“不是一天天的增加要求而是要一天天的減少,減去那些不必要的東西。”—— 李小龍
網(wǎng)絡(luò)安全技術(shù)創(chuàng)新的快速發(fā)展,為解決我們計(jì)算環(huán)境中的漏洞問題提供了幾乎取之不盡的新安全方法。但如果并非越多越好,那么又會(huì)是怎樣一番情形呢?
在數(shù)據(jù)中心和公共云基礎(chǔ)設(shè)施世界中,邊界技術(shù)分層(有時(shí)也稱為深度防御),是從外圍防火墻到入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)(IDS/IPS),再到高級(jí)持續(xù)性威脅(APT)層層遞進(jìn)的,一波波的創(chuàng)新浪潮層出不窮。雖然這些都是防護(hù)數(shù)據(jù)中心邊緣的重要基石,但越來(lái)越多的攻擊卻是由內(nèi)部發(fā)出,而不是由外部攻入。人為錯(cuò)誤、惡意軟件、黑客,都讓人意識(shí)到,更多的注意力應(yīng)該放在數(shù)據(jù)中心內(nèi)部而非外部。
看看下面這張圖表,你能找到攻擊服務(wù)器嗎?邊界安全技術(shù)會(huì)在數(shù)據(jù)中心內(nèi)部找出端口掃描行為嗎?
端口掃描地圖
那么,我們應(yīng)該在內(nèi)部部署更多的防護(hù)技術(shù),對(duì)嗎?或許沒那么簡(jiǎn)單。
過去十年總結(jié)出來(lái)的重要安全認(rèn)知之一就是:加入更多的技術(shù),尤其是在數(shù)據(jù)中心內(nèi)部構(gòu)筑更多的基礎(chǔ)設(shè)施層級(jí),實(shí)際上弊大于利。實(shí)際上,今年的RSA大會(huì)上那些企業(yè)的CISO們,普遍覺得陷入了新安全廠商的包圍圈,像在被壞人威脅一樣不舒服。
公司企業(yè)已經(jīng)有了一大堆基礎(chǔ)設(shè)施和安全技術(shù)要管理。像防火墻這樣的基礎(chǔ)設(shè)施技術(shù)會(huì)產(chǎn)生復(fù)雜的流量導(dǎo)向和“策略欠缺”。可以向大公司咨詢一下他們的防火墻規(guī)則相關(guān)事務(wù):有多少條?多久清理一次過時(shí)的規(guī)則/策略?對(duì)未知事物的感覺如何?相信我,這樣的對(duì)話結(jié)果幾乎不可能會(huì)令人愉悅。
如果一家公司已有25年歷史,其基礎(chǔ)設(shè)施就會(huì)有些像羅馬城:建立在層層技術(shù)基礎(chǔ)之上。
基礎(chǔ)設(shè)施歷史
游覽羅馬,你能看到一個(gè)社會(huì)是怎樣建筑在上一個(gè)社會(huì)基礎(chǔ)之上的諸多例子。深入現(xiàn)代數(shù)據(jù)中心,多層技術(shù)同時(shí)存在的現(xiàn)象與之類似。
當(dāng)前一個(gè)普遍的限制,就是虛擬化計(jì)算堆棧來(lái)更好地保護(hù)它(例如:從虛擬機(jī)管理程序獲得隔離和安全)。在虛擬機(jī)上運(yùn)行軟件有著諸多現(xiàn)實(shí)好處,但重寫和遷移服務(wù)器就總是好事嗎?如果想從裸機(jī)遷移進(jìn)容器并省略到虛擬化步驟又會(huì)怎樣呢?在過去,應(yīng)用必須適應(yīng)基礎(chǔ)設(shè)施——還記得WinTel嗎?英特爾推出一款芯片,微軟就得摸索出怎樣才能最大化該芯片的能力。
今天,情況正好相反,安全和基礎(chǔ)設(shè)施廠商不得不追著應(yīng)用跑。對(duì)今天的唯基礎(chǔ)設(shè)施安全解決方案而言,計(jì)算世界已經(jīng)太過復(fù)雜,太過異構(gòu)。交易處理、云端Web服務(wù)器虛擬機(jī)、開發(fā)公司容器等等,簡(jiǎn)直可以被稱為裸機(jī)。這些環(huán)境下的安全該如何保證?
隨著數(shù)據(jù)中心概念的發(fā)展變化(例如:亞馬遜網(wǎng)絡(luò)服務(wù)AWS、微軟Azure、谷歌Compute),往數(shù)據(jù)中心里填塞更多基礎(chǔ)設(shè)施的安全技術(shù)已經(jīng)越來(lái)越不堪一擊了。
現(xiàn)在這種時(shí)候,我們應(yīng)該找尋發(fā)揮現(xiàn)有基礎(chǔ)設(shè)施能力的方法,而不是不斷地添加額外的層級(jí),增加必須管理的復(fù)雜性。瓶頸點(diǎn)(包括虛擬設(shè)備)設(shè)置越多,需要管理的事也就越多,需要導(dǎo)向的流量自然更多。這又怎么可能幫得到已經(jīng)不堪重負(fù)的基礎(chǔ)設(shè)施和安全團(tuán)隊(duì)呢?
而如果可以激活數(shù)據(jù)中心和云環(huán)境中隨處可見的現(xiàn)有安全控制,并將之與其他安全投入相結(jié)合,又會(huì)發(fā)生怎樣的化學(xué)反應(yīng)?通過利用起基礎(chǔ)設(shè)施“不可見”的安全技術(shù),可以減少,而不是增加,IT和安全的負(fù)擔(dān)。
采用激活現(xiàn)有安全控制的安全技術(shù)而不是簡(jiǎn)單粗暴地添加新設(shè)備,符合奧卡姆剃刀原理——14世紀(jì)英國(guó)邏輯學(xué)家提出的“如無(wú)必要,勿增實(shí)體”原理。簡(jiǎn)單說(shuō)來(lái),少即是多。
京公網(wǎng)安備 11010502049343號(hào)