“不是一天天的增加要求而是要一天天的減少,減去那些不必要的東西。”—— 李小龍
網絡安全技術創新的快速發展,為解決我們計算環境中的漏洞問題提供了幾乎取之不盡的新安全方法。但如果並非越多越好,那麼又會是怎樣一番情形呢?
在數據中心和公共雲基礎設施世界中,邊界技術分層(有時也稱為深度防禦),是從外圍防火牆到入侵檢測系統/入侵防禦系統(IDS/IPS),再到高級持續性威脅(APT)層層遞進的,一波波的創新浪潮層出不窮。雖然這些都是防護數據中心邊緣的重要基石,但越來越多的攻擊卻是由內部發出,而不是由外部攻入。人為錯誤、惡意軟件、黑客,都讓人意識到,更多的注意力應該放在數據中心內部而非外部。
看看下面這張圖表,你能找到攻擊服務器嗎?邊界安全技術會在數據中心內部找出端口掃描行為嗎?
端口掃描地圖
那麼,我們應該在內部部署更多的防護技術,對嗎?或許沒那麼簡單。
過去十年總結出來的重要安全認知之一就是:加入更多的技術,尤其是在數據中心內部構築更多的基礎設施層級,實際上弊大於利。實際上,今年的RSA大會上那些企業的CISO們,普遍覺得陷入了新安全廠商的包圍圈,像在被壞人威脅一樣不舒服。
公司企業已經有了一大堆基礎設施和安全技術要管理。像防火牆這樣的基礎設施技術會產生複雜的流量導向和“策略欠缺”。可以向大公司諮詢一下他們的防火牆規則相關事務:有多少條?多久清理一次過時的規則/策略?對未知事物的感覺如何?相信我,這樣的對話結果幾乎不可能會令人愉悅。
如果一家公司已有25年曆史,其基礎設施就會有些像羅馬城:建立在層層技術基礎之上。
基礎設施歷史
遊覽羅馬,你能看到一個社會是怎樣建築在上一個社會基礎之上的諸多例子。深入現代數據中心,多層技術同時存在的現象與之類似。
當前一個普遍的限制,就是虛擬化計算堆棧來更好地保護它(例如:從虛擬機管理程序獲得隔離和安全)。在虛擬機上運行軟件有著諸多現實好處,但重寫和遷移服務器就總是好事嗎?如果想從裸機遷移進容器並省略到虛擬化步驟又會怎樣呢?在過去,應用必須適應基礎設施——還記得WinTel嗎?英特爾推出一款芯片,微軟就得摸索出怎樣才能最大化該芯片的能力。
今天,情況正好相反,安全和基礎設施廠商不得不追著應用跑。對今天的唯基礎設施安全解決方案而言,計算世界已經太過複雜,太過異構。交易處理、雲端Web服務器虛擬機、開發公司容器等等,簡直可以被稱為裸機。這些環境下的安全該如何保證?
隨著數據中心概念的發展變化(例如:亞馬遜網絡服務AWS、微軟Azure、谷歌Compute),往數據中心裡填塞更多基礎設施的安全技術已經越來越不堪一擊了。
現在這種時候,我們應該找尋發揮現有基礎設施能力的方法,而不是不斷地添加額外的層級,增加必須管理的複雜性。瓶頸點(包括虛擬設備)設置越多,需要管理的事也就越多,需要導向的流量自然更多。這又怎麼可能幫得到已經不堪重負的基礎設施和安全團隊呢?
而如果可以激活數據中心和雲環境中隨處可見的現有安全控制,並將之與其他安全投入相結合,又會發生怎樣的化學反應?通過利用起基礎設施“不可見”的安全技術,可以減少,而不是增加,IT和安全的負擔。
採用激活現有安全控制的安全技術而不是簡單粗暴地添加新設備,符合奧卡姆剃刀原理——14世紀英國邏輯學家提出的“如無必要,勿增實體”原理。簡單說來,少即是多。
---
閱讀更多 安全牛 的文章
