今天的企業(yè)必須能夠快速適應(yīng)不斷變化的市場條件——例如支持新的合資公司���、企業(yè)合并���、收購等等。但是必須注意�����,隨著業(yè)務(wù)需求的轉(zhuǎn)變�����,底層安全政策也必須相應(yīng)做出調(diào)整。
舉例來說����,雖然防火墻能夠過濾網(wǎng)絡(luò)流量,但同時也需要為關(guān)鍵性應(yīng)用程序的正常運轉(zhuǎn)敞開方便之門�����。隨著網(wǎng)絡(luò)保護(hù)對安全政策的要求日益提高��,應(yīng)用程序與數(shù)據(jù)的數(shù)量與復(fù)雜性也在日益攀升����。如今我們幾乎不可能以手動方式管理工作,這種方式不僅繁瑣���、效率低下且容易出錯���。手動管理往往在增加成本與風(fēng)險的同時給IT安全與運營團(tuán)隊帶來沉重負(fù)擔(dān),導(dǎo)致二者無法與業(yè)務(wù)發(fā)展速度保持一致����。
這時候,我們需要自動化流程幫助企業(yè)力挽狂瀾��。自動化方案能夠支持企業(yè)管理生命周期中的各個階段,從初期創(chuàng)建到持續(xù)監(jiān)控��、再到變更管理以及審計等等��,其作用可謂至關(guān)重要��。但自動化還僅僅只是開始����,正如其他關(guān)鍵性IT功能一樣���,安全政策管理也已經(jīng)轉(zhuǎn)向以應(yīng)用程序為中心的新思路——因為我們的網(wǎng)絡(luò)與企業(yè)需要以業(yè)務(wù)應(yīng)用為核心�。
從歷史角度看�,安全與業(yè)務(wù)兩方面的需求往往相互沖突,這種敏捷性與安全性間的非黑即白給企業(yè)帶來嚴(yán)重挑戰(zhàn)�����。有些對風(fēng)險極度敏感的企業(yè)不惜采取過度限制政策��,甚至影響到生產(chǎn)效率;也有些企業(yè)寧愿承擔(dān)更多安全風(fēng)險�����,也希望在運營效率與靈活性方面有所提升。但是�,我們能否從需要支持的業(yè)務(wù)應(yīng)用角度出發(fā)制定安全政策?又是否可以在無需豐富知識儲備或努力控制網(wǎng)絡(luò)層的前提下,將業(yè)務(wù)需求與安全保障有效整合在一起?
請大家從以下幾個方面考慮:
業(yè)務(wù)需求的背后充滿了復(fù)雜性
網(wǎng)絡(luò)環(huán)境或數(shù)據(jù)中心中的關(guān)鍵性應(yīng)用程序復(fù)雜性程度很高��,“允許服務(wù)XYZ從IP地址1到IP地址2”這類簡單調(diào)整已經(jīng)無法滿足需求��。如今業(yè)務(wù)應(yīng)用程序的數(shù)量與復(fù)雜性都有顯著提升���,多層架構(gòu)�、多種組件以及繁復(fù)無比的底層通信模式等各類因素共同決定了網(wǎng)絡(luò)安全政策的具體內(nèi)容�。
此外,個別“通信”流程可能需要跨越多個部門;反過來�,個別規(guī)則也可能需要支持多種不同應(yīng)用程序。通常情況下���,這套網(wǎng)絡(luò)體系會因夾雜著數(shù)百甚至數(shù)千套政策而極度復(fù)雜——其中大量項目存在潛在的依存關(guān)系���、需要對成百上千臺設(shè)備進(jìn)行跨平臺配置,更不用說無數(shù)關(guān)鍵性應(yīng)用程序所必需的技術(shù)支持����。
這看起來似乎還不太復(fù)雜,但大部分企業(yè)都未能采用“理想”方案����,導(dǎo)致業(yè)務(wù)應(yīng)用程序完全被獨立分割開來���、由不同資源庫負(fù)責(zé)打理。各類管理機制采用不同的信息來源及精度控制機制���,我們幾乎無法利用現(xiàn)有配置政策對其進(jìn)行統(tǒng)籌。
IT與業(yè)務(wù)部門需要攜手合作
將不同應(yīng)用程序之間的連接信息通過共享���、闡釋以及轉(zhuǎn)譯等方式添加到安全政策當(dāng)中既難于實現(xiàn)又容易出錯�����,而且會從根本上給網(wǎng)絡(luò)���、安全以及應(yīng)用程序團(tuán)隊帶來合作鴻溝。如此一來��,我們將很難有效提高應(yīng)用程序可用性��、控制無授權(quán)訪問帶來的安全風(fēng)險或者改善IT工作敏捷性�。
在IT組織內(nèi)部,每個部門通常都擁有自己的工作目標(biāo)�����、甚至所使用的交流語言也風(fēng)格各異。應(yīng)用程序開發(fā)者與管理者通常更關(guān)注產(chǎn)品特性與功能�、應(yīng)用程序各層及組件、數(shù)據(jù)����,并希望最大程度保障可訪問性。在許多情況下�����,他們甚至不在乎底層服務(wù)器硬件的具體狀態(tài)�。
與此同時,網(wǎng)絡(luò)技術(shù)團(tuán)隊主要關(guān)注路由與連接問題�,希望保障子網(wǎng)、IP地址�、端口以及協(xié)議等項目能在通信過程中正常生效。安全專業(yè)人士則最在意威脅����、安全漏洞、風(fēng)險����、合規(guī)性以及限制用戶隨意訪問資源的方案(安全團(tuán)隊在可訪問性與可用性方面與應(yīng)用程序管理者存在沖突)���。
職責(zé)與交流方式上的巨大差異往往在緊要關(guān)頭造成“誤解”,進(jìn)而給企業(yè)帶來嚴(yán)重?fù)p失����。正因如此,應(yīng)用程序與網(wǎng)絡(luò)停機才時有發(fā)生����、安全性受到不必要的破壞�,網(wǎng)絡(luò)性能也經(jīng)常遭遇不利影響。
一切以應(yīng)用程序為中心
采用以應(yīng)用程序為中心的安全政策管理方案����,企業(yè)能夠調(diào)解來自各個部門的矛盾意見、緩和協(xié)作沖突并將各方需求加以匯總���,最終降低管理工作復(fù)雜性�����。反過來����,從應(yīng)用程序角度實施底層安全政策管理能促進(jìn)網(wǎng)絡(luò)體系建設(shè),并幫助企業(yè)彌合網(wǎng)絡(luò)�����、安全與應(yīng)用程序團(tuán)隊之間的協(xié)作鴻溝���。此外���,以應(yīng)用程序為中心的視角還可以避免由安全風(fēng)險或停機事件引發(fā)的嚴(yán)重后果,使各服務(wù)部門真正為企業(yè)運營助力����。
