《应用基础架构安全性方案》由会员分享,可在线阅读,更多相关《应用基础架构安全性方案(9页珍藏版)》请在金锄头文库上搜索。
1、应用安全性 网络虚拟化和微分段如何保护您的应用基础架构 虚拟化的隐藏优势: CONNECT 白皮书 简介: 随 着 x86 服务器虚拟化在 2001 年的问世,数据中心发 生了彻底的改变,因为该技术提供了将计算工作负载聚 合到虚拟机上并跨物理服务器移动这些工作负载的方法,可 达到前所未有的硬件利用率水平,降低机房能耗,并实现其 他优势。 但是,虚拟化的优势并不局限于计算,它们还延伸到其他核 心基础架构领域,尤其是存储和网络连接。网络虚拟化也为 软件定义的网络实现微分段提供了机遇,这就带来了平台和 资源的灵活性,并使管理员可以根据容量需求的变化轻松地 自由迁移工作负载。 但是,网络虚拟化的核心品
2、质还提供了另一项隐藏优势:有 机会重新思考从数据库服务器到电子邮件和 Web 服务器等 应用基础架构保护的基本原则。而且,这个机会来得正是时 候:当前,旧的整体式应用以及对严格受限的受控平台的依 赖,正在被跨多个本地部署平台和云计算平台运行的分布式 微服务所取代。 应用基础架构安全性是网络虚拟化的隐藏王牌。 CONNECT 当今大部分公司都承认曾遭受过数据泄露(不承认这一点的公司 大多数是被误导了,或者是在撒谎)。数据泄露每天都在发生, 而且可能持续数年而没有被发现。这些泄露事件可能会造成财务 损失,更严重的还会损害企业声誉。尽管企业和政府持续加大投 入,并聘请了专业的首席信息安全官,但侵扰的
3、风浪丝毫没有停 止的意思。与此同时,法规也越来越严苛。将于 2018 年 5 月生 效的欧盟常规数据保护法规 (GDPR) 将影响在欧盟经营业务的 所有公司,对违规公司的罚款金额将提高到其全球收入的 4%, 可能会高达数十亿美元。 将 更多业务流程和活动移向数字空间已呈不可阻挡之势, 这改变了整个世界。初创企业将几乎无一例外地利用 Internet 和 IT 来创造低接触/零接触式环境,告别高成本而且 缓慢的手动操作,而大企业和老牌企业只有两种选择 - 要么做出 改变以适应新的世界,要么就此出局。 将物理产品转变成软件代码(例如,CD 变成 MP3、DVD 变 成数字流或书本变成音频下载)的这
4、一趋势使生产、分销、物 流等领域彻底改头换面。最大限度地降低对实体店铺的需求为 Amazon 和其他在线销售商大幅提升了运营效率。向数字化转 型的脚步似乎永不停歇,这也没什么奇怪的,这正应了 Marc Andreessen 写下的那句名言:软件正在吞噬世界。 我们所有人都目睹了 Uber 等公司如何通过数字化彻底改变了企 业分类。但是,这一剧烈变化的另一面是,随着流程、物品和服 务的价值提升,越来越多的攻击者想要干扰这些流程,窃取或破 坏其中的宝贵数据和知识产权。 安全性:根深蒂固的难题 CONNECT 饱 受威胁侵扰的组织已开始尝试加固防御,在保护其数字化资 产方面投入巨额前期资本。如今,信
5、息安全供应商的日子可 谓红红火火,丝毫没有衰退迹象,因为总是有新生意送上门来:从 勒索软件到工业间谍活动,再到国家资助的攻击,各种威胁与日俱 增,变幻莫测。根据测算方式的不同,当今的网络安全行业可能达 到 1200 亿美元的规模,增长速度甚至高于整个科技行业;与此同 时,最热门的初创企业和 IPO 中,很多都来自网络安全领域。正 如 Box 首席执行官 Aaron Levie 的推文所说的, “孩子们,如果你想在 5 年里找到工作,去学习计算机科学。如 果你想找一份永远不失业的工作,去学习计算机安全。” 如果将信息安全行业划分得更细一些,您会发现应用安全是增长 速度最快且规模可观的内部类别,其
6、规模可能在未来的五年内翻 三倍,因为组织都在寻求保护核心的业务软件,而攻击者都在尽 力搜寻漏洞,期待能从中窃取最珍贵的宝物 - 数据。 使安全隐忧进一步增加的,是向更分散化的基础架构发展的这一 趋势,因为自带设备方案、物联网的兴起、移动设备使用率的增 加、更趋向于联合化的多平台环境及其他一些转变,都势必为攻 击者创造更多攻击载体,让他们能够反复突破防御体系。 CONNECT 安全性:根深蒂固的难题 中 世纪的国王和领主构筑的城堡都会有要塞、坚固的城 墙、塔楼和护城河,由配备了弓箭和热油的士兵来守 卫,类似地,信息安全行业的应对措施一直以来也都以防 御边界为重心,通常借助防火墙和服务器设备进行入
7、侵检 测、阻止恶意软件和病毒、识别可疑行为以及进行其他形 式的威胁管理。但随着威胁的成倍增加、变形和融合,单 凭这种策略已经无济于事了。 如今,我们还需要其他补充性的方法来保护资产。尤其 是,由于边界漏洞百出,难以完全封堵,行业已逐渐转向 在应用基础架构级别上提供保护。而网络虚拟化软件就自 带了一种保护应用基础架构的方法。虚拟化 hypervisor 的 工作原理是创建一个位于应用和底层基础架构之间的抽象 层;利用此抽象层,可以创建一种新的防御形式,其有效 性远远高于以前所能达到的最高水平,并且成本更低,所 需的管理事务也更少。 网络虚拟化支持创建一种叫做微分段的更精细的安全防护 形式,它本身
