“防即攻，攻即防，二者互为因果。”——李小龙

上一篇《安全奥卡姆剃刀》提到，简单粗暴地往数据中心及公共云里添加更多的安全技术，并不等同于拥有更安全的环境。可以说，添加额外基础设施通常造成的复杂性，就是安全的敌人。

网络安全产业尤其表征了这种情况。一整代防火墙技术催生出一个笨拙的规则管理亚产业。在大型企业部署中，防火墙基础设施能产出数百万条规则，让相当于联邦税务代理的安全人士不得不痛苦而缓慢地与规则/策略的巨量吞吐纠缠。如果你的安全运营要求你忍受两眼一抹黑的情况，要求你动用“专家”来处理简单的任务，或许，是时候重新考虑了。

在安全上，抽取简单性比掌握复杂性更有价值。然而，随着以云为中心的架构和分布式应用的演进，建立在网络层级之上的安全架构却与现代计算越来越动态化和分布式的本质渐行渐远。主干网上物理或虚拟的流量枢纽点和其他附加“结构”，造成了令人崩溃的发卡弯流量导向噩梦，构建了解决当今世界应用内部和应用间安全需求的架构，并一直试图同时解决Linux容器之类不断增多的时空软件“组件”。这种情况下，若想处理好分布式计算，我们必须重新思考安全和网络架构。

还有件事，数据中心和云环境内部的网络威胁，意味着安全控制必须置于离数据更近的地方，而不是设置在边界。我们得让网络攻击杀伤链更长更难以被坏人横渡。将开发工作负载弄成个放在同一个网段的高价值数据库，那基本上相当于坐等噩梦发生。

奥卡姆剃刀原理的精髓，就在于理解能减少网络入侵和攻击遍历的动作清单：计算层自适应分割。在应用或应用层间建立牢固的边界，可以使攻击者更难以操作或在数据中心环境中漫游，而且不用增加运营负担、流量导向，也没有枢纽点技术的开销。

更进一步，保卫动态计算的防御措施需要建立在数据中心自身深层。这些防御措施包括以下几个属性：

• 动态监测每台服务器和每个应用；
• 静音执行，无运营开销；
• 细粒度最小化攻击蔓延；
• 快速处理安全策略违规动作；
• 让计算可以参与自身防御。

最后一条十分关键。如果安全可以逐渐分发进计算层，作为自我防护的一种有效形式，我们就可以上演攻防大逆转了。想象一下，如果IT栈的每一个元素都具备安全感知能力，有自己的防火墙，自己的警报系统，那么创建一套免疫系统又有何难？免疫系统不能完全打败感染和疾病，但它们能让病菌更难以造成破坏。可以将安全方法想象成与免疫系统一样的运作方式。

这能帮你扭转局势。如果你的计算中心和云中有1万台计算实例——服务器、虚拟机、容器等等，你便拥有了1万个可见性执行节点可以用来对抗攻击的横向蔓延。这就像是宠物和牲口那个经典的比喻：当你拥有10台服务器，你会将它们当成宠物——任何时刻，你都能分清哪只是哪只，它们都在干啥，有没有受到什么损害。很简单，对吧？当你有了1万台服务器，它们在你心中的地位就直线下跌至牲口了，不时通过大门(枢纽点)放牧一下就好。即使有某只牲口大声叫唤，你也不会注意到的。

激活现有安全能力也比简单地添加新东西要有价值得多——新奥卡姆剃刀。