當企業開始運行應用程序工作負載時,一切似乎都很簡單:企業運行測試數據,並且每個工作人員都可以看到,而且它在哪裡運行都無關緊要。在本地部署的數據中心或在雲端,它們都是一樣的。但是,一旦開始部署實際工作負載,使用真實數據和實際流程,就會發生一些變化:某些數據以及其中一些過程會很敏感。那麼企業應該如何決定將工作負載放在哪裡,一旦他們部署在那裡,企業應該如何保護它們?
如何為工作負載找到適合的場所?人們總是聽到企業IT領導者提出這樣的問題。以下通過詢問五個相關的問題來回答這個問題,這些問題將幫助企業選擇工作負載的適合場所:
•什麼是敏感數據和敏感過程?
•誰應該訪問,誰不應該?
•我可以信任誰,為什麼?
•什麼位置適合?
•如何控制工作量安置?
1.什麼是敏感數據和敏感過程?
這個問題可能需要長篇大論進行闡述。閱讀敏感數據需要重新考慮企業的定義的時間。但是如果沒有時間閱讀這些觀點,那麼簡而言之,幾乎所有的數據都有可能是敏感的,這取決於應用場景。一旦確定了需要保護的數據以及需要保護的屬性,無論是保密性、完整性、可用性、正確性還是其他屬性,那麼現在是花費一些時間思考如何保護它的時候了。
2.誰應該訪問,誰不應該訪問?
在研究什麼樣的數據和過程是敏感的時候,人們不會做的一件事就是了解它們在哪些情況下是敏感的。這會提供一些關於什麼樣的人應該有權訪問的指標。人們應該意識到,這些人經常會隨著時間的推移而變化:假設某人得到提升,並且現在可以訪問新數據,或者企業結果發佈後,其保密的財務數據就會公開化。
解決這一系列變化的標準方法是標記數據並賦予不同的角色,這些角色在移動角色時可能會發生變化:限制哪些角色應該訪問哪些數據是非常簡單的。這通常稱為RBAC(基於角色的訪問控制)。在某些場景下,這些是不夠的,因此可以使用數據或人員的其他屬性,從而導致採用ABAC(基於屬性的訪問控制)等替代方案。
也許人們會注意到,這裡將上述指標從“數據和過程”改為“數據”。那是因為過程可能會很尷尬。過程可以經常改變他們的敏感度,有時會出乎意料地或惡意地改變他們的敏感度?那麼,也可能企業的數據現在被勒索軟件劫持,目前正在後臺加密其硬盤驅動器。
過程通常很難用與數據完全相同的方式來描述,因此,一個很好的經驗法則是根據在出現問題時可能發生的最壞情況來限制它們。
3.我可以信任誰,為什麼?
這個問題的答案是“沒有人”,即使人們意識到這是不現實的。簡單的說,如何信任別人取決於場景。
就數據而言,正如上面所描述的,在考慮信任時,背景是王道。例如,人們相信魚販會了解和管理會計事務嗎?你會相信會計師會去賣魚嗎?對於操作和管理系統的人也是如此:人們會認為他們各自做不同的事情。
具體來說,這裡正在討論的是兩套系統:人們運行的工作負載以及它們運行的主機。你可能已經有了控制措施來確保只有自己的財務和人力資源團隊才可以訪問的工資核算工作負載,但工資核算工作負載所運行的主機呢?
人們並不總是能夠意識到這一點,但當工作負載在主機上運行時,在容器中或在虛擬機中,任何人或者任何具有對該機器的管理訪問權限的進程,都能完全控制該工作負載。這不僅可以阻止它運行:人們可以查看它,甚至可以更改它包含的數據。這是令人震驚的,因為對於工資核算工作負載範例而言,這意味著人們不僅需要信任財務和人力資源團隊的數據,任何管理人員還有權訪問運行工作負載的主機。
當然,企業還需要確保主機本身具有足夠的安全性,因為如果攻擊者設法進入其中一個主機,那麼就能夠控制敏感的工作負載。
企業管理人員需要相信員工,但也需要確保主機本身的管理良好,並將這兩方面結合,那麼人們需要開始思考可能會將工作負載放在哪裡。
4.什麼位置適合?
