盡管Kubernetes是當(dāng)今應(yīng)用程序平臺的標(biāo)準(zhǔn),但每個(gè)云計(jì)算服務(wù)提供商都有不同的IaaS或PaaS產(chǎn)品,并具有不同的功能和API。這些API不僅不兼容(Kubernetes除外),而且每個(gè)基礎(chǔ)設(shè)施和平臺都在孤島中進(jìn)行處理和管理。這些孤島充當(dāng)隔離且不重疊的管理邊界,阻止了微服務(wù)之間的跨邊界可見性和信任。這使得企業(yè)更難以跨云平臺了解并持續(xù)修復(fù)其安全漏洞,從而使它們?nèi)菀资艿骄W(wǎng)絡(luò)攻擊。
為了解決這個(gè)問題,很多企業(yè)正在將企業(yè)安全控制擴(kuò)展到云計(jì)算環(huán)境。問題在于,應(yīng)用程序團(tuán)隊(duì)和安全團(tuán)隊(duì)傳統(tǒng)上具有相互競爭的目標(biāo)——敏捷性與風(fēng)險(xiǎn)和控制,并且安全運(yùn)營的發(fā)展速度與應(yīng)用程序運(yùn)營不同。這會讓兩個(gè)團(tuán)隊(duì)之間產(chǎn)生矛盾,并迫使應(yīng)用程序運(yùn)營團(tuán)隊(duì)做出選擇:
(1)減慢應(yīng)用程序交付和運(yùn)營速度以降低風(fēng)險(xiǎn)。
(2)在不考慮安全性和合規(guī)性的情況下,繼續(xù)盡快開發(fā)和交付應(yīng)用程序。
這兩種做法都不是理想的選擇。為了釋放在多平臺和多云環(huán)境中運(yùn)行的現(xiàn)代應(yīng)用程序的潛力,需要找到一種方法,以用戶期望的速度在整個(gè)軟件交付生命周期中無縫集成安全性。
將零信任集成到應(yīng)用程序交付周期中
在多云世界中保護(hù)應(yīng)用程序的關(guān)鍵是零信任。將零信任原則直接構(gòu)建到現(xiàn)代應(yīng)用程序中,使企業(yè)能夠及早識別威脅、減少攻擊面,并將安全功能與應(yīng)用程序堆棧的其余部分一起交付,而無論底層應(yīng)用程序平臺和云堆棧如何。
在這個(gè)用例中,零信任的關(guān)鍵組件之一是應(yīng)用程序分段。換句話說,如何在不同應(yīng)用程序或應(yīng)用程序組件之間做出訪問決策。零信任必須以通過可擴(kuò)展模型提高應(yīng)用程序訪問的靈活性和敏捷性的方式,從任何用戶或應(yīng)用程序提供對任何應(yīng)用程序的身份感知、自適應(yīng)和按需訪問。
應(yīng)用程序細(xì)分必須提供給應(yīng)用程序運(yùn)營團(tuán)隊(duì),以便他們可以將其作為另一個(gè)門戶嵌入到應(yīng)用程序的質(zhì)量流程中。應(yīng)用程序運(yùn)營團(tuán)隊(duì)可以通過實(shí)施應(yīng)用程序分段策略來實(shí)現(xiàn)這一點(diǎn),這些策略可識別通過豐富的動態(tài)屬性創(chuàng)建的工作負(fù)載。識別的內(nèi)在/靜態(tài)屬性(IP、數(shù)字證書、命名空間、標(biāo)簽等)和外在/動態(tài)屬性(用戶行為、工作負(fù)載行為、網(wǎng)絡(luò)行為等)越多,訪問決策的粒度就越細(xì)。
令人難以置信的是,如今的應(yīng)用程序分段仍然是人工完成的。但是,隨著多個(gè)云平臺環(huán)境中發(fā)生數(shù)以百萬計(jì)的交易,個(gè)人甚至團(tuán)隊(duì)無法為每個(gè)工作負(fù)載實(shí)施人工分配策略。企業(yè)需要一種以可擴(kuò)展、透明、自動的方式提供零信任應(yīng)用程序分段的方法。
連接和安全平臺
實(shí)現(xiàn)這一點(diǎn)的方法是使用現(xiàn)代應(yīng)用程序連接和安全平臺。通過服務(wù)網(wǎng)格,基于屬性的訪問控制模型整合了多個(gè)第三方工具,這些工具可以跨應(yīng)用程序平臺和多云環(huán)境提供可見性和安全性。這種單一視圖操作模型使應(yīng)用程序團(tuán)隊(duì)能夠在多云環(huán)境中自動、大規(guī)模地?zé)o縫、簡單地編排安全服務(wù)。
然而,通過微分段進(jìn)行細(xì)粒度策略管理會增加復(fù)雜性,這會影響安全性。突然之間,企業(yè)可能會發(fā)現(xiàn)自己擁有數(shù)以千計(jì)的策略,這些策略規(guī)定了不同的工作負(fù)載如何訪問網(wǎng)絡(luò)內(nèi)的實(shí)體并與之交互。并且這些策略需要不斷更新和維護(hù),這給應(yīng)用程序和安全團(tuán)隊(duì)帶來了巨大的麻煩。
