云中的安全性： 商业边界

当斯巴达人列奥尼达发现自己面临着保卫斯巴达、抵御实力强大得多且凶猛得多的波斯军队的挑战时，他特意选择了温泉关这个狭窄的通道来进行这一行动。 在斯特灵桥战役中，威廉华莱士和他的苏格兰军队利用桥梁狭窄的优势击败了英国军队。 当你被困在地牢中时，你站在门口，将那一百只僵尸的有效能力一次减少到只有两到三只。     

迫使攻击者穿越单一限制控制点的策略是一种古老的策略。 这实际上削弱了攻击者数量明显多于防御者的优势。

多年来，我们一直在技术领域运用这一策略。 它被称为防火墙。 它是一个战略控制点，通常是通向目标（应用程序和数据）的“门户”。 只要一切都在防火墙后面，并且这是攻击者可以访问其目标的唯一途径，这种方法就会非常有效。

然而，随着云计算的普及，攻击者可以通过更多的点来实现他们的目标。 每个应用程序都需要自己的保护范围。 他们需要自己的 DDoS 保护和自己的个人、私人 Web应用安全策略。 他们基本上需要和以前一样的保护，但现在他们需要的是其他地方的保护。 对于保护遍布互联网这个广阔战场的业务力量（即您的应用程序）而言，架构（而不是设备）同样重要。

有多种可用选项。 例如，您可以将每个应用程序的保护作为更大的“应用架构包”的一部分进行部署，无论它部署在何处。 这可能是在本地，在受云启发的环境中，也可能是在公共云中。 无论它在哪里，你都可以去到那里——你就可以在那儿部署保护措施，使用应用形成特定于应用程序的每个应用程序的边界，并提供与温泉关隘所提供的相同的战略控制。  这里的优点是应用程序安全性必然与应用程序一起打包。 它将零信任带入云端。 

另一种策略基于无服务器架构中的原则；采用云优先方法来集中安全性（在许多安全专业人员的愿望清单中仍然有很高的需求），同时又不牺牲简化的基于云的解决方案的优势。 也就是将防火墙提供的传统战略控制转移到云端，转变为“即服务”模式。 这种方法使组织能够集中应用程序安全，同时避免可能昂贵的模型，即数据中心继续托管“主要”安全服务并且所有流量都必须通过它。 解决这种低效率问题的最佳方法是将 DDoS 保护和应用程序防火墙等安全措施迁移到云端，因为云端的带宽、容量和访问权限均可广泛使用。 集中化和消除设备管理的优势十分显著。 

无论您选择了哪种方法（或计划选择哪种方法），都有一个严峻的现实：企业边界不再是业务边界。 随着各种云中应用程序数量的不断增加以及物联网的稳定但确定的增长，安全策略不仅必须开始考虑如何保护云中的应用程序，还必须开始考虑如何使用云来保护无处不在的应用程序。