今天的企業(yè)必須能夠快速適應不斷變化的市場條件——例如支持新的合資公司、企業(yè)合并���、收購等等�。但是必須注意���,隨著業(yè)務需求的轉變���,底層安全政策也必須相應做出調整。
舉例來說�,雖然防火墻能夠過濾網絡流量,但同時也需要為關鍵性應用程序的正常運轉敞開方便之門�����。隨著網絡保護對安全政策的要求日益提高����,應用程序與數(shù)據的數(shù)量與復雜性也在日益攀升�����。如今我們幾乎不可能以手動方式管理工作����,這種方式不僅繁瑣�����、效率低下且容易出錯�����。手動管理往往在增加成本與風險的同時給IT安全與運營團隊帶來沉重負擔����,導致二者無法與業(yè)務發(fā)展速度保持一致�。
這時候,我們需要自動化流程幫助企業(yè)力挽狂瀾��。自動化方案能夠支持企業(yè)管理生命周期中的各個階段�����,從初期創(chuàng)建到持續(xù)監(jiān)控、再到變更管理以及審計等等���,其作用可謂至關重要�。但自動化還僅僅只是開始�,正如其他關鍵性IT功能一樣,安全政策管理也已經轉向以應用程序為中心的新思路——因為我們的網絡與企業(yè)需要以業(yè)務應用為核心�。
從歷史角度看,安全與業(yè)務兩方面的需求往往相互沖突�����,這種敏捷性與安全性間的非黑即白給企業(yè)帶來嚴重挑戰(zhàn)�。有些對風險極度敏感的企業(yè)不惜采取過度限制政策,甚至影響到生產效率;也有些企業(yè)寧愿承擔更多安全風險���,也希望在運營效率與靈活性方面有所提升��。但是��,我們能否從需要支持的業(yè)務應用角度出發(fā)制定安全政策?又是否可以在無需豐富知識儲備或努力控制網絡層的前提下�,將業(yè)務需求與安全保障有效整合在一起?
請大家從以下幾個方面考慮:
業(yè)務需求的背后充滿了復雜性
網絡環(huán)境或數(shù)據中心中的關鍵性應用程序復雜性程度很高,“允許服務XYZ從IP地址1到IP地址2”這類簡單調整已經無法滿足需求�。如今業(yè)務應用程序的數(shù)量與復雜性都有顯著提升,多層架構�����、多種組件以及繁復無比的底層通信模式等各類因素共同決定了網絡安全政策的具體內容�����。
此外�,個別“通信”流程可能需要跨越多個部門;反過來,個別規(guī)則也可能需要支持多種不同應用程序����。通常情況下,這套網絡體系會因夾雜著數(shù)百甚至數(shù)千套政策而極度復雜——其中大量項目存在潛在的依存關系�、需要對成百上千臺設備進行跨平臺配置,更不用說無數(shù)關鍵性應用程序所必需的技術支持�����。
這看起來似乎還不太復雜�,但大部分企業(yè)都未能采用“理想”方案,導致業(yè)務應用程序完全被獨立分割開來����、由不同資源庫負責打理。各類管理機制采用不同的信息來源及精度控制機制���,我們幾乎無法利用現(xiàn)有配置政策對其進行統(tǒng)籌����。
IT與業(yè)務部門需要攜手合作
將不同應用程序之間的連接信息通過共享���、闡釋以及轉譯等方式添加到安全政策當中既難于實現(xiàn)又容易出錯��,而且會從根本上給網絡�、安全以及應用程序團隊帶來合作鴻溝�����。如此一來�����,我們將很難有效提高應用程序可用性�、控制無授權訪問帶來的安全風險或者改善IT工作敏捷性。
在IT組織內部��,每個部門通常都擁有自己的工作目標、甚至所使用的交流語言也風格各異��。應用程序開發(fā)者與管理者通常更關注產品特性與功能����、應用程序各層及組件、數(shù)據�����,并希望最大程度保障可訪問性��。在許多情況下�����,他們甚至不在乎底層服務器硬件的具體狀態(tài)��。
與此同時��,網絡技術團隊主要關注路由與連接問題����,希望保障子網、IP地址����、端口以及協(xié)議等項目能在通信過程中正常生效�。安全專業(yè)人士則最在意威脅����、安全漏洞���、風險����、合規(guī)性以及限制用戶隨意訪問資源的方案(安全團隊在可訪問性與可用性方面與應用程序管理者存在沖突)����。
職責與交流方式上的巨大差異往往在緊要關頭造成“誤解”,進而給企業(yè)帶來嚴重損失��。正因如此�����,應用程序與網絡停機才時有發(fā)生�����、安全性受到不必要的破壞,網絡性能也經常遭遇不利影響��。
一切以應用程序為中心
采用以應用程序為中心的安全政策管理方案��,企業(yè)能夠調解來自各個部門的矛盾意見�����、緩和協(xié)作沖突并將各方需求加以匯總���,最終降低管理工作復雜性�。反過來����,從應用程序角度實施底層安全政策管理能促進網絡體系建設,并幫助企業(yè)彌合網絡��、安全與應用程序團隊之間的協(xié)作鴻溝����。此外,以應用程序為中心的視角還可以避免由安全風險或停機事件引發(fā)的嚴重后果����,使各服務部門真正為企業(yè)運營助力����。
