博客

云中的一致安全性需要一致性

Lori MacVittie 缩略图
洛里·麦克维蒂
2019 年 4 月 11 日发布

在过去四年中,我们连续向全球受访者询问他们在迈向现代多云运营模式的过程中所面临的挑战。

在过去三年中,我们一直被告知最大的挑战是“所有应用的一致性安全性”。 现在,这一挑战的部分原因肯定在于组织在多云现实中运营的方式——意外地。 大多数开发商和业务部门都采用云计算来“解决传统 IT 的低效率问题”。 如今,多云是一个有意识的决定,主要由所部署的应用类型驱动

但在所有这些应用之间保持一致安全性的挑战依然存在。 其中一个罪魁祸首似乎是应用服务并不总是随着它们保护的应用而移动。 从我们的2019 年应用服务状况报告中,我们可以考虑以下几点:

本地和公共云应用服务部署之间的差异导致安全问题。 虽然总体上使用的应用服务平均数量为 14 个,但对于公共云部署来说,这一数量会下降一半。 这意味着组织正在公共云中部署应用程序,但它们并没有以相同的速率匹配应用服务部署。

虽然 66% 的受访者部署了 WAF,但只有 33% 的受访者表示他们在公共云中部署的生产应用中使用 WAF。 其他与安全相关的应用服务在公共云中的使用率也出现了同样的下降,这是令人不安的,因为如果没有强制执行安全策略的应用服务,几乎不可能实现安全策略的一致性。

近一半(48%)实施数字化转型计划的组织对难以为分布在多个云平台之间的应用实现一致的安全性感到困扰——而 45% 的组织表示,保护其应用程序免受现有和新出现的威胁是他们面临的最大挑战。

这里有三点需要注意。 首先,公有云中缺乏与其所要保护的应用相关的安全相关应用服务的部署。 这使得 45% 的受访者对保护应用程序免受现有和新兴威胁的能力的质疑的答案变得相当容易:从部署安全应用服务来保护这些应用程序开始。 虽然它们并非万无一失,但高级 Web应用防火墙、行为 DDoS 保护和机器人防御等现代应用服务可以大幅降低被新兴威胁打个措手不及的风险。 考虑到目前此类服务的部署速度,解决一致性安全挑战的一个好方法似乎是对所部署的应用服务保持一致,以保护每个环境中的应用程序。

安全应用服务部署率

第二点——也许不那么明显——一致性超越了应用服务。 毕竟,Web应用防火墙有很多,但它们的功能并不一定相同。 即使假设功能的一致性,尝试将 ON-PREM WAF A 中的策略转换为 OFF-PREM WAF B 可用的内容也是一项相当艰巨的任务。这就像是将一份用某人不懂的语言编写的“如何做”文档交给他。 因此,首先必须将其翻译出来,这需要时间,并且需要两种语言的专业知识。 因此,是的,如果您为该应用服务标准化单一提供商,那么在所有应用中一致地应用安全策略将更容易。 一项服务、一种语言、一项政策。

具有讽刺意味的是,排名第一的应用服务受访者表示不会部署没有安全性的应用,但深入研究部署细节后就会发现,这也许并不完全正确。 至少在云端,安全性似乎被推到一边,而这种情况并不常见。

最后——也是最不明显的——我们不要忽视跨多个云和数据中心手动管理应用服务的运营负担。 当物品分散在多个位置时,手动管理物品(即使是相同的物品)会更具挑战性。 将策略视为代码工件,并从自动化的角度考虑服务和相关策略的部署,可以减少可能发生的错误、失误和遗漏。 自动化和编排通过脚本和代码的本质实现一致性,因为脚本和代码能够一遍又一遍地复制相同的结果。 正如古希腊哲学家亚里士多德所说:“我们是由我们反复做的事情所决定的。 因此,卓越不是一种行为,而是一种习惯。” 因此,自动化和编排应该被视为追求多云一致性的重要习惯(实践)。

为了在多云世界中所有应用之间实现一致的安全性,需要一致性:

  1. 一致地部署保护和防御应用的应用服务
  2. 所有环境中应用服务功能的一致性
  3. 使用自动化和编排来促进应用服务和安全策略的快速、频繁和一致的部署

一致的安全性需要一致的行为、实践和工具。 通过结合这三者,组织可以养成保护应用以及依赖它们的企业和消费者的习惯,从而实现安全实践的一致性。