[[428674]]

【51CTO.com快譯】在過(guò)去的15個(gè)月，我們看到云得到急劇使用，我們整體上更依賴這項(xiàng)技術(shù)，這一切比原計(jì)劃更快地推動(dòng)更多的應(yīng)用程序向云遷移。這種加速引發(fā)了幾方面的討論，但我們?cè)谶@里討論的是網(wǎng)絡(luò)安全。

云端網(wǎng)絡(luò)安全中有幾種不同的分段方法，但本文將在保護(hù)訪問(wèn)云的用戶與保護(hù)部署到云端的應(yīng)用程序之間劃清界限。前者即保護(hù)用戶已出現(xiàn)了大量的投入和創(chuàng)新，是了解比較深入的問(wèn)題。后者是我們要關(guān)注的。所以問(wèn)題是，鑒于云端的種種發(fā)展和創(chuàng)新，網(wǎng)絡(luò)安全是否重要?當(dāng)然，安全重要，但網(wǎng)絡(luò)端安全重要嗎?

網(wǎng)絡(luò)安全很重要

我們聽(tīng)說(shuō)網(wǎng)絡(luò)安全不再重要——沒(méi)有邊界，無(wú)法信任網(wǎng)絡(luò)，所以防御必須放到應(yīng)用程序上，云提供商負(fù)責(zé)網(wǎng)絡(luò)安全，市面上有容器安全解決方案。事實(shí)并非如此簡(jiǎn)單，原因有很多：

• 有許多不同的新應(yīng)用程序方法。
• 在這些環(huán)境中定制安全是可行的、有效的，但成本高、推廣效果差，​​僅適用于該應(yīng)用程序(即跨應(yīng)用程序無(wú)法做到一致)
• 有一條核心安全原則：縱深防御。由人設(shè)計(jì)的所有安全實(shí)施都容易出錯(cuò)。但它需要一種分層的方法，主防御失效的例子有很多。
• 相關(guān)但不同——大多數(shù)安全人員希望保護(hù)的資源盡可能遠(yuǎn)離威脅(比如DDoS)。

歸根結(jié)底，網(wǎng)絡(luò)是共同基礎(chǔ)。這是每個(gè)應(yīng)用程序唯一接觸的部分。

安全文化和技術(shù)遇上云

有兩個(gè)方面需要密切關(guān)注——文化和技術(shù)。先說(shuō)文化：開(kāi)發(fā)人員掌管一切。向云遷移將我們所做的一切向開(kāi)發(fā)人員轉(zhuǎn)變：詞匯、我們的思考方式、部署和工具等。這有其道理——開(kāi)發(fā)人員更接近業(yè)務(wù)。安全和可用性過(guò)去是IT術(shù)語(yǔ)，而現(xiàn)在我們需要用開(kāi)發(fā)術(shù)語(yǔ)來(lái)表述。

尤其是安全需要改變觀念——不是NO或SLOW，而是別的東西。需要考慮適應(yīng)，而不是控制。但這點(diǎn)更難——以迅速響應(yīng)業(yè)務(wù)的名義，現(xiàn)在廚房里有更多的廚師，極具動(dòng)態(tài)性的環(huán)境，以及更松散的控制模式。代表業(yè)務(wù)部門的開(kāi)發(fā)人員應(yīng)該注重基礎(chǔ)設(shè)施和安全。

轉(zhuǎn)向技術(shù)后，雖然網(wǎng)絡(luò)是共同基礎(chǔ)，但這個(gè)共同基礎(chǔ)極具動(dòng)態(tài)性。對(duì)我們而言，動(dòng)態(tài)意味著快速部署大量應(yīng)用程序。自助服務(wù)是常態(tài)，基礎(chǔ)設(shè)施的采購(gòu)和部署采用同樣的模式。這是迅速響應(yīng)業(yè)務(wù)的本質(zhì)。但傳統(tǒng)網(wǎng)絡(luò)安全不是為動(dòng)態(tài)環(huán)境而構(gòu)建的。

傳統(tǒng)網(wǎng)絡(luò)安全是為構(gòu)建后在很長(zhǎng)時(shí)間內(nèi)通常不會(huì)改變的網(wǎng)絡(luò)而構(gòu)建的。這意味著安全人員可以在關(guān)鍵點(diǎn)部署控制，相信可以在這些控制點(diǎn)看到所有流量。幾乎所有的安全可見(jiàn)性都專注于這些點(diǎn)。在云端，一些基礎(chǔ)服務(wù)并不總是經(jīng)過(guò)控制點(diǎn)(比如DNS)，動(dòng)態(tài)環(huán)境意味著網(wǎng)絡(luò)在不斷變化。

由于網(wǎng)絡(luò)安全現(xiàn)在更難了，這是否意味著它不重要?并非如此，這只是意味著我們要改變行事方式。我們需要為網(wǎng)絡(luò)安全能力添加極強(qiáng)的可見(jiàn)性。不是盯著我們所在的網(wǎng)絡(luò)，我們需要相當(dāng)于衛(wèi)星圖像和無(wú)人機(jī)的云可見(jiàn)性。查看動(dòng)態(tài)環(huán)境并相應(yīng)地部署安全控制——部署了哪些新的應(yīng)用程序和基礎(chǔ)設(shè)施、該在何處部署安全。

網(wǎng)絡(luò)安全工具需要改變

那么，我們有合適的工具嗎?簡(jiǎn)短地回答，沒(méi)有。如上所述，大多數(shù)傳統(tǒng)工具集都基于有一系列不同假設(shè)的不同現(xiàn)實(shí)。

同樣，網(wǎng)絡(luò)安全很重要，但實(shí)施需要改變。前面提到的兩個(gè)關(guān)鍵概念：適應(yīng)和可見(jiàn)性都至關(guān)重要。適應(yīng)意味著文化和工具集都需要快速適應(yīng)變化，而不是控制變化?？梢?jiàn)性是先決條件。不是“找到我的所有漏洞”這種可見(jiàn)性，而是清晰實(shí)時(shí)地了解整個(gè)環(huán)境，以便安全控制可以根據(jù)變化的速度自動(dòng)適應(yīng)并部署控制。換句話說(shuō)，網(wǎng)絡(luò)安全須成為云原生。

結(jié)論是，網(wǎng)絡(luò)安全重要，但實(shí)施(包括文化和技術(shù))需要適應(yīng)，并變得靈活適應(yīng)。因此，與開(kāi)發(fā)和基礎(chǔ)設(shè)施一樣，安全方面也可以迅速響應(yīng)業(yè)務(wù)。

原文標(biāo)題：Is Network Security Relevant in the Cloud?，作者：Vishal Jain

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】