安全奥卡姆剃刀原理:少即是多

本文讲的是安全奥卡姆剃刀原理:少即是多,“不是一天天的增加要求而是要一天天的减少,减去那些不必要的东西。”—— 李小龙
网络安全技术创新的快速发展,为解决我们计算环境中的漏洞问题提供了几乎取之不尽的新安全方法。但如果并非越多越好,那么又会是怎样一番情形呢?

在数据中心和公共云基础设施世界中,边界技术分层(有时也称为深度防御),是从外围防火墙到入侵检测系统/入侵防御系统(IDS/IPS),再到高级持续性威胁(APT)层层递进的,一波波的创新浪潮层出不穷。虽然这些都是防护数据中心边缘的重要基石,但越来越多的攻击却是由内部发出,而不是由外部攻入。人为错误、恶意软件、黑客,都让人意识到,更多的注意力应该放在数据中心内部而非外部。

看看下面这张图表,你能找到攻击服务器吗?边界安全技术会在数据中心内部找出端口扫描行为吗?

那么,我们应该在内部部署更多的防护技术,对吗?或许没那么简单。

过去十年总结出来的重要安全认知之一就是:加入更多的技术,尤其是在数据中心内部构筑更多的基础设施层级,实际上弊大于利。实际上,今年的RSA大会上那些企业的CISO们,普遍觉得陷入了新安全厂商的包围圈,像在被坏人威胁一样不舒服。

公司企业已经有了一大堆基础设施和安全技术要管理。像防火墙这样的基础设施技术会产生复杂的流量导向和“策略欠缺”。可以向大公司咨询一下他们的防火墙规则相关事务:有多少条?多久清理一次过时的规则/策略?对未知事物的感觉如何?相信我,这样的对话结果几乎不可能会令人愉悦。

如果一家公司已有25年历史,其基础设施就会有些像罗马城:建立在层层技术基础之上。

游览罗马,你能看到一个社会是怎样建筑在上一个社会基础之上的诸多例子。深入现代数据中心,多层技术同时存在的现象与之类似。

当前一个普遍的限制,就是虚拟化计算堆栈来更好地保护它(例如:从虚拟机管理程序获得隔离和安全)。在虚拟机上运行软件有着诸多现实好处,但重写和迁移服务器就总是好事吗?如果想从裸机迁移进容器并省略到虚拟化步骤又会怎样呢?在过去,应用必须适应基础设施——还记得WinTel吗?英特尔推出一款芯片,微软就得摸索出怎样才能最大化该芯片的能力。

今天,情况正好相反,安全和基础设施厂商不得不追着应用跑。对今天的唯基础设施安全解决方案而言,计算世界已经太过复杂,太过异构。交易处理、云端Web服务器虚拟机、开发公司容器等等,简直可以被称为裸机。这些环境下的安全该如何保证?

随着数据中心概念的发展变化(例如:亚马逊网络服务AWS、微软Azure、谷歌Compute),往数据中心里填塞更多基础设施的安全技术已经越来越不堪一击了。

现在这种时候,我们应该找寻发挥现有基础设施能力的方法,而不是不断地添加额外的层级,增加必须管理的复杂性。瓶颈点(包括虚拟设备)设置越多,需要管理的事也就越多,需要导向的流量自然更多。这又怎么可能帮得到已经不堪重负的基础设施和安全团队呢?

而如果可以激活数据中心和云环境中随处可见的现有安全控制,并将之与其他安全投入相结合,又会发生怎样的化学反应?通过利用起基础设施“不可见”的安全技术,可以减少,而不是增加,IT和安全的负担。

采用激活现有安全控制的安全技术而不是简单粗暴地添加新设备,符合奥卡姆剃刀原理——14世纪英国逻辑学家提出的“如无必要,勿增实体”原理。简单说来,少即是多。

.

时间: 2024-10-04 19:43:15

安全奥卡姆剃刀原理:少即是多的相关文章

刘秀建议企业建站需牢记“奥卡姆剃刀定律”

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 当下网络营销风生水起,很多企业都开始对网络营销跃跃欲试,但在网络营销中栽了跟头的也不在少数,不少企业花费巨资投入到建站建设和网络推广(SEO优化)项目中去,到最后结果是黯然收场.刘秀在从事网络营销服务行业多年从业经历中,见到这样案例数不胜数,究其原因,都是因为企业忘记了一个经典而深刻的定律-奥卡姆剃刀定律,"如无必要勿增实体&quo

自建渠道模式的“奥卡姆剃刀”

近期以来,沪深股市呈现出全民性亢奋.与之相随的,则是企业界营销From EMKT.com.cn渠道方面呈现出一片"锣鼓喧天"的景象:继娃哈哈宗庆后以渠道为筹码与达能展开一场"民族品牌保卫战"之后,"五一"期间家电大卖场着了魔似地竞开旗舰店:百丽鞋业成功登陆香港股市,取代"美苏"成为国内最大零售商:戴尔电脑破天荒地从单一直销模式向专卖店模式同步展开:美的.创维.格兰仕.格力等家电企业则纷纷开设专卖店.如此等等,不一而足. 如果说

奥姆卡剃刀原理

如果一个功能的实现是复杂的(complex).难懂的(convoluted).臃肿的(bloated),那么即使它能够运行,也是实现得不对. 这段话是一段随记,个人认为可以用来感性解释奥姆卡剃刀原理.

