解密：“云”上的安全

作者：佚名 2016-07-13 15:20:55

云計算

云安全 如今，云安全成為云計算的一個核心問題，如何理解云上安全？如何做到云上安全呢？

成都創(chuàng)新互聯(lián)公司服務(wù)項目包括舞陽網(wǎng)站建設(shè)、舞陽網(wǎng)站制作、舞陽網(wǎng)頁制作以及舞陽網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，舞陽網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到舞陽省份的部分城市，未來相信會繼續(xù)擴大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

 　　安全是一個多層級的話題，包括物理、硬件、引導(dǎo)、存儲和其他方面。本文只探討數(shù)據(jù)中心工作負載的訪問控制。

　　幾乎所有企業(yè)數(shù)據(jù)中心里都有很多防火墻/VPN設(shè)備，但是Google的數(shù)據(jù)中心沒有。Google是如何做到不部署傳統(tǒng)的防火墻，還能對其數(shù)據(jù)中心應(yīng)用做到訪問控制的?

　　從技術(shù)方面得出的答案是Google將訪問控制、身份驗證和授權(quán)部署到應(yīng)用層，而不是在網(wǎng)絡(luò)層，Google通過這種方式有效的在應(yīng)用程序中進行訪問控制，而不是在網(wǎng)絡(luò)層去實現(xiàn)。

　　

　　Google的這種方式保證了訪問控制的穩(wěn)定性、可移植性、可伸縮性：app-to-app，service-to-service數(shù)據(jù)中心內(nèi)部訪問控制不再依賴于在正確的時間正確的地點的人類或者腳本。它是基于應(yīng)用程序身份的控制，而不是網(wǎng)絡(luò)代理的身份控制;也沒有更容易出錯的“after-thought”應(yīng)用人員和運維人員的協(xié)調(diào)。

　　盡管有眾多的好處，圍繞應(yīng)用級安全控制和網(wǎng)絡(luò)級安全控制依然存在著辯論。從行業(yè)發(fā)展史上看，企業(yè)數(shù)據(jù)中心選擇的是“after-thought”網(wǎng)絡(luò)級安全模型，因為它對傳統(tǒng)的環(huán)境有意義;大多數(shù)數(shù)據(jù)中心運行打包軟件，工作負載信任他們的內(nèi)部網(wǎng)絡(luò)，并且實現(xiàn)了有責任的分離。

　　盡管以應(yīng)用為中心的模式在過去不符合企業(yè)的需求，但是現(xiàn)在已經(jīng)有了相當程度的改變，云本地的應(yīng)用將改變企業(yè)數(shù)據(jù)中心安全工作負載的方式。

　　1、內(nèi)部自定義軟件將控制數(shù)據(jù)中心：傳統(tǒng)上，企業(yè)數(shù)據(jù)中心運行大量的打包軟件，企業(yè)可以采取實際的方式從包的外部軟件來保護這種類型的工作負載。但是，企業(yè)將傳統(tǒng)的打包軟件轉(zhuǎn)換成軟件即服務(wù)(SaaS)消費，因此安全打包軟件不再是內(nèi)部網(wǎng)絡(luò)的需求。企業(yè)將運行卓越的內(nèi)部開發(fā)定制軟件，對他們的業(yè)務(wù)進行差異化經(jīng)營。對應(yīng)用來說，“baked-in”安全是一個極其可行的方法，因為企業(yè)擁有這些應(yīng)用的代碼和設(shè)計。

　　2、內(nèi)部安全與周邊安全重要性等同：傳統(tǒng)的企業(yè)工作負載通常有一個信任的內(nèi)部網(wǎng)絡(luò)，不需要對單個的工作負載做訪問控制，因此傳統(tǒng)的營銷或微營銷技術(shù)更適應(yīng)應(yīng)用案例。Google的安全需求是基于“零信任”的，它不能保證內(nèi)部網(wǎng)絡(luò)比公共網(wǎng)絡(luò)更加安全，傳統(tǒng)的基于網(wǎng)絡(luò)的接入控制不能滿足這種規(guī)模的需求。但是企業(yè)開始在內(nèi)部安全和周邊安全上投注更多的心力：究其原因是“內(nèi)部”可能駐留在共有云或混合云上?；趹?yīng)用的“baked-in”模型將更可取，因為它具備高可擴展性和可移植性。

　　3、企業(yè)廣泛采用DevOps：傳統(tǒng)上，開發(fā)和運維之間的職責是分離的，這就劃清了開發(fā)與運維之間的界限，“after-thought”網(wǎng)絡(luò)安全模型實際上更適應(yīng)日常工作流程。盡管一些職責的分離會得到保留，DevOps將會促進開發(fā)人員參與安全保障。應(yīng)用程序生命周期的變化率急劇增加，在Docker和微服務(wù)中可見一斑?；诰W(wǎng)絡(luò)的“after-thought”的方法跟不上變化的腳步，基于應(yīng)用的安全就必須得到加強。

　　現(xiàn)在的網(wǎng)絡(luò)采用的是“after-thought”安全模型，并且在過去的二十年中為整個行業(yè)提供良好的服務(wù)。隨著云原生應(yīng)用的出現(xiàn)，云計算被廣泛采用，以及積極擁抱DevOps，企業(yè)將會尋求能與云計算原生波長相匹配的安全模式。從“after-thought”到“baked-in”的安全模式的轉(zhuǎn)變不會一夜之間就實現(xiàn)，它是一個量變引起質(zhì)變的過程，但是在云安全產(chǎn)業(yè)仍然有一些激動人心的變化。

當前名稱：解密：“云”上的安全
文章源于：http://www.dlmjj.cn/article/dpijgpg.html