企業顯然希望將工作負載放在安全的地方。或者更確切地說,企業可以在何處應用相對於其所包含的數據和流程敏感性的適當措施。這並不總是意味著採用最高級別的安全性或最昂貴的解決方案,但表明企業需要決定哪些工作量應該放在哪裡。
企業的管理人員會說,“我們不能信任公共雲,因為它不是我們的員工運行系統”。但公共雲可能是企業運行工作負載的很好選擇。成本和易用性的平衡可能勝過許多低靈敏度工作負載的安全問題,這就是為什麼混合雲對許多組織來說是如此引人注目的原因。
企業真的需要最高級別的安全性,還是最昂貴的解決方案?
另外,正如以上所提到的,主機本身管理良好至關重要。雲計算服務提供商在其基礎設施上花費大量資金,為主機提供多級管理和運營專業知識,許多企業可能無法將其擴展到整個計算機產業。
有一系列要求,從安全保障嚴密的基礎設施到商品公共雲。諸如“只有經過授權的,經過安全檢查的工作人員才能管理的機器池”等選項位於這二者之間的某處。
企業需要根據風險、成本、可用性,以及組織中可能適用的其他因素來確定適用於每種類型的工作負載。
5.如何控制工作量的安置?
在決定了哪些工作負載應該允許在哪些主機上運行後,如何確保所有工作都能正常工作?企業可以採用什麼措施提高各種主機的安全級別?將可用控件分類的一種方法是將它們分成三種類型:
·合同或行政控制:這些方法包括數據隱私協議、員工背景調查、ISO 9001,以及類似方法,這些方法可讓管理人員對組織內部或內部雲組織進行控制,以及如何控制主機運行他們的過程。具體哪些方法適用將取決於許多因素,但這些始終是一個很好的考慮起點。然而,它們本身並不足夠。
· 架構控制:這些方法允許管理人員執行有關應將哪些工作負載託管在何處的放置策略。它們包括調度和放置算法(通過編排平臺,如Kubernetes或OpenShift)、API控制、虛擬網絡、存儲規則、身份驗證機制等機制。綜合起來,這兩個選項允許管理人員指定哪些主機集可以放置不同類型的工作負載,然後驗證並監控這些規則是否已經遵循。
這些是當今大多數組織可用的最具表現力和多功能的工具,可讓企業跨越混合雲部署跨越各種工作負載。
·技術控制:有幾種機制可以讓企業在不完全信任的主機上運行工作負載,並確保不會被篡改。
第一個也是最為人所知的是HSM(硬件安全模塊),但部署這些模塊代價高昂,不能很好地擴展並且很難編程,特別是對於通用工作負載來說。第二種是FPGA(現場可編程門陣列,這是位於主機主板上的芯片),但編程昂貴,並且像HSM(硬件安全模塊)一樣僅適用於某些工作負載類型。第三個TEE(可信執行環境)提供了一種新的方法,芯片生產商在高端商品硬件上的發展很有前景,一旦它們變得可用,就可以提供一種方法來隱藏主機上管理員執行的工作負載。現在,對於大多數組織來說,這些都是未來的事情。
與此同時,大多數組織將依靠前兩種機制控制來管理工作負載的安置。
完善地點和原因
並非所有的工作負載都是平等的,因為所有的主機都不一樣。管理人員需要了解數據和進程的敏感度,考慮適當的工作負載放置,允許在它們應該運行的地方創建策略,然後控制、驗證和監視這些策略是否正確應用。對於敏感的工作負載技術控制的未來機會看起來很有必要,但對企業的工作負載需求和現有工具和機制應用的良好分析,已經使人們能夠很好地控制在哪裡運行以及為什麼這麼做。
閱讀更多 企業網D1Net 的文章
