安全是一個(gè)多層級的話題，包括物理、硬件、引導(dǎo)、存儲和其他方面。本文只探討數(shù)據(jù)中心工作負(fù)載的訪問控制。

　　幾乎所有企業(yè)數(shù)據(jù)中心里都有很多防火墻/VPN設(shè)備，但是Google的數(shù)據(jù)中心沒有。Google是如何做到不部署傳統(tǒng)的防火墻，還能對其數(shù)據(jù)中心應(yīng)用做到訪問控制的?

　　從技術(shù)方面得出的答案是Google將訪問控制、身份驗(yàn)證和授權(quán)部署到應(yīng)用層，而不是在網(wǎng)絡(luò)層，Google通過這種方式有效的在應(yīng)用程序中進(jìn)行訪問控制，而不是在網(wǎng)絡(luò)層去實(shí)現(xiàn)。

　　Google的這種方式保證了訪問控制的穩(wěn)定性、可移植性、可伸縮性：app-to-app，service-to-service數(shù)據(jù)中心內(nèi)部訪問控制不再依賴于在正確的時(shí)間正確的地點(diǎn)的人類或者腳本。它是基于應(yīng)用程序身份的控制，而不是網(wǎng)絡(luò)代理的身份控制;也沒有更容易出錯的“after-thought”應(yīng)用人員和運(yùn)維人員的協(xié)調(diào)。

　　盡管有眾多的好處，圍繞應(yīng)用級安全控制和網(wǎng)絡(luò)級安全控制依然存在著辯論。從行業(yè)發(fā)展史上看，企業(yè)數(shù)據(jù)中心選擇的是“after-thought”網(wǎng)絡(luò)級安全模型，因?yàn)樗鼘鹘y(tǒng)的環(huán)境有意義;大多數(shù)數(shù)據(jù)中心運(yùn)行打包軟件，工作負(fù)載信任他們的內(nèi)部網(wǎng)絡(luò)，并且實(shí)現(xiàn)了有責(zé)任的分離。

　　盡管以應(yīng)用為中心的模式在過去不符合企業(yè)的需求，但是現(xiàn)在已經(jīng)有了相當(dāng)程度的改變，云本地的應(yīng)用將改變企業(yè)數(shù)據(jù)中心安全工作負(fù)載的方式。

　　1、內(nèi)部自定義軟件將控制數(shù)據(jù)中心：傳統(tǒng)上，企業(yè)數(shù)據(jù)中心運(yùn)行大量的打包軟件，企業(yè)可以采取實(shí)際的方式從包的外部軟件來保護(hù)這種類型的工作負(fù)載。但是，企業(yè)將傳統(tǒng)的打包軟件轉(zhuǎn)換成軟件即服務(wù)(SaaS)消費(fèi)，因此安全打包軟件不再是內(nèi)部網(wǎng)絡(luò)的需求。企業(yè)將運(yùn)行卓越的內(nèi)部開發(fā)定制軟件，對他們的業(yè)務(wù)進(jìn)行差異化經(jīng)營。對應(yīng)用來說，“baked-in”安全是一個(gè)極其可行的方法，因?yàn)槠髽I(yè)擁有這些應(yīng)用的代碼和設(shè)計(jì)。

　　2、內(nèi)部安全與周邊安全重要性等同：傳統(tǒng)的企業(yè)工作負(fù)載通常有一個(gè)信任的內(nèi)部網(wǎng)絡(luò)，不需要對單個(gè)的工作負(fù)載做訪問控制，因此傳統(tǒng)的營銷或微營銷技術(shù)更適應(yīng)應(yīng)用案例。Google的安全需求是基于“零信任”的，它不能保證內(nèi)部網(wǎng)絡(luò)比公共網(wǎng)絡(luò)更加安全，傳統(tǒng)的基于網(wǎng)絡(luò)的接入控制不能滿足這種規(guī)模的需求。但是企業(yè)開始在內(nèi)部安全和周邊安全上投注更多的心力：究其原因是“內(nèi)部”可能駐留在共有云或混合云上?；趹?yīng)用的“baked-in”模型將更可取，因?yàn)樗邆涓呖蓴U(kuò)展性和可移植性。

　　3、企業(yè)廣泛采用DevOps：傳統(tǒng)上，開發(fā)和運(yùn)維之間的職責(zé)是分離的，這就劃清了開發(fā)與運(yùn)維之間的界限，“after-thought”網(wǎng)絡(luò)安全模型實(shí)際上更適應(yīng)日常工作流程。盡管一些職責(zé)的分離會得到保留，DevOps將會促進(jìn)開發(fā)人員參與安全保障。應(yīng)用程序生命周期的變化率急劇增加，在Docker和微服務(wù)中可見一斑?；诰W(wǎng)絡(luò)的“after-thought”的方法跟不上變化的腳步，基于應(yīng)用的安全就必須得到加強(qiáng)。

　　現(xiàn)在的網(wǎng)絡(luò)采用的是“after-thought”安全模型，并且在過去的二十年中為整個(gè)行業(yè)提供良好的服務(wù)。隨著云原生應(yīng)用的出現(xiàn)，云計(jì)算被廣泛采用，以及積極擁抱DevOps，企業(yè)將會尋求能與云計(jì)算原生波長相匹配的安全模式。從“after-thought”到“baked-in”的安全模式的轉(zhuǎn)變不會一夜之間就實(shí)現(xiàn)，它是一個(gè)量變引起質(zhì)變的過程，但是在云安全產(chǎn)業(yè)仍然有一些激動人心的變化。