8、已经融含了这种技术。在这种安全防护形式 中,网络活动分解为多个组件工作负载服务,并且,无论 工作负载位于或迁移到何种基础架构,安全措施都可以跟 随工作负载到处迁移。 遍布式软件层意味着安全防护无处不在 抽象艺术: CONNECT 再也不能只靠边界防御 可见性 服务注入 策略 上下文 遍布式 软件层 微分段具有多项优势: 由于可以隔离恶意软件、流氓代码、渗透、漏洞或威 胁,并且有效缩减了攻击面,因此缓解了风险。 由于不需要进行大费周章的采购或者用耗时的沙箱测 试来检查性能影响,因此调配安全服务的速度很快。非 但错误得以避免,组织还可以实现他们一直希望 IT 部 门提供的一项能力 - 快速响应市场
9、机会并应对风险。 微分段还加快了流量传输速度,因为它不需要旧的边 界防御模式中的数据绕道,亦即将数据导向位于网络边 缘的安全设备进行审查和批准。 合规性可以得到证明,具体步骤可以审核并记录在案。 最后,微分段没有任何“淘汰和更换”要求。现有安 全基础架构、网络路由器、交换机和设备可以与新的环 境并行存在。 微分段:庆祝的理由 CONNECT 最 终的结果是一个快速、轻型且有效的策略驱动型安全 模式。管理员可通过抽象层鸟瞰网络状况和潜在威 胁,该抽象层可以为种类繁多的供应商和工具所提供的其 他安全控制充当中介,包括用于静态数据加密。这种鸟瞰 不仅提供了可见性,还提供了上下文感知能力,从而阻止 已
10、穿透边界并进入数据中心的威胁横向移动。 此外,此方法还有一项好处,那就是比边界防御模式更柔 韧。通过使用抽象层在应用工作负载级别上提供保护,数据 不再传送到安全设备;这些设备位于网络边缘,且只能提供 网络活动的侧面视图。借助抽象层,可以有效了解整个网 络,上至应用,下至基础架构。无需创建回切线路让流量绕 一个“发夹式”的弯来适应基于设备的边界防御模式。 此外,这种方法还能适应向混合 IT 部署模式发展的现代需 求,例如将公有云连接到私有云,或者创建可供种类广泛 的端点设备访问的动态虚拟工作空间。 无论使用何种基础架构,无论 IT 部门使用本地部署环境、 私有云、公有云还是搭配使用其中的几种或全
11、部,抽象层 都可用于提供保护。 通过将安全防护迁移到应用工作负载,并支持全面、精细 地了解网络状况,组织将可以实现这样一种安全方案:可 提供强大的保护,但这一保护不需要以牺牲敏捷性为代 价,也不需要巨额预算或极其复杂的运维。工作负载获得 了属于自己的专有气泡式环境,并且无需不断地重新编写 规则,对性能的影响也很小,甚至毫无影响。工作负载服 务有效获得了属于自己的自动化、基于策略的安全封闭环 境,并实现近实时调配。 上下文感知能力与可见性同等重要。借助抽象层,可以对 数据流量的移动一览无遗,因此 IT 部门能够将安全保护 应用到最繁忙或最易受攻击的路径和访问点。此外,日志 收集器和基于 CIM
12、的信息数据库等点式解决方案所提供 的方法无异于大海捞针,可能使管理员淹没在大量数据 中,却对所有这些数据的真正意义浑然不知,而抽象层是 表明超越了这些方法的一个重要指标。 全景图 CONNECT 谁 应当寻求通过网络虚拟化来保护应用基础架构安 全?几乎所有企业。等待竞争对手或内部出现数据 泄露再采取行动是极不明智的。任何正在进行 IT 运维转 型的首席信息官,以及任何把全部精力都用在“灭火”上 的首席信息安全官,都应当考虑实施网络虚拟化。 利用抽象层的强大威力来保护企业免受攻击可能会成为一 个热门选项,它将可以补充传统的防御手段,而且可以提 供洞察力和可见性以证明合规性、提供深度审核并更深入
13、地了解威胁。和服务器虚拟化一样,网络虚拟化的早期采 用者势必率先受益并从同行中脱颖而出。相反,那些抱着 “从来没有人因为买了 此处插入您选择的大型安全供应 商 而被解雇”这种想法并坚持采用十多年前开发出来的 老方法的人将被远远甩在后面。 正如之前的服务器虚拟化一样,网络虚拟化将为 IT 部门 提供明确的好处,它所提供的有利条件将使首席信息官 有机会凭借新的优势地位来领导和推动创新。 若要更详细地了解网络虚拟化如何提供数据状况和潜在 威胁的全景图,请访问 继续阅读 总结:新的安全方法 CONNECT CONNECT VMware 是云计算基础架构和移动商务领域的全球领导者,致力于帮助客户加速实现
14、数字化转型。借助 VMware Cross-Cloud Architecture 和面向数据中心、移动化和安全性的各个解决方案,VMware 使企业 能够掌握软件定义的方法以促进业务部门和 IT 部门的发展。VMware 总部位于加利福尼亚州帕洛阿尔托市, 在全球范围内拥有超过 500,000 名客户和 75,000 个合作伙伴,2016 年营业收入达到 70.9 亿美元。 CONNECT IDG Connect 是全世界最大的科技媒体公司 International Data Group (IDG) 的需求挖掘部门, 创立于 2006 年。它利用接触 4,400 万商业决策者详细资料的机会,将来自世界上任何国家、肩负重要使命的科技 市场参与者联合起来。IDG Connect 致力于通过真正本地化的消息传递吸引不同的全球 IT 受众,还代表其客 户出版针对特定市场的领先理念文件,并为全球范围内的 B2B 市场参与者出具研究报告。
