关于“网络安全”在云环境里来说，重要吗？在过去的15个月

文章图片

文章图片
在过去的15个月，我们看到云得到急剧使用，我们整体上更依赖这项技术，这一切比原计划更快地推动更多的应用程序向云迁移。这种加速引发了几方面的讨论，但我们在这里讨论的是网络安全。
云端网络安全中有几种不同的分段方法，但本文将在保护访问云的用户与保护部署到云端的应用程序之间划清界限。前者即保护用户已出现了大量的投入和创新，是了解比较深入的问题。后者是我们要关注的。所以问题是，鉴于云端的种种发展和创新，网络安全是否重要?当然，安全重要，但网络端安全重要吗?
我们听说网络安全不再重要——没有边界，无法信任网络，所以防御必须放到应用程序上，云提供商负责网络安全，市面上有容器安全解决方案。事实并非如此简单，原因有很多：有许多不同的新应用程序方法。在这些环境中定制安全是可行的、有效的，但成本高、推广效果差，仅适用于该应用程序(即跨应用程序无法做到一致)有一条核心安全原则：纵深防御。由人设计的所有安全实施都容易出错。但它需要一种分层的方法，主防御失效的例子有很多。相关但不同——大多数安全人员希望保护的资源尽可能远离威胁(比如DDoS) 。
归根结底，网络是共同基础。这是每个应用程序唯一接触的部分。
有两个方面需要密切关注——文化和技术。先说文化：开发人员掌管一切。向云迁移将我们所做的一切向开发人员转变：词汇、我们的思考方式、部署和工具等。这有其道理——开发人员更接近业务。安全和可用性过去是IT术语，而现在我们需要用开发术语来表述。
尤其是安全需要改变观念——不是NO或SLOW ，而是别的东西。需要考虑适应，而不是控制。但这点更难——以迅速响应业务的名义，现在厨房里有更多的厨师，极具动态性的环境，以及更松散的控制模式。代表业务部门的开发人员应该注重基础设施和安全。
转向技术后，虽然网络是共同基础，但这个共同基础极具动态性。对我们而言，动态意味着快速部署大量应用程序。自助服务是常态，基础设施的采购和部署采用同样的模式。这是迅速响应业务的本质。但传统网络安全不是为动态环境而构建的。
传统网络安全是为构建后在很长时间内通常不会改变的网络而构建的。这意味着安全人员可以在关键点部署控制，相信可以在这些控制点看到所有流量。几乎所有的安全可见性都专注于这些点。在云端，一些基础服务并不总是经过控制点(比如DNS) ，动态环境意味着网络在不断变化。
由于网络安全现在更难了，这是否意味着它不重要?并非如此，这只是意味着我们要改变行事方式。我们需要为网络安全能力添加极强的可见性。不是盯着我们所在的网络，我们需要相当于卫星图像和无人机的云可见性。查看动态环境并相应地部署安全控制——部署了哪些新的应用程序和基础设施、该在何处部署安全。
那么，我们有合适的工具吗?简短地回答，没有。如上所述，大多数传统工具集都基于有一系列不同假设的不同现实。
同样，网络安全很重要，但实施需要改变。前面提到的两个关键概念：适应和可见性都至关重要。适应意味着文化和工具集都需要快速适应变化，而不是控制变化。可见性是先决条件。不是“找到我的所有漏洞”这种可见性，而是清晰实时地了解整个环境，以便安全控制可以根据变化的速度自动适应并部署控制。换句话说，网络安全须成为云原生。