在传统的单片环境中运营的企业可能有严格的组织结构。因此,安全要求可能会抑制它们转换到混合或云天然应用部署模型。
尽管存在明显的困难,但大多数企业都希望利用原生云功能。如今,大多数实体都在考虑或评估原生云,以增强客户的体验。在某些情况下,它是吸引更丰富的客户市场分析或提供卓越运营的能力。
云天然是一个关键的战略议程,使客户能够利用许多新功能和框架。它使组织能够建立和发展进入,以获得优势在竞争对手上。
应用程序正在发展
让我们面对现实吧!应用程序的发展非常迅速。传统的应用程序现在被附加的本地云功能所补充。我们有传统的应用程序运行与新的集装箱模块化前端或后端服务。
核心应用程序仍然是一个3层的纪念碑,但云母服务被螺栓固定在私人数据中心的核心应用程序中发送数据。雷竞技电脑网站
过渡目标
理想情况下,企业将有一个安全立场,他们对他们感到满意。他们有防火墙,IDS / IPS,WAF和分割:方法完美的方法。
当我们踏上云原生服务时,我们需要添加另一层安全性。企业必须确保它们具有比以前更平等或更好的安全能力。
这就产生了一个需要填补的缺口。过渡包括在传统环境中维护覆盖、可见性和控制的能力,同时利用本地云服务。所有这些都以零信任的默认拒绝安全姿态完成。
复杂的环境
客观地,在传统环境中,有各种数据中心架构,可在公共,私有,混合动力和多云部署模型中运行。雷竞技电脑网站正式这只是私人和公共但现在混合动力和多云是传统规范。
存在跨物理,云和应用环境发生的矢量转换。这种过渡是高度动态和异质的。在未来的时间内,我们可能有混合连接。
安全和混合云
混合连接的主要重点之一是相互作用。大型企业有一点点一切普遍。将存在云中的应用程序,内部部署,微服务和雄性岩。所有这些实体都生活在孤岛上。
人们需要良好的覆盖范围在不同架构中的组件之间的每个交互。有关有效的安全性,人们应该在互动期间监控意外行为。如果覆盖此覆盖范围,则当这些组件与其他组件通信时,门打开折衷。安全将是最薄弱的链接。
传统的网络方法
传统的网络方法是每个人都熟悉的,这就是当今大多数安全性的方式。它也是最不灵活的架构,因为安全性与IP地址,VLAN或传统的5元组相关联。传统方法是设置安全策略的无效方法。
此外,网络是特定的供应商。如何实现ACL或VLAN将每个供应商的配置不同配置,并且在某些情况下,同一供应商内也存在差异。有些人已经演变为厨师或傀儡,但大多数供应商仍在做CLI,这是手动和容易出错的。
虚拟机管理程序
对于应用程序,存在一个攻击表面,包括管理程序上的所有内容。当您考虑在管理程序上放置多少个VM时,这是非常广泛的。VM的VM越多,爆炸半径越大。
因此,有可能VM逃生在这种情况下,一个VM的危害可能导致一个坏的参与者访问该管理程序上的所有其他VM。实际上,系统管理程序可能无意中放大了攻击的表面。
基于主机的防火墙
最近,基于主机的防火墙通过防止通过端口号访问不需要的入站通信,从而提高了安全性。因此,攻击面和控制现在位于工作负载级别。但是,我们仍然面临着政策分配的问题。
上面概述的工具描述了各种安全方法,所有这些都在今天广泛实施。它们都是必要的解决方案,即将您从粗糙到细粒度的安全模型中获取。然而,对混合和云原住的转换需要一种更细粒度的方法,称为零信任。
下一个进化阶段
我们刚刚到达一个基于VM在公共和私有云中的虚拟化环境的解决方案开始成熟的阶段。因此,正如我们达到这一阶段,我们已经开始见证下一个演变。
DevOps LED环境演变的下一步是基于容器和编排框架。在计算和网络方面,这将另一个数量级与环境的复杂性带来了另一个数量级。
基于VM的现有虚拟化环境将无法处理容器化环境存在的复杂性。那么,什么是正确的前进方向?
网络和应用程序独立性
安全性和合规性框架必须独立于网络。从某种意义上说,他们应该像夜间过度的两艘船一样运作。此外,它们应该是基于身份的。
基于身份的解决方案的主要好处是,您可以看到服务对服务的通信,这将成为身份验证和访问控制的构建块。
统一的安全策略和自适应缩放
您需要能够涵盖各种可能的组合。它不仅仅是涵盖不同类型的基础架构,您还需要覆盖它们之间的交互,可以在非常复杂的环境中实现。
在现代世界中,我们有编制、容器、临时服务和动态服务,这些服务可以改变功能,并具有向上和向下伸缩的能力。因此,安全解决方案应该与基础服务相适应,无论它是可扩展的还是演进的。
自动加密运动中的数据(MTLS)
因为我们的应用程序跨越了混合和多云部署模型,加密变得复杂于公钥基础架构(PKI)系统和令牌管理。
如果您有一个扩展应用程序,物理和云环境的解决方案,您将采用弹性和普遍的方法。最终,这使您可以在没有管理复杂的PKI系统的开销的情况下加密运动中的数据。
零信任
任何用户、微服务、端口或API都可能引入漏洞。这又把我们带回了零信任——“永远不要信任,永远要核实”。移动边界以保护内部资产的想法是零信任安全模型的强制要求。周长将增加,变得更细粒度,更接近工作负载。身份将成为新的边界。
但是,当您只关注出站服务时,您需要保护的所有资产在规模方面都更加复杂,而现在您必须保护内部资产。当前的解决方案无法满足这个级别。我们有一个数量级在规模上比你需要保护的环境更大。
因此,必须有一个设计成与数据中心和计算环境一样可伸缩的解决方案。雷竞技电脑网站在过渡期间,零信任变得更加重要,因为在不同环境中部署的服务和工作负载之间有更多的交互。此外,环境之间的媒介可以具有不同级别的信任。
因此,决定采用零信任方法是在过渡阶段保持有效安全态势的关键因素。如果您不相信您的边界,确保安全的唯一方法是加密服务之间的所有通信。
样品解决方案摘要
理想情况下,解决方案必须提供唯一的应用程序级安全平台。第7层解决方案使管理员能够了解“谁”和“何时”。此外,它有助于弄清楚正在使用的应用程序级别能力利用NLP使用的服务。
一个独立的网络和一个以应用程序为中心的安全解决方案是基本的价值主张。它涵盖了各种各样的虚拟和网络环境,重点是使用零信任方法过渡到本地云。
工作负载以中心为中心,不是以网络为中心的,是解决方案更稳定,可读和可管理的。它缓冲使用自动化来导出来自观察到的活动的最小特权策略。
这提供了一种可视化,活动,政策和它们之间的差异的全圈方法。工作量为中心的政策警告当活动违反政策时,考虑到观察到的活动,策略可能太松动。应使用逻辑属性设置策略,而不是物理属性。
安全平台确保您在经历从遗留环境到云本地应用程序环境的转换时,确切地知道正在发生什么。它成功地确定了,填补了安全、顺利迁移的空白。