今天的動態(tài)計算環(huán)境需要更靈活的和適應性強的安全解決方案；本文中將為您在這方面提供一些建議：

　　當前的信息安全已無法跟上企業(yè)的業(yè)務和IT發(fā)展速度早已不是什么秘密了。而盡管數(shù)據(jù)中心動態(tài)性的日益增加，以便適應應用程序的快速變化，以及跨私有和公共云的部署，數(shù)據(jù)中心的安全解決方案卻依然相對穩(wěn)定，其外圍的配套設備如防火墻或其他網(wǎng)絡瓶頸設備，一旦離開數(shù)據(jù)中心內(nèi)部就很容易受到攻擊。

　　此外，安全政策被諸如IP地址，端口，子網(wǎng)和區(qū)域等網(wǎng)絡參數(shù)所綁定。這樣就導致安全管理成為了高度手動且容易出錯，缺乏能見度，以及能夠隨著云的遷移或應用程序和環(huán)境的變化而進行相應調(diào)整的靈活性。故我們建議，企業(yè)應該考慮采取以下策略使自己的安全管理能更好的適應快速變化的計算環(huán)境的要求：

　　1、預估工作負載的變化，增加，和遷移

　　在許多企業(yè)，部署新的應用程序，改變現(xiàn)有的應用程序，或將應用程序遷移到云，需要其安全團隊花費相當大的努力。因為很多系統(tǒng)——包括從防火墻、VLAN的配置到云安全系統(tǒng)——都必須修改。企業(yè)需要圍繞應用程序的工作負載(包括其性質，環(huán)境和關系)建立安全管理和相關設置，而不是圍繞底層的基礎設施。這種自適應的安全策略能自動及時的根據(jù)應用程序的變化，包括諸如新的工作負載啟動(作為自動縮放操作的一部分)，應用遷移和環(huán)境的變化而調(diào)整安全策略。

　　2、審核您的應用程序的交互

　　企業(yè)對于其數(shù)據(jù)中心和公共云環(huán)境的應用程序工作負載之間東西走向的流量普遍缺乏可視性。他們需要對基于個別工作負載所構成的應用程序之間的流量的多層應用程序有一個圖形視圖。這種應用程序的拓撲視圖可以提供南北走向和東西走向的互動，靈活的工作負載全貌，并連接來自外部實體的未經(jīng)授權的請求。更好的情況是，如果應用拓撲圖是交互式的，安全團隊可以深入到具體的工作負載的細節(jié)，以及該工作負責與其他工作負載關系的細節(jié)。這可以幫助安全團隊基于應用程序需求設計一種準確的、且消息靈通的安全策略。

　　3、必須假定受到攻擊是不可避免的

　　很多時候，企業(yè)在投資了強大的外圍防御之后，就覺得自己可以高枕無憂的假定這些防御背后的工作負載是安全的了。然而，在過去相當長一段時期，大多數(shù)黑客攻擊所導致的數(shù)據(jù)泄露，均是由于黑客入侵了企業(yè)內(nèi)部的某一臺服務器而造成的。然后這些黑客就得以能夠長驅直入的進入企業(yè)數(shù)據(jù)中心，進而侵入到其他易受攻擊的系統(tǒng)里面，終于竊取到企業(yè)的敏感數(shù)據(jù)。企業(yè)在其自己的數(shù)據(jù)中心也需要相應的安全管理措施，以便能夠鎖定工作負載之間的相互作用，在允許正常通信路徑的同時，防止未經(jīng)授權的連接請求。

　　網(wǎng)絡攻擊很少是由于某一臺單一的服務器或單一終端所造成的。即使某個單一工作負載受到損害，數(shù)據(jù)中心的安全戰(zhàn)略應防止攻擊的橫向擴散，影響其它的系統(tǒng)。在這樣的攻擊面的減少也有助于系統(tǒng)的恢復，因為單個工作負載會從整個IT大環(huán)境完全隔離。

