现代应用一般由模块组件动态构成,采用容器化、微服务和工作负载 (Workload) 均衡技术,应用程序组件间的通信模式不断变化。因为采用了敏捷方法,应用开发是一个持续的过程,不断产生新的软件更新,也就增加了软件漏洞暴露的风险。
转向云端是大趋势。RightScale《2019云状态报告》显示,84%的受访者有多云策略,公共云成为首选,占比91%。
拥有多个数据中心,在数个远程地点放置服务器和计算资源,以及拥有一个或多个公共云及云提供商的情况如今并不鲜见。但随着应用程序和工作量都转移到云端,公司企业在获得灵活性、敏捷性和节本节约的同时,也面临着新的性能及安全挑战。
现代应用一般由模块组件动态构成,采用容器化、微服务和工作负载均衡技术,应用程序组件间的通信模式不断变化。因为采用了敏捷方法,应用开发是一个持续的过程,不断产生新的软件更新,也就增加了软件漏洞暴露的风险。
流量模式也在不断进化发展。今天的绝大多数数据中心流量都是横向铺开毫无分隔的。这些趋势引入了新的攻击方法,而且模糊了保护工作负载所需的可见性。
为应对挑战,公司企业应用了很多终端产品来保护不同的用例。比如说,他们可能会为应用发现、策略实施及微分隔、合规与审计、安全取证、仿真模拟、软件漏洞和过程行为等各自采用单独的防护工具。
国际数据公司 (IDC) 2018年平台解决方案调查发现,公司企业平均使用3或4个终端产品来解决工作负载完整性和防护问题,有些地区甚至用了5个或更多的工具。不过,与思科的2019年CISO基准研究相一致,IDC也发现,公司企业对更为全面和系统性的方法越来越感兴趣。事实上,72%的受访者表示,他们对基于平台的方法非常感兴趣,认为可以带来运行效率和成本节约上的最大收益,而且会有“网络效应”——平台的价值随着用例和用户数量的增加而倍增。
那么,如何开始采用整体方法来保护工作负载呢?如果你已经实现了分隔项目,或者开启了零信任之旅,你就已经抢得了先机。工作负载保护始于可见性。想要成功保护工作负载,你就要清楚自己的所有应用、应用执行的各种服务,以及各个应用和服务间的相互依赖关系。你还需要了解请求访问这些服务的用户和设备,以及他们所请求的访问权限,以便为每个应用创建细粒度的策略以放行所需访问并封禁所有不当请求。只有具备了这些信息,你才可以建立自身工作负载的正常行为基线,才能够快速识别异常及可疑行为。
以常见情形为例,服务交付或者应用性能上的暂时降低有很多原因。解决这些问题可能会耗去几个小时甚至几天的时间,并且卷入多个IT和安全团队。而罪魁祸首可能是错误的DNS配置、宕机的前端Web服务器、陷入循环的用户查询拖慢了整个环境、恶意行为,或者其他什么东西。有时候甚至根本找不出问题的根源,导致类似的问题可能再次发生。
若能对实时和历史应用连接、依赖关系和混合数据中心环境中的数据流拥有可见性,就能快速发现正在发生什么以及发生的原因,可以采取恰当的修正措施。若能识别出性能问题是由应用还是网络引起的,就可以更快地加以缓解,提升可用性及性能。持续自动清洁流量和检测异常的能力,可使用户能够快速检测恶意行为及恶意软件,实现主动缓解,比如在检测到漏洞时隔离服务,在发现策略违反情况时封锁通信。全生命周期方法与人工手动收集各终端解决方案信息不同,能够赋予用户横跨多个数据中心的可见性,以便随时随地保护任意工作负载。
衡量整体工作负载防护解决方案时,应该考虑以下三个方面。
1. 输入与遥测数据
该解决方案必须能够收集源自部署在现场和云环境中的传感器,以及第三方来源的遥测数据和其他上下文信息。信息来源可能包括负载均衡器、位置信息系统、IP地址管理(IPAM)、配置管理数据库(CMDB)和安全信息与事件管理(SIEM)系统。
2. 大数据分析
该解决方案必须能够使用非监督式机器学习和行为分析来分析数据,并能为未来的引用和持续分析存储大量数据和结果。
3. 数据访问
公司团队应能运用现有第三方工具和自主创建的应用来访问、搜索、查询和操作这些数据。
应用程序是数字业务的生命线,但在混合云环境中它们越来越难以防护。运用整体方法能够实现基础设施有效分隔,可通过进程行为偏差快速发现异常,并能经由已知漏洞与所装软件的关联来减小攻击界面和更快地采取缓解措施。
RightScale《2019云状态报告》:
相关阅读