用工作負載的環境感知動態解耦安全從底層網絡參數適應，并允許發生變化，而不會影響安全策略。在一個環境感知系統，安全策略可以通過使用自然語言的語法，而不是IP地址來指定。此外，在個別工作負載執行政策的水平能力為管理員提供了更精細的控制。

7、使用簡單，按需數據加密，以保護分布式、異構的應用程序之間的互動

在分布式計算環境中，應用程序的工作負載需要跨公共和私人網絡進行通信，因此，加密數據是必要的。IPSec連接可用于應用程序工作負載之間的通信加密。但是，盡管IPSec提供節點之間永久性的，與應用無關的加密連接，其也很難建立和維護。自適應的安全解決方案，可以提供IPsec驅動的策略，而無需額外的軟件或硬件。這使得安全管理員能夠在運行的應用程序工作負載之間按需設置數據的加密。

8、開發策略，以便讓安全措施與企業的研發運營實踐整合

企業的DevOps業務實踐的靈活敏捷性與IT運營相結合，能夠加快企業相關應用程序的推出和變化的步伐。不幸的是，靜態的安全架構妨礙了企業連續應用程序交付的潛在優勢。自適應的安全架構則能夠提供自動化的業務流程工具的集成，并將安全政策的更改作為連續交付過程的一部分。這使得企業的安全團隊和DevOps團隊能夠從工作負載開始申請時就建立其相應的安全，并保持所有工作負載的安全直至該工作負載退役。

您企業的安全管理策略應該反映當前的基礎設施和應用程序的分布特性和動態性。參考并借鑒上述這些步驟以設計符合您企業的自適應的安全管理方法，可以提高你的安全狀況，并有助于讓安全政策的設計成為您企業業務發展的推動力量。

本文作者Chandra Sekar是Illumio公司的產品營銷高級總監，Illumio公司是Illumio自適應安全平臺制造商。Illumio ASP采用實時遙測工作負載，為每款在數據中心或在公共云中運行的工作負載編程制定安全策略，并在有任何變化發生時重新計算這些安全政策。