安全產(chǎn)業(yè)陷入了一個很不好的習慣中,我們大多數(shù)的精力和營銷資金,都投放到了對最新冒頭的威脅和相應檢測新技術的關注上了。只需要瀏覽下新聞頭條,或者花15分鐘在安全大會的展廳里晃一圈,就能發(fā)現(xiàn)這種趨勢。然而,在我們緊盯壞蛋們正在做什么的時候,卻忽略了我們自己的基礎設施建設方向。
沒錯,檢測新的針對性攻擊確實是安全從業(yè)人員的首要優(yōu)先事項,但找尋安全業(yè)務開展方式的技術發(fā)展,關注同行在基礎設施、數(shù)據(jù)中心或云上所做的工作,同樣非常重要。
例如,當安全被虛擬化,隨之而來的幾大好處,包括速率和規(guī)模的提升,以及虛擬化數(shù)據(jù)中心和云環(huán)境下安全基礎設施管理費用和成本的下降。毫無疑問轉向虛擬化安全對很多公司而言是一件好事,這些公司如今都能夠更有效率更快地擴展和定制安全策略。
但我們下一步該怎么做,才能確保持續(xù)創(chuàng)新,并保持安全功能時刻站在時代前沿呢?
最有前途的新方法之一,就是將安全功能放到容器中。正如容器為需要在計算環(huán)境中進行遷移的應用提供了大量好處一樣,將容器應用到網(wǎng)絡安全的保護上也是好處多多。容器只用到1個操作系統(tǒng),用容器托管安全操作,所需空間和電力都比在多個操作系統(tǒng)上運行安全操作要省得多,會對成本和可擴展性產(chǎn)生很大影響,同時還能提供保障網(wǎng)絡安全的有效方法。
容器化安全功能的好處很多,最明顯的就是成本節(jié)省。因為所有操作都只需要1個容器就能運行,所以可以大幅減少在多個操作系統(tǒng)上的開銷。從性能的角度看,服務速度也可以得到大幅提升,還附帶可擴展性的暴漲。容器幾乎可以瞬間啟動,而普通虛擬機一般要花去數(shù)分鐘才啟得起來。
我們剛在服務器上開始使用虛擬機時,曾普遍認為這塊兒沒有安全需求。但隨著容器向數(shù)據(jù)中心和云端的進軍,很多公司很快意識到,必須在打造虛擬化環(huán)境時加上安全了。
然而,與所有新的安全形式一樣,容器化安全也有其局限性。比如說,與傳統(tǒng)防火墻不同,你不需要路由和交換功能,尤其是在環(huán)境遷移到更多微服務創(chuàng)建和使用的情況下。因此,你必須小心評估使用容器的決定,并且在最開始就以安全的方式使用它。如果你正考慮采用容器化安全的方法,有幾個問題是必須捫心自問一下的:
1. 你已經(jīng)在使用Docker了嗎?如果你公司的其他基礎設施正在使用容器,將這一實踐擴展到安全上是非常符合邏輯的。一旦容器就位,它們的可擴展性會讓往已有功能中增加新的功能變得非常容易,且額外開銷和對性能的影響最小化。
2. 你想要支持哪種環(huán)境?如果你需要一個密實的安全環(huán)境,容器可能是你的最佳解決方案。如果你已經(jīng)用虛擬機建起了虛擬化環(huán)境,一個虛擬防火墻或許是更好的選擇。
3. 你公司的長期戰(zhàn)略性經(jīng)營方向是什么?你的公司更偏重開發(fā)運維資源的投入么?你的公司利用的是現(xiàn)有技術么?還是說你公司的戰(zhàn)略方向是自行打造具有競爭力的獨特技術?如果你的公司認為技術是戰(zhàn)略性區(qū)分因素,并更偏重投資開發(fā)運維資源和打造自有技術,那么容器會很自然地成為你數(shù)據(jù)中心投資的下一步。可以從具備未來能分解成微安全服務的完全容器防火墻開始,以便既能支持當前應用,又能支持將來的微服務。
雖然使用容器保護公司安全是個相對新潮的方法,但其卻能給公司帶來成本減省和可擴展性的大幅提升。考慮在安全上引入容器,你將會成為這一創(chuàng)新性方法的早期采用人,在同行競爭和與網(wǎng)絡犯罪分子的斗爭中都領先一步。
京公網(wǎng)安備 11010502049343號