今天的企业必须能够快速适应不断变化的市场条件——例如支持新的合资公司、企业合并、收购等等。但是必须注意,随着业务需求的转变,底层安全政策也必须相应做出调整。
举例来说,虽然防火墙能够过滤网络流量,但同时也需要为关键性应用程序的正常运转敞开方便之门。随着网络保护对安全政策的要求日益提高,应用程序与数据的数量与复杂性也在日益攀升。如今我们几乎不可能以手动方式管理工作,这种方式不仅繁琐、效率低下且容易出错。手动管理往往在增加成本与风险的同时给IT安全与运营团队带来沉重负担,导致二者无法与业务发展速度保持一致。
这时候,我们需要自动化流程帮助企业力挽狂澜。自动化方案能够支持企业管理生命周期中的各个阶段,从初期创建到持续监控、再到变更管理以及审计等等,其作用可谓至关重要。但自动化还仅仅只是开始,正如其他关键性IT功能一样,安全政策管理也已经转向以应用程序为中心的新思路——因为我们的网络与企业需要以业务应用为核心。
从历史角度看,安全与业务两方面的需求往往相互冲突,这种敏捷性与安全性间的非黑即白给企业带来严重挑战。有些对风险极度敏感的企业不惜采取过度限制政策,甚至影响到生产效率;也有些企业宁愿承担更多安全风险,也希望在运营效率与灵活性方面有所提升。但是,我们能否从需要支持的业务应用角度出发制定安全政策?又是否可以在无需丰富知识储备或努力控制网络层的前提下,将业务需求与安全保障有效整合在一起?
请大家从以下几个方面考虑:
业务需求的背后充满了复杂性
网络环境或数据中心中的关键性应用程序复杂性程度很高,“允许服务XYZ从IP地址1到IP地址2”这类简单调整已经无法满足需求。如今业务应用程序的数量与复杂性都有显著提升,多层架构、多种组件以及繁复无比的底层通信模式等各类因素共同决定了网络安全政策的具体内容。
此外,个别“通信”流程可能需要跨越多个部门;反过来,个别规则也可能需要支持多种不同应用程序。通常情况下,这套网络体系会因夹杂着数百甚至数千套政策而极度复杂——其中大量项目存在潜在的依存关系、需要对成百上千台设备进行跨平台配置,更不用说无数关键性应用程序所必需的技术支持。
这看起来似乎还不太复杂,但大部分企业都未能采用“理想”方案,导致业务应用程序完全被独立分割开来、由不同资源库负责打理。各类管理机制采用不同的信息来源及精度控制机制,我们几乎无法利用现有配置政策对其进行统筹。
IT与业务部门需要携手合作
将不同应用程序之间的连接信息通过共享、阐释以及转译等方式添加到安全政策当中既难于实现又容易出错,而且会从根本上给网络、安全以及应用程序团队带来合作鸿沟。如此一来,我们将很难有效提高应用程序可用性、控制无授权访问带来的安全风险或者改善IT工作敏捷性。
在IT组织内部,每个部门通常都拥有自己的工作目标、甚至所使用的交流语言也风格各异。应用程序开发者与管理者通常更关注产品特性与功能、应用程序各层及组件、数据,并希望最大程度保障可访问性。在许多情况下,他们甚至不在乎底层服务器硬件的具体状态。
与此同时,网络技术团队主要关注路由与连接问题,希望保障子网、IP地址、端口以及协议等项目能在通信过程中正常生效。安全专业人士则最在意威胁、安全漏洞、风险、合规性以及限制用户随意访问资源的方案(安全团队在可访问性与可用性方面与应用程序管理者存在冲突)。
职责与交流方式上的巨大差异往往在紧要关头造成“误解”,进而给企业带来严重损失。正因如此,应用程序与网络停机才时有发生、安全性受到不必要的破坏,网络性能也经常遭遇不利影响。
一切以应用程序为中心
采用以应用程序为中心的安全政策管理方案,企业能够调解来自各个部门的矛盾意见、缓和协作冲突并将各方需求加以汇总,最终降低管理工作复杂性。反过来,从应用程序角度实施底层安全政策管理能促进网络体系建设,并帮助企业弥合网络、安全与应用程序团队之间的协作鸿沟。此外,以应用程序为中心的视角还可以避免由安全风险或停机事件引发的严重后果,使各服务部门真正为企业运营助力。