每个应用程序的架构保护家庭和云端的应用程序
因为一颗老鼠屎不会毁掉一锅粥。
数据中心正在由数字化转型推动着发生变革。 云、容器和灾难性的漏洞迫使人们尽早关注变革。 大部分焦点放在持续交付和每个应用程序部署的影响上,这可能会对传统的部署计划造成严重破坏。 尝试协调传统和现代的时间表必定会导致即使是那些能够轻松解决约瑟夫斯式计数问题的数学家也举手投降并放弃尝试。
如果在持续部署方面对application服务和基础设施实施按应用架构方法的好处不足以让您朝这个方向努力,请考虑这样做还具有显著的安全优势。
如果您可以将数据中心及其安全边界想象成一个桶,然后在里面装满苹果(每个苹果代表您部署的数百个应用程序中的一个),您会注意到一个苹果会接触到许多其他苹果。 虽然不是全部,但有一部分是。 如果其中一个苹果坏了,它就会传染给那些接触它的苹果。 这些又接触其他的,这些又接触其他的,如此反复,直到整桶都烂了。
如果当一个苹果(应用程序)出现问题时,数据中心的进程也同样缓慢就好了。 但由于数字速度的提高,腐败通过网络蔓延到其他应用程序的速度比警示我们注意风险的谚语中的苹果传播的速度要快得多。
这是采用每个应用程序架构的最佳安全原因之一——即使您不(或不会)采用每个应用程序的部署计划。
每个应用程序的架构降低风险
采用每个应用程序的架构就像在将每个苹果扔进桶之前对其进行单独包装。 即使病毒变质了,它也会与接触的其他人隔离,从而防止他们也被感染。 虽然我们当然希望享受一个零风险的世界,但我们大多数人并不生活在充满彩虹和独角兽的土地上,并且认识到互联世界中总是存在风险,我们的目标是尽可能地将风险降至最低。
通过采用每个应用程序架构,我们可以将尽可能多的威胁限制在给定application自身的爆炸半径内,从而实现该目标。
数据中心中的每个应用程序方法都支持部署各种特定于应用程序的安全服务,旨在减轻来自机器人、凭证盗窃、撞库攻击、应用程序层 DDoS 攻击(如 GET、PUSH 和 POST 洪水)以及熟悉的 OWASP 十大漏洞的风险。
Alert Logic将此称为“应用程序级分段”,并指出它很快就会成为云端的最佳实践:
“我们在公共云安装中一次又一次看到的重要模式是基础设施的应用程序级细分。 我们所知的最佳云管理员倾向于将每个application细分到自己的 VPC(虚拟私有云)中,这大大降低了任何单一漏洞的破坏半径。 即使最小的 WordPress 或 Drupal 应用程序也有自己的 VPC,因此攻击者横向移动或发起能够迅速演变为整个企业灾难的攻击的机会就更少了。”
这种方法在数据中心同样有效,并且对于在发生成功入侵时保护应用程序免遭横向移动同样重要(甚至更为重要)。
具有讽刺意味的是,每个应用架构不仅要保护您部署的所有其他应用,还要保护任何单个应用。但采用这种方法会迫使人们专注于保护每个单独的应用,同时意识到这是一个潜在的入口点,并理解(内部的)每个其他应用都可能是攻击者。
对于可以在云(或多个云)中以及数据中心内部部署的云就绪application服务而言,每个应用程序的方法都可以更好地发挥作用。 application服务解决方案的标准化意味着策略平等,可确保组织在数字化转型过程中采用公共云时所需的一致安全性。
无论您是在云中(或多个云中)还是呆在数据中心,每个应用程序的架构都是一种双赢的安全方法,它可以在保护整个系统的同时降低单个应用程序的风险,并保持企业在数字经济中的竞争力。