本文讲的是安全奥卡姆剃刀原理:少即是多,“不是一天天的增加要求而是要一天天的减少,减去那些不必要的东西。”—— 李小龙
网络安全技术创新的快速发展,为解决我们计算环境中的漏洞问题提供了几乎取之不尽的新安全方法。但如果并非越多越好,那么又会是怎样一番情形呢?
在数据中心和公共云基础设施世界中,边界技术分层(有时也称为深度防御),是从外围防火墙到入侵检测系统/入侵防御系统(IDS/IPS),再到高级持续性威胁(APT)层层递进的,一波波的创新浪潮层出不穷。虽然这些都是防护数据中心边缘的重要基石,但越来越多的攻击却是由内部发出,而不是由外部攻入。人为错误、恶意软件、黑客,都让人意识到,更多的注意力应该放在数据中心内部而非外部。
看看下面这张图表,你能找到攻击服务器吗?边界安全技术会在数据中心内部找出端口扫描行为吗?
那么,我们应该在内部部署更多的防护技术,对吗?或许没那么简单。
过去十年总结出来的重要安全认知之一就是:加入更多的技术,尤其是在数据中心内部构筑更多的基础设施层级,实际上弊大于利。实际上,今年的RSA大会上那些企业的CISO们,普遍觉得陷入了新安全厂商的包围圈,像在被坏人威胁一样不舒服。
公司企业已经有了一大堆基础设施和安全技术要管理。像防火墙这样的基础设施技术会产生复杂的流量导向和“策略欠缺”。可以向大公司咨询一下他们的防火墙规则相关事务:有多少条?多久清理一次过时的规则/策略?对未知事物的感觉如何?相信我,这样的对话结果几乎不可能会令人愉悦。
如果一家公司已有25年历史,其基础设施就会有些像罗马城:建立在层层技术基础之上。
游览罗马,你能看到一个社会是怎样建筑在上一个社会基础之上的诸多例子。深入现代数据中心,多层技术同时存在的现象与之类似。
当前一个普遍的限制,就是虚拟化计算堆栈来更好地保护它(例如:从虚拟机管理程序获得隔离和安全)。在虚拟机上运行软件有着诸多现实好处,但重写和迁移服务器就总是好事吗?如果想从裸机迁移进容器并省略到虚拟化步骤又会怎样呢?在过去,应用必须适应基础设施——还记得WinTel吗?英特尔推出一款芯片,微软就得摸索出怎样才能最大化该芯片的能力。
今天,情况正好相反,安全和基础设施厂商不得不追着应用跑。对今天的唯基础设施安全解决方案而言,计算世界已经太过复杂,太过异构。交易处理、云端Web服务器虚拟机、开发公司容器等等,简直可以被称为裸机。这些环境下的安全该如何保证?
随着数据中心概念的发展变化(例如:亚马逊网络服务AWS、微软Azure、谷歌Compute),往数据中心里填塞更多基础设施的安全技术已经越来越不堪一击了。
现在这种时候,我们应该找寻发挥现有基础设施能力的方法,而不是不断地添加额外的层级,增加必须管理的复杂性。瓶颈点(包括虚拟设备)设置越多,需要管理的事也就越多,需要导向的流量自然更多。这又怎么可能帮得到已经不堪重负的基础设施和安全团队呢?
而如果可以激活数据中心和云环境中随处可见的现有安全控制,并将之与其他安全投入相结合,又会发生怎样的化学反应?通过利用起基础设施“不可见”的安全技术,可以减少,而不是增加,IT和安全的负担。
采用激活现有安全控制的安全技术而不是简单粗暴地添加新设备,符合奥卡姆剃刀原理——14世纪英国逻辑学家提出的“如无必要,勿增实体”原理。简单说来,少即是多。
.