博客

云安全严峻考验: 澳大利亚和新西兰

F5 缩略图
F5
2016 年 5 月 9 日发布

 

我刚刚结束了澳大利亚和新西兰 (ANZ) 的长途旅行,那里的一些令人兴奋的发展值得记录。 这两个国家都是岛国,达尔文在《物种起源》中指出,岛屿可以成为进化的熔炉。 澳大利亚正在发展一种利用云计算的新方法,新西兰正在发展一种新的政府安全服务效率模式。 这两个国家与世界其他国家有一个共同点:都面临着加密方面的挑战。

澳大利亚正在发展多云

在过去五年里,没有人比澳大利亚人更全面地接受云计算。 在大多数地区,金融服务行业通常是最后一个接触云计算的行业,但在澳大利亚却并非如此。 在澳大利亚,金融服务行业一直引领着云优先政策。 现在澳大利亚人也在积极推行多云战略。多云采用多个公共云;AWS、Google 和 Azure 是其中最大的三大云。 与简单的云优先策略相比,它有优势,但安全性不是其中之一。 

澳大利亚人认为采用多云架构有两个主要好处。 适应效用成本是第一位的。 不同的云提供商收取不同的费率,并且这些费率可能每天都在变化,甚至每小时都不同。 敏捷架构可以利用这些价格差异,将计算和存储负载转移到当前最便宜的计算和存储提供商。

其次,澳大利亚人热衷于避免单点故障;仅仅因为云是“别人的计算机”并不意味着它就能神奇地免受操作错误的影响。 例如,由于微软 Azure 公共云的一个 SSL 证书未经注意而过期,导致其遭遇全球性故障。 在中断期间仅使用 Azure 的客户将陷入困境。 但从理论上讲,采用多云策略的人会看到他们的业务流程在其他两个公共云中增加产量以进行补偿。

一位澳大利亚客户想要构建一个包含五个组件的应用,每个组件可以随时位于不同的公共云中。 组件可以从公共云转移到公共云,以利用公用事业定价或避免中断。

这里的难点在于当应用组件从一个云转移到另一个云时如何确保它们的安全。 任何从一个公共云传输到另一个公共云的流量,根据定义都是跨越互联网的,因此不应该被信任。 每个组件必须将其他组件视为不可信的。

新兴的云访问安全代理 (CASB) 行业正试图通过将每个组件包装在其自己的隧道中并为每个组件提供第 2 层隧道来解决这一问题。 这是一种有趣的方法,但事实上 CASB 提供商必须在公共云中构建虚拟云,这再次引入了单点故障:CASB 提供商本身。 

多云安全是一个很难解决的问题——澳大利亚人比世界其他国家更早地解决了这个问题。 

新西兰正在发展电信即服务 (TaaS)

新西兰的托管服务提供商和经销商正在联合起来组成一个 TaaS 联盟。 TaaS 是专门向主权政府机构销售设备和维护的新概念。 通过 TaaS,买家可以选择技术解决方案的组件(和供应商),但租用它们而不是拥有它们。 托管服务提供商还负责解决方案的管理和运营。 

TaaS 的驱动因素是新西兰政府分配资金方式的改变:资本支出几乎不可能获得批准,而运营支出却很容易获得批准。 因此,政府机构正在转向 TaaS 模式,在这种模式下,他们不拥有套件或管理服务,但仍可以选择解决方案。 据我所知,世界上其他任何地方都没有尝试过这种方法,所以我们很想看看效果如何。 计费模式听起来很复杂。 该联盟还准备在澳大利亚推出TaaS模式。

加密澳洲

尽管这两个国家都在开拓这些新领域,但它们确实与世界其他国家有一些共同之处:加密和安全方面的挑战。 几乎我访问过的每个组织都对 F5 的新 SSL 推荐实践 (SSL RP) 感到兴奋。 SSL RP 于去年年底发布,提供了一份详细而详尽的指南,帮助许多组织应对在“加密一切”过程中面临的加密挑战。

SSL 建议做法主题包括:

  • 如何从 Qualys SSL Labs 获得 A+。
  • 执行证书撤销的四种方法。
  • 镜像 SSL 数据以实现高可用性的三种方法。
  • 将 F5 配置为正向代理以支持 SSL 检查。
  • 组织何时应使用前向保密?
  • 通过严格的传输安全增强安全态势。

SSL 建议做法的 PDF 版本可从 F5.com 网站下载。

得益于关键的熔炉

澳大利亚和新西兰这两个岛国可以成为新技术的进化熔炉。 如果TaaS在新西兰取得成功并迁移到澳大利亚,它可能会发展到足以传播到世界其他地区。 解决多云结构中的问题可能比TaaS的开发需要更长的时间。 但如果澳大利亚人搞清楚如何平滑多云,那么很容易看到整个发达世界都会向它靠拢,以改善各地的服务。 但这需要一些时间。