交互设计的7大原理:学会如何做“减法”!

  NO.1 菲茨定律 它由保罗.菲茨在1954年首先提出,具体内容为:从一个起始位置移动到一个最终目标所需的时间由两个参数来决定,到目标的距离和目标的大小,用数学公式表达为时间 : T = a + b log2(D/W+1) 其中:T代表完成移动所需的平均时间,a代表光标开始/停止时间,b代表光标的移动速度,D代表从起点到目标中心的距离,W代表目标的宽度. 总而言之:目标越大,指向越快,时间越短.同样地,目标越近,指向越快,时间越短.也就是说,定位一个目标的时间,取决于目标与当前位置的距离,以

《中国人工智能学会通讯》——第9章 9.1 误差建模原理

第9章 9.1 误差建模原理 著名机器学习专家,卡内基梅隆大学的 TomMitchell 教授曾经用三个要素定义了机器学习的基本概念1[1] --基于经验 E,针对学习目标 T,提升表现度量 P.经验是学习的信息来源,代表了预先获取并输入机器学习算法的训练数据或信号观测.如对于有监督学习问题,经验体现为数据及其标记构成的有标记数据集合:而对于无监督学习问题,经验就仅体现为数据本身构成的无标记数据集.学习目标是学习的最终任务,体现为机器学习方法预期获得的最终输出结果.如对于判别问题,学习目标为对未

跟你谈谈数据库管理人员的生存法则

作为数据库技术人员,相信没有一个人愿意永远在底层编写程序或做简单的系统维护.经过一段时间的技术和经验的积累,很多人都向往更高层的职位,但如何能成为一个专业的数据库管理人才,并不是每一个人都清晰.明了. 如果你真想成为一名成功.成熟的数据库专家,你需要不断地扩展你的技能与知识--有些知识领域可能对你很陌生,本文阐述了可以帮助你提高职业素质的重要能力.作为一名数据库专业人士,要想有一个成功的职业生涯并不是很容易的事情.你有可能每一种技术都懂一些,但又都不精通,也有可能是一名专才.无论如何,一旦你想成

2010年度最佳产品和设计:轻周期和不完美设计

文章描述:轻周期和不完美设计beta文化. 今天重新阅读三联的2010年度最佳产品和设计的回顾刊,甚是欣赏其中的内容. 开篇文章首先把琳琅满目的产品依次更迭的动感展现了出来,科技更新换代,而大浪淘沙后所留下来的东西却是少之又少.每个人都在担心着自己的信息掌控和社交拥有是否落后于人,每个设计师和工程师也在挖空心思寻找着用户的需求点,一边努力创造出新的科技奇迹的同时,一边也担忧地看着周围山寨的萌发有没有威胁到自己. 快节奏的生活,被宠坏的人们,似乎只有钞票和电池才能分别成为人和科技的制约因素.大家对

神经网络基础知识笔记

神经网络表示 神经元模型 神经网络从大脑的工作原理得到启发,可用于解决通用的学习问题.神经网络的基本组成单元是神经元(neuron).每个神经元具有一个轴突和多个树突.每个连接到本神经元的树突都是一个输入,当所有输入树突的兴奋水平之和超过某一阈值,神经元就会被激活.激活的神经元会沿着其轴突发射信号,轴突分出数以万计的树突连接至其他神经元,并将本神经元的输出并作为其他神经元的输入.数学上,神经元可以用感知机的模型表示. 一个神经元的数学模型主要包括以下内容: 名称 符号 说明 输入 (input)

25岁Java工程师如何转型学习人工智能?

"大牛我要问"栏目推出一段时间后,阿里妹收到不少童鞋的来信,其中以职业发展.技术成长的困惑居多. 今天阿里妹选择了一个颇具有代表性的问题:关于目前大热的AI入门学习,希望能帮助有同样问题的童鞋解惑指路. 来信问题:25岁Java工程师如何转型学习AI? 我是一名25岁的Java开发工程师.本科学习的专业是信息与计算科学(数学专业),因为对计算机方面感兴趣,之后培训学习了Java,所以现在从事Java开发.目前就是在电商公司开发一些系统. 我对人工智能非常感兴趣,对数学的兴趣也从未减弱.