安全application程序架构原则可提高云弹性
随着越来越多的应用程序转移到云端,安全的应用架构比以往任何时候都更加重要。 了解三种云架构原则,帮助您在环境中培养安全的云弹性。
企业将其应用程序迁移到云端有很多好处,包括节省成本、加快部署、提高弹性和增强弹性。 了解到这一点,世界各地的企业都采用多云部署,作为其产品组合中众多且高度多样化的应用程序的最佳选择 - 这些应用程序通常包括全系列经典应用(MS Exchange,SAP 等)和定制的内部应用程序。
在云中部署应用程序时有很多重要的考虑因素,但其中最重要的两个是安全性和灵活性。 事实证明,这些考虑是密切相关的。 保护 Web应用的能力(尤其是当它们分散在多个云位置时)可以(实际上应该)从一开始就内置到您的架构中。 这样做可以确保您在所有应用中保持一致的安全策略,并可以帮助您的用户(员工、合作伙伴、客户或以上所有)享受无摩擦的体验。 这种一致性还创造了一定程度的运营灵活性和弹性,使得能够更容易地快速应对意外挑战或转变以利用新机遇。
正如 John Wagnon 在最近的Lightboard Lesson中指出的那样,云用户需要知道他们的职责实际上在哪里。 他说道:“一般来说,云运营商负责云的安全,用户负责云中的安全。” 不幸的是,这种概念并未解决许多安全问题。 为了保证应用程序的安全,您需要填补这些空白。
在制定确保组织应用程序安全性和弹性的计划时,应该首先考虑三种能力:一致性、控制力和敏捷性。 我们建议的方法与机场安检类似。 无需每家航空公司自行进行安全检查,旅客只需在合并的检查站接受检查,然后获准前往登机口。 同样,安全的云架构可以让所有流量通过统一的安全虚拟私有云 (VPC),然后再允许访问特定应用。就像登机口工作人员可以在登机前重新分配座位并检查旅客的机票一样,每个应用都可以获得额外的安全功能和能力。
在这种情况下,安全 VPC 可以负责许多关键且通常资源密集型的功能,包括负载均衡、WAF(和其他防火墙)、访问权限管理、凭证加密、SSL 检查、DDoS 和机器人防护、API 管理、性能管理等。
安全 VPC 中的服务可以轻松相互通信,从而带来额外的好处。 例如,当您的 WAF 拦截攻击时,它可以通知您的访问控制服务,以便它们也阻止攻击者。
跨安全 VPC 中的所有元素进行通信的能力可实现有效的多供应商检查,为部署检查工具(如 McAfee、FireEye、Palo Alto Networks 等)的组织消除摩擦点和冗余。 未加密的 SSL 检查流量可以传递给检查工具进行进一步检查。 这比要求每个工具解密、检查并重新加密相同的流量更有效。
将应用程序从代码带给客户的过程比以往任何时候都更加复杂。 您可以采取一些步骤来简化流程,同时确保所有环境和多云架构的安全。 首先为所有应用流量建立一个良好的入口点,并通过该点提供基线级别的安全性和流量管理。 从那里,您可以灵活地在应用级别定义额外的安全服务。 这种双阶段方法可提供可靠的安全性,同时保持一致性、控制力和灵活性。