現在的信息安全根本無法跟上業務和IT的發展速度，這已經不是什么秘密。數據中心變得越來越動態，以適應快速的應用程序變化以及跨私有云和公共云的各種部署，而由于防火墻或其他阻塞點設備等外圍設備，安全仍然是相對靜態的，這讓數據中心內部的數據容易受到攻擊。

另外，安全政策被綁定到IP地址、端口、子網和區域等網絡參數。因此，安全是高度手動的，容易出錯，并且缺乏可視性，無法靈活應對云遷移或應用程序和環境等變化。企業應該考慮以下措施來讓其安全更能適應快速變化的計算環境的需求：

1.預見工作負載的變化、增加和移動

在很多企業，部署新的應用程序、改變現有的應用程序或遷移應用程序到云計算需要安全團隊付出很大的努力，因為這需要修改很多系統，從防火墻和VLAN配置到云安全系統。企業需要圍繞應用程序工作負載(其屬性、環境和關系)來構建安全性，而不是圍繞底層基礎設施。這種自適應安全策略可以基于應用程序變化(例如啟用新的工作負載、應用程序遷移或環境變化)自動配置政策。

2.審核應用程序的交互

企業對數據中心和公共云環境的應用程序工作負載之間的東西流量普遍缺乏可視性。他們需要對多層應用程序的圖形視圖，了解工作負載之間的流量情況。這種應用程序拓撲試圖可以提供完整的視圖，包括南北和東西交互、未經授權外部實體的連接請求。更好的是，如果應用程序拓撲圖是交互式的，安全團隊可以詳細了解特定工作負載的具體情況及其與其他工作負載的關系。這可以幫助安全團隊基于應用程序需求設計準確的安全政策。

3.假設攻擊是不可避免的

很多時候企業采購并部署強大的外圍防御，然后認為其網絡外圍內工作負載是安全的。然而，在大多數數據泄露事故中，攻擊者都攻入外圍并入侵服務器，并將數據輸出到其他易受攻擊系統，最終帶走敏感數據。企業需要確保其數據中心內的安全性，可以鎖定工作負載之間的交互到批準的通信路徑，防止未經授權連接請求。

網絡攻擊很少是因為一臺服務器或端點受到攻擊。即使攻擊者攻擊了單個工作負載，數據中心安全策略仍可以防止攻擊橫向擴展到其他系統。這種攻擊面的減少也有助于系統的恢復，因為單個工作負載完全隔離于大環境。

4.讓你的應用程序部署面向未來

安全團隊經常擔心缺乏對云部署中網絡的控制。大多數數據中心安全戰略都是依賴于網絡，這意味著私有數據中心內應用程序的安全性非常不同于云計算中應用程序的安全。也就是說，企業需要對安全策略進行測試和維護。企業必須選擇可用跨私有數據中心和公共云保持一致的安全戰略。畢竟，預期的應用程序行為及其安全需求并不會因為其運行的位置而改變。

5.選擇獨立于基礎設施的安全技術

設計用于特定計算環境的安全并不適用于現在動態的計算環境，在現在的環境中，我們可以按需在任何地方啟用虛擬服務器，并且應用程序也可以按意愿部署和更改。重要的是制定背景感知的安全策略(+微信關注網絡世界)，可以保護應用程序工作負載，而不需要依賴于底層網絡或計算環境。此外，由于數據中心的異構性質(包含裸機服務器、虛擬服務器甚至Linux容器)，獨立于計算環境的安全戰略更加易于部署、易于維護，且不容易出錯。

6.消除對內部防火墻和流量導向的使用

對于通過阻塞點或外圍設備依賴于流量導向的安全，安全政策會綁定到IP地址、端口、子網、VLAN或安全區域。這會產生靜態的安全模式，需要在每次應用程序變更或推出新的工作負載時對安全規則進行手動更改，這會導致防火墻規則爆炸，并增加人為錯誤的機會。

企業應該利用工作負載的動態性質，將安全從底層網絡參數中解耦出來，當變化發生時不會影響安全策略。在背景感知的系統中，安全政策可以使用自然語言語法(而不是IP地址)來明確。此外，在工作負載水平執行政策的能力可以提供對管理員更細粒度的控制。

7.使用簡單的按需動態數據加密來保護分布式異構應用程序之間的交互

在分布式計算環境(即應用程序工作負載需要跨公共和私有網絡進行通信)中，動態數據加密是必要的。IPsec連接性可以用來加密應用程序工作負載之間的通信。

但是，雖然IPsec在節點之間提供永久的、與應用無關的加密連接，但它也很難建立和維護。自適應安全解決方案可以提供政策驅動的IPsec，而不需要額外的軟件或硬件。這允許安全管理員在任何地方運行的應用工作負載之間設置按需動態數據加密。

8.制定戰略來整合安全與開發運營實踐

開發運營做法結合了靈活的開發做法與IT運營來加速應用程序的推出和變更。然而，靜態安全架構阻止了企業利用連續應用交付的潛在優勢。自適應安全架構可以整合自動化和編排工具來推出安全變更作為連續交付過程的一部分。這可以讓安全和開發運營團隊在最開始就將安全構建到應用程序，一直保持到應用程序的終止使用。

你的安全策略應該反映現在的基礎設施和應用程序的動態和分布式性質。這些步驟可以幫助你設計出自適應的做法，來提高你的安全狀態。