今天的企業(yè)必須能夠快速適應(yīng)不斷變化的市場(chǎng)條件——例如支持新的合資公司、企業(yè)合并��、收購(gòu)等等�����。但是必須注意,隨著業(yè)務(wù)需求的轉(zhuǎn)變�����,底層安全政策也必須相應(yīng)做出調(diào)整�����。
舉例來(lái)說(shuō)�,雖然防火墻能夠過(guò)濾網(wǎng)絡(luò)流量,但同時(shí)也需要為關(guān)鍵性應(yīng)用程序的正常運(yùn)轉(zhuǎn)敞開(kāi)方便之門�。隨著網(wǎng)絡(luò)保護(hù)對(duì)安全政策的要求日益提高,應(yīng)用程序與數(shù)據(jù)的數(shù)量與復(fù)雜性也在日益攀升�����。如今我們幾乎不可能以手動(dòng)方式管理工作��,這種方式不僅繁瑣�、效率低下且容易出錯(cuò)�����。手動(dòng)管理往往在增加成本與風(fēng)險(xiǎn)的同時(shí)給IT安全與運(yùn)營(yíng)團(tuán)隊(duì)帶來(lái)沉重負(fù)擔(dān)����,導(dǎo)致二者無(wú)法與業(yè)務(wù)發(fā)展速度保持一致���。
這時(shí)候,我們需要自動(dòng)化流程幫助企業(yè)力挽狂瀾��。自動(dòng)化方案能夠支持企業(yè)管理生命周期中的各個(gè)階段��,從初期創(chuàng)建到持續(xù)監(jiān)控�����、再到變更管理以及審計(jì)等等�,其作用可謂至關(guān)重要。但自動(dòng)化還僅僅只是開(kāi)始�,正如其他關(guān)鍵性IT功能一樣,安全政策管理也已經(jīng)轉(zhuǎn)向以應(yīng)用程序?yàn)橹行牡男滤悸?mdash;—因?yàn)槲覀兊木W(wǎng)絡(luò)與企業(yè)需要以業(yè)務(wù)應(yīng)用為核心��。
從歷史角度看�,安全與業(yè)務(wù)兩方面的需求往往相互沖突,這種敏捷性與安全性間的非黑即白給企業(yè)帶來(lái)嚴(yán)重挑戰(zhàn)�����。有些對(duì)風(fēng)險(xiǎn)極度敏感的企業(yè)不惜采取過(guò)度限制政策�����,甚至影響到生產(chǎn)效率;也有些企業(yè)寧愿承擔(dān)更多安全風(fēng)險(xiǎn),也希望在運(yùn)營(yíng)效率與靈活性方面有所提升�����。但是��,我們能否從需要支持的業(yè)務(wù)應(yīng)用角度出發(fā)制定安全政策?又是否可以在無(wú)需豐富知識(shí)儲(chǔ)備或努力控制網(wǎng)絡(luò)層的前提下�,將業(yè)務(wù)需求與安全保障有效整合在一起?