在部署工作負(fù)載時(shí),將隨工作負(fù)載一起創(chuàng)建關(guān)聯(lián)的策略,并隨工作負(fù)載在運(yùn)營環(huán)境中遷移,直到工作負(fù)載達(dá)到其生命周期結(jié)束并退役。隨著應(yīng)用程序隨著時(shí)間的推移運(yùn)行,它們的特征在于其獨(dú)特的行為。這種安全特性允許自動選擇策略并將其直接應(yīng)用于工作負(fù)載。
但是,要使服務(wù)網(wǎng)格在多云環(huán)境中工作并啟用安全應(yīng)用程序,它需要遵循零信任原則,既不會增加復(fù)雜性,也不會減緩敏捷交付周期。企業(yè)應(yīng)該做到以下這些:
(1)基線信任:現(xiàn)代應(yīng)用程序連接和安全平臺應(yīng)該具有原生的可觀察性和自我發(fā)現(xiàn)能力,例如能夠自動發(fā)現(xiàn)API、編目API和基于OpenAPI標(biāo)準(zhǔn)生成API文檔。現(xiàn)代應(yīng)用程序連接和安全平臺應(yīng)該能夠持續(xù)對應(yīng)用程序行為建立基線,并檢測異常應(yīng)用程序行為。這需要警惕未知和零日攻擊,尤其是敏感數(shù)據(jù)的泄露。
(2)建立信任:立即定義應(yīng)用程序不同部分的互連需求至關(guān)重要。這種明確的意圖聲明通常由應(yīng)用程序團(tuán)隊(duì)在作為持續(xù)集成(CI)/持續(xù)交付(CD)管道的一部分部署應(yīng)用程序期間通過人工完成。另一種選擇是在應(yīng)用程序的測試階段自動發(fā)現(xiàn)連接意圖,并允許服務(wù)網(wǎng)格識別和記錄微服務(wù)API之間產(chǎn)生的通信流。這些是應(yīng)用程序分段策略的??基礎(chǔ)。
(3)加強(qiáng)信任:還必須有一種機(jī)制來自動應(yīng)用適當(dāng)?shù)膽?yīng)用程序分段策略,以實(shí)現(xiàn)應(yīng)用程序按預(yù)期運(yùn)行所需的通信。在微服務(wù)模型中,應(yīng)用程序的不同部分動態(tài)啟動和關(guān)閉,以使應(yīng)用程序能夠按預(yù)期運(yùn)行。管理可訪問性的應(yīng)用程序分段策略也必須適應(yīng)這些變化,這一點(diǎn)至關(guān)重要。這是通過與應(yīng)用程序平臺交互以收集工作負(fù)載清單的服務(wù)網(wǎng)格控制平臺來完成的。
(4)動態(tài)調(diào)整信任度:隨著應(yīng)用程序的運(yùn)行以及客戶端與它們的交互,它們的特征在這種情況下是一種安全行為。觀察這種行為可以通過企業(yè)現(xiàn)有的各種分析工具來完成,這些工具檢測進(jìn)程、容器、網(wǎng)絡(luò)和用戶行為以提供安全場景。但是,為了保持信任,需要有一種方法通過服務(wù)網(wǎng)格集成這些工具,以創(chuàng)建單一的真相來源。
(5)將信任模型擴(kuò)展到邊緣:應(yīng)用程序還與SaaS平臺(例如Salesforce或SAP)以及數(shù)據(jù)中心之外的其他應(yīng)用程序進(jìn)行交互。在理想情況下,服務(wù)網(wǎng)格/零信任應(yīng)用程序分段模型可以與云中的其他安全解決方案集成,例如安全訪問服務(wù)邊緣(SASE)、安全Web網(wǎng)關(guān)(SWG)、云訪問安全代理(CASB)和其他零信任安全組件。這使跨數(shù)據(jù)中心、多個(gè)云服務(wù)提供商、SaaS平臺和web應(yīng)用程序建立信任的流程實(shí)現(xiàn)標(biāo)準(zhǔn)化,確保企業(yè)的一致安全性和合規(guī)性。
現(xiàn)代應(yīng)用程序正在通過實(shí)現(xiàn)敏捷性和實(shí)時(shí)決策來改變業(yè)務(wù)的運(yùn)作方式,但除非應(yīng)用程序團(tuán)隊(duì)與安全團(tuán)隊(duì)合作以保護(hù)多云環(huán)境中的用戶、數(shù)據(jù)和應(yīng)用程序,否則它們永遠(yuǎn)不會充分發(fā)揮其潛力。很明顯,企業(yè)需要一個(gè)演進(jìn)的安全模型,應(yīng)用程序團(tuán)隊(duì)可以使用該模型跨多云、多平臺環(huán)境無縫建立信任和協(xié)調(diào)應(yīng)用程序的分段。服務(wù)網(wǎng)格可以提供建立和持續(xù)評估信任所需的可見性和控制。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。