徐皞
幾乎每個(gè)企業(yè)的數(shù)據(jù)中心都有大量的防火墻設(shè)備,但谷歌的數(shù)據(jù)中心例外。谷歌到底是如何擺脫傳統(tǒng)的防火墻,同時(shí)確保數(shù)據(jù)中心應(yīng)用的訪問(wèn)控制呢?
來(lái)自技術(shù)層面的答案是:谷歌將訪問(wèn)控制、認(rèn)證和授權(quán)放在應(yīng)用層實(shí)現(xiàn),而不是在傳統(tǒng)的網(wǎng)絡(luò)層實(shí)現(xiàn)。谷歌的方法使得訪問(wèn)控制不可改變、便攜和易于擴(kuò)展。
盡管有好處,但到底是在應(yīng)用層還是網(wǎng)絡(luò)層進(jìn)行安全控制的爭(zhēng)論由來(lái)已久。從歷史上看,企業(yè)數(shù)據(jù)中心選擇了“后思考”的網(wǎng)絡(luò)層安全模型,因?yàn)樵撃P秃苓m合傳統(tǒng)環(huán)境:大多數(shù)數(shù)據(jù)中心都在運(yùn)行標(biāo)準(zhǔn)套裝軟件,工作負(fù)載信任它們的內(nèi)部網(wǎng)絡(luò),并且職責(zé)分離。
總之,過(guò)去以應(yīng)用層為中心的模型并不適合企業(yè)。但許多情況正在發(fā)生改變,導(dǎo)致云原生應(yīng)用浪潮,改變企業(yè)數(shù)據(jù)中心負(fù)載的安全控制方法:
1.企業(yè)定制軟件將主宰未來(lái)數(shù)據(jù)中心:傳統(tǒng)上,企業(yè)數(shù)據(jù)中心部署了大量的套裝軟件,企業(yè)保護(hù)這類軟件的可行方法是從套裝軟件外面進(jìn)行保護(hù)。但企業(yè)正將傳統(tǒng)的套裝軟件轉(zhuǎn)為SaaS(軟件即服務(wù))的消費(fèi)模式,所以套裝軟件安全不再是一個(gè)內(nèi)部要求。相反,企業(yè)將主要依靠?jī)?nèi)部開(kāi)發(fā)的定制軟件來(lái)展現(xiàn)他們的業(yè)務(wù)價(jià)值。對(duì)于內(nèi)部定制的應(yīng)用,嵌入應(yīng)用層的安全控制將更為高效,因?yàn)槠髽I(yè)本身就擁有應(yīng)用的代碼和設(shè)計(jì);
2.內(nèi)部安全和邊界安全的重要性趨于一致:傳統(tǒng)的企業(yè)工作負(fù)載通常對(duì)內(nèi)部網(wǎng)絡(luò)有相當(dāng)程度的信任,不太需要對(duì)每個(gè)單一的工作負(fù)載都進(jìn)行訪問(wèn)控制,所以傳統(tǒng)的分區(qū)或微分區(qū)技術(shù),很好地滿足了這種用途。但谷歌的安全要求是基于“零信任”,它不認(rèn)為內(nèi)部網(wǎng)絡(luò)比公共互聯(lián)網(wǎng)更安全。很明顯,傳統(tǒng)的基于網(wǎng)絡(luò)的訪問(wèn)控制技術(shù),不能擴(kuò)展到谷歌這樣的規(guī)模,所以谷歌在過(guò)去十年內(nèi)必須帶頭采用基于應(yīng)用層的安全模式?,F(xiàn)在,企業(yè)也開(kāi)始關(guān)心內(nèi)部安全了。諸多原因之一就是,所謂的“內(nèi)部”可能現(xiàn)在已經(jīng)在公共或混合云上了,再也不是傳統(tǒng)上完全可控的“內(nèi)部”了。基于應(yīng)用的、嵌入式安全模型具有更好的擴(kuò)展性和可移植性,成為更適合今天企業(yè)應(yīng)用的新安全模型。
3.企業(yè)走向開(kāi)發(fā)自運(yùn)維:傳統(tǒng)上,開(kāi)發(fā)和運(yùn)營(yíng)之間責(zé)任分工不同,這使得開(kāi)發(fā)和運(yùn)維之間形成了自然的邊界,從而“后思考”的網(wǎng)絡(luò)層安全模型,很好地契合了這種傳統(tǒng)的工作流程。盡管開(kāi)發(fā)和運(yùn)維之間的有些責(zé)任分工依然存在,但開(kāi)發(fā)自運(yùn)維,推動(dòng)了開(kāi)發(fā)者參與安全控制。隨著Docker容器和微服務(wù)的日益流行,應(yīng)用在生命周期里的變化率急劇增加。應(yīng)用組件來(lái)來(lái)去去,規(guī)模不斷地變化?;诰W(wǎng)絡(luò)的“后思考”安全模型,根本無(wú)法跟上變化的步伐,反之基于應(yīng)用層的安全模型,則會(huì)顯得如魚(yú)得水。
“后思考”的網(wǎng)絡(luò)安全模型是今天網(wǎng)絡(luò)安全的現(xiàn)狀,這種安全模型很好地守護(hù)了過(guò)去二十年的網(wǎng)絡(luò)安全。隨著云原生應(yīng)用的出現(xiàn),云計(jì)算部署的加速,以及業(yè)界對(duì)開(kāi)發(fā)自運(yùn)維的采用,企業(yè)需要尋找和云原生更匹配的安全模式。從“后思考”到“嵌入式”的安全范式轉(zhuǎn)變,不會(huì)在一夜之間發(fā)生,但許多激動(dòng)人心的變化,正在今天的云安全行業(yè)里發(fā)生!