分布式计算时代保护数据中心的8个步骤


发布人:admin分类:网络安全浏览量:29发布时间:2017-11-29

CTO训练营 | 12月3-5日,深圳,是时候成为优秀的技术管理者了


现在的信息安全根本无法跟上业务和IT的发展速度,这已经不是什么秘密。数据中心变得越来越动态,以适应快速的应用程序变化以及跨私有云和公共云的各种部署,而由于防火墙或其他阻塞点设备等外围设备,安全仍然是相对静态的,这让数据中心内部的数据容易受到攻击。

分布式计算时代保护数据中心的8个步骤

另外,安全政策被绑定到IP地址、端口、子网和区域等网络参数。因此,安全是高度手动的,容易出错,并且缺乏可视性,无法灵活应对云迁移或应用程序和环境等变化。企业应该考虑以下措施来让其安全更能适应快速变化的计算环境的需求:

1.预见工作负载的变化、增加和移动

在很多企业,部署新的应用程序、改变现有的应用程序或迁移应用程序到云计算需要安全团队付出很大的努力,因为这需要修改很多系统,从防火墙和VLAN配置到云安全系统。企业需要围绕应用程序工作负载(其属性、环境和关系)来构建安全性,而不是围绕底层基础设施。这种自适应安全策略可以基于应用程序变化(例如启用新的工作负载、应用程序迁移或环境变化)自动配置政策。

2.审核应用程序的交互

企业对数据中心和公共云环境的应用程序工作负载之间的东西流量普遍缺乏可视性。他们需要对多层应用程序的图形视图,了解工作负载之间的流量情况。这种应用程序拓扑试图可以提供完整的视图,包括南北和东西交互、未经授权外部实体的连接请求。更好的是,如果应用程序拓扑图是交互式的,安全团队可以详细了解特定工作负载的具体情况及其与其他工作负载的关系。这可以帮助安全团队基于应用程序需求设计准确的安全政策。

3.假设攻击是不可避免的

很多时候企业采购并部署强大的外围防御,然后认为其网络外围内工作负载是安全的。然而,在大多数数据泄露事故中,攻击者都攻入外围并入侵服务器,并将数据输出到其他易受攻击系统,最终带走敏感数据。企业需要确保其数据中心内的安全性,可以锁定工作负载之间的交互到批准的通信路径,防止未经授权连接请求。

网络攻击很少是因为一台服务器或端点受到攻击。即使攻击者攻击了单个工作负载,数据中心安全策略仍可以防止攻击横向扩展到其他系统。这种攻击面的减少也有助于系统的恢复,因为单个工作负载完全隔离于大环境。

4.让你的应用程序部署面向未来

安全团队经常担心缺乏对云部署中网络的控制。大多数数据中心安全战略都是依赖于网络,这意味着私有数据中心内应用程序的安全性非常不同于云计算中应用程序的安全。也就是说,企业需要对安全策略进行测试和维护。企业必须选择可用跨私有数据中心和公共云保持一致的安全战略。毕竟,预期的应用程序行为及其安全需求并不会因为其运行的位置而改变。

5.选择独立于基础设施的安全技术

设计用于特定计算环境的安全并不适用于现在动态的计算环境,在现在的环境中,我们可以按需在任何地方启用虚拟服务器,并且应用程序也可以按意愿部署和更改。重要的是制定背景感知的安全策略(+微信关注网络世界),可以保护应用程序工作负载,而不需要依赖于底层网络或计算环境。此外,由于数据中心的异构性质(包含裸机服务器、虚拟服务器甚至Linux容器),独立于计算环境的安全战略更加易于部署、易于维护,且不容易出错。

6.消除对内部防火墙和流量导向的使用

对于通过阻塞点或外围设备依赖于流量导向的安全,安全政策会绑定到IP地址、端口、子网、VLAN或安全区域。这会产生静态的安全模式,需要在每次应用程序变更或推出新的工作负载时对安全规则进行手动更改,这会导致防火墙规则爆炸,并增加人为错误的机会。

企业应该利用工作负载的动态性质,将安全从底层网络参数中解耦出来,当变化发生时不会影响安全策略。在背景感知的系统中,安全政策可以使用自然语言语法(而不是IP地址)来明确。此外,在工作负载水平执行政策的能力可以提供对管理员更细粒度的控制。

7.使用简单的按需动态数据加密来保护分布式异构应用程序之间的交互

在分布式计算环境(即应用程序工作负载需要跨公共和私有网络进行通信)中,动态数据加密是必要的。IPsec连接性可以用来加密应用程序工作负载之间的通信。

但是,虽然IPsec在节点之间提供永久的、与应用无关的加密连接,但它也很难建立和维护。自适应安全解决方案可以提供政策驱动的IPsec,而不需要额外的软件或硬件。这允许安全管理员在任何地方运行的应用工作负载之间设置按需动态数据加密。

8.制定战略来整合安全与开发运营实践

开发运营做法结合了灵活的开发做法与IT运营来加速应用程序的推出和变更。然而,静态安全架构阻止了企业利用连续应用交付的潜在优势。自适应安全架构可以整合自动化和编排工具来推出安全变更作为连续交付过程的一部分。这可以让安全和开发运营团队在最开始就将安全构建到应用程序,一直保持到应用程序的终止使用。

你的安全策略应该反映现在的基础设施和应用程序的动态和分布式性质。这些步骤可以帮助你设计出自适应的做法,来提高你的安全状态。

【编辑推荐】

  1. 嵌入式数据中心有望胜过超大规模数据中心?
  2. 未来的数据中心:既合并,又分散
  3. 穹顶之下,关于数据中心的“绿色”思考
【责任编辑:林琳 TEL:(010)68476606】

点赞 0

被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:22007942(PV) 页面执行时间:83.674(MS)
  • xml
  • 网站地图