　　4、面向未來的應用程序的部署

　　企業(yè)的安全團隊往往擔心缺乏對于在云中部署的網(wǎng)絡的控制。大多數(shù)數(shù)據(jù)中心的安全策略對于網(wǎng)絡存在依賴，這意味著在私有數(shù)據(jù)中心的應用程序的安全較之在云中的應用程序的安全往往是非常不同的。這導致了不同的安全策略，需要進行測試和維護。企業(yè)必須在私有數(shù)據(jù)中心和公共云選擇一致的安全策略。畢竟，應用程序預期的行為和安全需求不會隨著其運行地方的變化而發(fā)生改變。

　　5、選擇獨立于基礎設施的安全技術

　　被設計專門用于特定的計算環(huán)境下的安全措施沒有考慮當前的計算環(huán)境的動態(tài)性，其中的虛擬服務器可以按需在任何地方啟動，應用程序亦可以根據(jù)需求隨意部署或改變。因此，開發(fā)出一套可以根據(jù)環(huán)境感知的，得以保護應用程序的工作負載，而不依賴于底層網(wǎng)絡或計算環(huán)境的安全政策是非常重要的。此外，由于數(shù)據(jù)中心混合運行著裸機服務器，虛擬服務器，甚至是包括Linux containers容器，安全措施可以為不可知的計算環(huán)境提供一致的安全策略，易于部署，易于維護，而且不容易出錯。

　　6、杜絕使用內(nèi)部防火墻和流量轉向

　　安全性依賴于流量通過關卡或周邊設備聯(lián)系安全政策到IP地址，端口，子網(wǎng)，VLAN，或安全區(qū)域的轉向。這導致在靜態(tài)安全模型中，每當某個應用程序發(fā)生變化或新的工作負載啟動時，均需要進行手動更改安全規(guī)則，從而也就導致了防火墻規(guī)則的暴露，增加了人為錯誤的機會。

　　安全措施可以使用工作負載的環(huán)境感知動態(tài)解耦安全從底層網(wǎng)絡參數(shù)適應，并允許發(fā)生變化，而不會影響安全策略。在一個環(huán)境感知系統(tǒng)，安全策略可以通過使用自然語言的語法，而不是IP地址來指定。此外，在個別工作負載執(zhí)行政策的水平能力為管理員提供了更精細的控制。

　　7、使用簡單，按需數(shù)據(jù)加密，以保護分布式、異構的應用程序之間的互動

　　在分布式計算環(huán)境中，應用程序的工作負載需要跨公共和私人網(wǎng)絡進行通信，因此，加密數(shù)據(jù)是必要的.iPSec連接可用于應用程序工作負載之間的通信加密。但是，盡管IPSec提供節(jié)點之間永久性的，與應用無關的加密連接，其也很難建立和維護。自適應的安全解決方案，可以提供IPsec驅動的策略，而無需額外的軟件或硬件。這使得安全管理員能夠在運行的應用程序工作負載之間按需設置數(shù)據(jù)的加密。

　　8、開發(fā)策略，以便讓安全措施與企業(yè)的研發(fā)運營實踐整合

　　企業(yè)的DevOps業(yè)務實踐的靈活敏捷性與IT運營相結合，能夠加快企業(yè)相關應用程序的推出和變化的步伐。不幸的是，靜態(tài)的安全架構妨礙了企業(yè)連續(xù)應用程序交付的潛在優(yōu)勢。自適應的安全架構則能夠提供自動化的業(yè)務流程工具的集成，并將安全政策的更改作為連續(xù)交付過程的一部分。這使得企業(yè)的安全團隊和DevOps團隊能夠從工作負載開始申請時就建立其相應的安全，并保持所有工作負載的安全直至該工作負載退役。

　　您企業(yè)的安全管理策略應該反映當前的基礎設施和應用程序的分布特性和動態(tài)性。參考并借鑒上述這些步驟以設計符合您企業(yè)的自適應的安全管理方法，可以提高你的安全狀況，并有助于讓安全政策的設計成為您企業(yè)業(yè)務發(fā)展的推動力量。

　　本文作者Chandra Sekar是Illumio公司的產(chǎn)品營銷高級總監(jiān)，Illumio公司是Illumio自適應安全平臺制造商.illumio ASP采用實時遙測工作負載，為每款在數(shù)據(jù)中心或在公共云中運行的工作負載編程制定安全策略，并在有任何變化發(fā)生時重新計算這些安全政策。