請(qǐng)大家從以下幾個(gè)方面考慮:
業(yè)務(wù)需求的背后充滿了復(fù)雜性
網(wǎng)絡(luò)環(huán)境或數(shù)據(jù)中心中的關(guān)鍵性應(yīng)用程序復(fù)雜性程度很高,“允許服務(wù)XYZ從IP地址1到IP地址2”這類簡(jiǎn)單調(diào)整已經(jīng)無(wú)法滿足需求�。如今業(yè)務(wù)應(yīng)用程序的數(shù)量與復(fù)雜性都有顯著提升,多層架構(gòu)�、多種組件以及繁復(fù)無(wú)比的底層通信模式等各類因素共同決定了網(wǎng)絡(luò)安全政策的具體內(nèi)容。
此外���,個(gè)別“通信”流程可能需要跨越多個(gè)部門;反過(guò)來(lái)���,個(gè)別規(guī)則也可能需要支持多種不同應(yīng)用程序。通常情況下��,這套網(wǎng)絡(luò)體系會(huì)因夾雜著數(shù)百甚至數(shù)千套政策而極度復(fù)雜——其中大量項(xiàng)目存在潛在的依存關(guān)系�、需要對(duì)成百上千臺(tái)設(shè)備進(jìn)行跨平臺(tái)配置�,更不用說(shuō)無(wú)數(shù)關(guān)鍵性應(yīng)用程序所必需的技術(shù)支持����。
這看起來(lái)似乎還不太復(fù)雜��,但大部分企業(yè)都未能采用“理想”方案��,導(dǎo)致業(yè)務(wù)應(yīng)用程序完全被獨(dú)立分割開(kāi)來(lái)�����、由不同資源庫(kù)負(fù)責(zé)打理��。各類管理機(jī)制采用不同的信息來(lái)源及精度控制機(jī)制���,我們幾乎無(wú)法利用現(xiàn)有配置政策對(duì)其進(jìn)行統(tǒng)籌����。
IT與業(yè)務(wù)部門需要攜手合作
將不同應(yīng)用程序之間的連接信息通過(guò)共享����、闡釋以及轉(zhuǎn)譯等方式添加到安全政策當(dāng)中既難于實(shí)現(xiàn)又容易出錯(cuò),而且會(huì)從根本上給網(wǎng)絡(luò)�����、安全以及應(yīng)用程序團(tuán)隊(duì)帶來(lái)合作鴻溝。如此一來(lái)����,我們將很難有效提高應(yīng)用程序可用性、控制無(wú)授權(quán)訪問(wèn)帶來(lái)的安全風(fēng)險(xiǎn)或者改善IT工作敏捷性����。
在IT組織內(nèi)部,每個(gè)部門通常都擁有自己的工作目標(biāo)���、甚至所使用的交流語(yǔ)言也風(fēng)格各異�。應(yīng)用程序開(kāi)發(fā)者與管理者通常更關(guān)注產(chǎn)品特性與功能���、應(yīng)用程序各層及組件���、數(shù)據(jù),并希望最大程度保障可訪問(wèn)性�。在許多情況下,他們甚至不在乎底層服務(wù)器硬件的具體狀態(tài)��。
與此同時(shí)����,網(wǎng)絡(luò)技術(shù)團(tuán)隊(duì)主要關(guān)注路由與連接問(wèn)題���,希望保障子網(wǎng)��、IP地址��、端口以及協(xié)議等項(xiàng)目能在通信過(guò)程中正常生效�����。安全專業(yè)人士則最在意威脅����、安全漏洞、風(fēng)險(xiǎn)�、合規(guī)性以及限制用戶隨意訪問(wèn)資源的方案(安全團(tuán)隊(duì)在可訪問(wèn)性與可用性方面與應(yīng)用程序管理者存在沖突)。
職責(zé)與交流方式上的巨大差異往往在緊要關(guān)頭造成“誤解”��,進(jìn)而給企業(yè)帶來(lái)嚴(yán)重?fù)p失�����。正因如此���,應(yīng)用程序與網(wǎng)絡(luò)停機(jī)才時(shí)有發(fā)生��、安全性受到不必要的破壞�,網(wǎng)絡(luò)性能也經(jīng)常遭遇不利影響。
一切以應(yīng)用程序?yàn)橹行?/strong>
采用以應(yīng)用程序?yàn)橹行牡陌踩吖芾矸桨��,企業(yè)能夠調(diào)解來(lái)自各個(gè)部門的矛盾意見(jiàn)�、緩和協(xié)作沖突并將各方需求加以匯總,最終降低管理工作復(fù)雜性��。反過(guò)來(lái)���,從應(yīng)用程序角度實(shí)施底層安全政策管理能促進(jìn)網(wǎng)絡(luò)體系建設(shè)�����,并幫助企業(yè)彌合網(wǎng)絡(luò)����、安全與應(yīng)用程序團(tuán)隊(duì)之間的協(xié)作鴻溝��。此外��,以應(yīng)用程序?yàn)橹行牡囊暯沁可以避免由安全風(fēng)險(xiǎn)或停機(jī)事件引發(fā)的嚴(yán)重后果�,使各服務(wù)部門真正為企業(yè)運(yùn)營(yíng)助力。
