过去,企业架构是物理的、单一的,位于一个方便的地方,可以轻松管理并确保安全。
如今,情况发生了逆转。 数字化热潮迫使各组织以前所未有的速度发展。 采用敏捷方法和 DevOps 实践的组织已经能够实现其环境、应用堆栈和部署的现代化,将以前的单一应用分解为微服务架构,自动执行日常任务,采用 Kubernetes (k8s) 进行容器管理,并迁移到公共云以提供敏捷服务。
虽然这极大地提高了组织及其最终用户的便利性,但也带来了一些重大的安全问题。
在这种变化的速度下,安全性大多已经落后。 在许多情况下,DevOps 的实施和分发都没有考虑到安全投入,导致 IT 部门必须在问题发生时进行修补,而在一些重要的公共案例中,甚至必须在问题发生之后进行修补。
那么,最好的方法是什么,既能减轻安全技术的压力,又能防止违规行为,而且不会给用户带来不便呢?
在许多方面,分散到虚拟化环境时的安全需求让组织感到意外。 随着我们逐渐摆脱传统的集中式安全控制,我们现有的分布式控制实际上已经不够用了。
由于集中式环境是众所周知且可量化的,因此相对容易实现安全控制、操作、报告和警报的统一。 由于投资巨大、知识产权积累以及变更成本高,对所采用技术的变更很少发生。
支持多个新环境带来了一系列挑战和考虑,例如缺乏成熟度和能力、分散的云环境、混杂的技术、不明确的操作、可视性差、报告困难以及成熟度通常较低。
为了应对这些挑战,公共云供应商为我们提供了传输网关,这是所有往返于租户的流量经过的中央控制点。
在现代环境中,应用分布在云、租户和数据中心之间,将安全性置于单个应用程序内非常有意义。这可确保安全性是固有的,即:它不会被遗忘、删除或绕过。 这也意味着,安全性在需要时和需要的地方就已经到位,而在应用退役阶段就会被删除。
该模型还为安全性在所有生命周期阶段和所有环境中实现“左移”提供了机会。 这意味着在部署和运行时、或在预生产和生产过程中不会第一次遇到安全控制。
安全团队希望通过将安全带入组织,而不是将组织拖向安全,从而摆脱“无所作为的办公室”的局面。 我们认为,实现这一目标的最佳方式是允许 DevOps 团队以适合其需求的方式使用安全性。 这意味着从应用程序或程序启动时而不是之后就实现和使用安全性。
这被称为安全“左移”,意味着在开发生命周期的早期阶段实施安全控制,例如: 威胁建模、静态application安全测试、软件组成分析;并使后期安全控制在早期环境中可用,例如: Webapplication防火墙、动态application安全测试等纳入开发和测试环境。
当然,分布式安全往往会带来一系列挑战。 要实现分布式安全,传统上意味着您需要针对不同的环境采用不同的技术、堆栈和控制。 随着环境多样性的增加,这不会产生规模经济,而且支持每个新的不同环境和控制集变得越来越困难。
这也意味着不同环境中的安全性几乎不一致,这可能会导致问题。 可以说,最重要的是,每个环境也会有不同的警报、报告和日志记录,这使得管理或预测您的环境变得非常困难。
在理想世界中,安全性如何在具有多个用户、应用程序和云的分散环境中发挥作用?
答案是统一的堆栈,可以部署在任何需要的地方。 该堆栈外形小巧,适合现代环境,并支持快速部署和退役。 它还包括成熟、企业级的全面安全控制。
将会有一个中央控制点;通过单点定义一次策略并在全球范围内部署。 策略定义将是灵活的,并由网络、身份、安全和application定义。 中央控制点还将提供集中统一的可视性、日志记录和报告。
整个解决方案将 100% 由 API 驱动,真正允许开发、安全和运营团队协作以跟上业务步伐。
F5 可以帮助您实现这一愿景。 了解更多信息。