古代应用程序正在将企业转变为数字翻新工厂。然而,古代应用程序的分布式个性和复杂性使企业很难在多平台或多云环境中放弃信赖和合规性。
只管 Kubernetes 是当今应用程序平台的规范,但每个云计算服务提供商都有不同的 IaaS 或 PaaS 产品,并具备不同的性能和 API。这些 API 不仅不兼容(Kubernetes 除外),而且每个基础设施和平台都在孤岛中进行解决和治理。这些孤岛充当隔离且不重叠的治理边界,阻止了微服务之间的跨边界可见性和信赖。这使得企业更难以跨云平台理解并继续修复其安全漏洞,从而使它们容易受到网络攻击。
为了解决这个问题,很多企业正在将企业安全控制扩大到云计算环境。问题在于,应用程序团队和平安团队传统上具备相互竞争的指标——敏捷性与危险和管制,并且平安经营的倒退速度与应用程序经营不同。这会让两个团队之间产生矛盾,并迫使应用程序经营团队做出抉择:
减慢应用程序交付和经营速度以升高危险。
在不思考安全性和合规性的状况下,持续尽快开发和交付应用程序。
这两种做法都不是现实的抉择。为了开释在多平台和多云环境中运行的古代应用程序的后劲,须要找到一种办法,以用户冀望的速度在整个软件交付生命周期中无缝集成安全性。
将零信赖集成到应用程序交付周期中
在多云世界中爱护应用程序的要害是零信赖。将零信赖准则间接构建到古代应用程序中,使企业可能及早辨认威逼、缩小攻击面,并将平安性能与应用程序堆栈的其余部分一起交付,而无论底层应用程序平台和云堆栈如何。
在这个用例中,零信赖的要害组件之一是应用程序分段。换句话说,如何在不同应用程序或应用程序组件之间做出拜访决策。零信赖必须以通过可扩大模型进步应用程序拜访的灵活性和敏捷性的形式,从任何用户或应用程序提供对任何应用程序的身份感知、自适应和按需拜访。
应用程序细分必须提供给应用程序经营团队,以便他们能够将其作为另一个门户嵌入到应用程序的品质流程中。应用程序经营团队能够通过施行应用程序分段策略来实现这一点,这些策略可辨认通过丰盛的动静属性创立的工作负载。辨认的外在 / 动态属性 (IP、数字证书、命名空间、标签等) 和外在 / 动静属性 (用户行为、工作负载行为、网络行为等) 越多,拜访决策的粒度就越细。
令人难以置信的是,现在的应用程序分段依然是人工实现的。然而,随着多个云平台环境中产生数以百万计的交易,集体甚至团队无奈为每个工作负载施行人工调配策略。企业须要一种以可扩大、通明、主动的形式提供零信赖应用程序分段的办法。
连贯和平安平台
实现这一点的办法是应用古代应用程序连贯和平安平台。通过服务网格,基于属性的访问控制模型整合了多个第三方工具,这些工具能够跨应用程序平台和多云环境提供可见性和安全性。这种繁多视图操作模型使应用程序团队可能在多云环境中主动、大规模地无缝、简略地编排平安服务。
然而,通过微分段进行细粒度策略管理会减少复杂性,这会影响安全性。忽然之间,企业可能会发现自己领有数以千计的策略,这些策略规定了不同的工作负载如何拜访网络内的实体并与之交互。并且这些策略须要不断更新和保护,这给应用程序和平安团队带来了微小的麻烦。
在部署工作负载时,将随工作负载一起创立关联的策略,并随工作负载在经营环境中迁徙,直到工作负载达到其生命周期完结并服役。随着应用程序随着工夫的推移运行,它们的特色在于其独特的行为。这种平安个性容许主动抉择策略并将其间接利用于工作负载。
然而,要使服务网格在多云环境中工作并启用平安应用程序,它须要遵循零信赖准则,既不会减少复杂性,也不会减缓麻利交付周期。企业应该做到以下这些:
(1)基线信赖:古代应用程序连贯和平安平台应该具备原生的可察看性和自我发现能力,例如可能主动发现 API、编目 API 和基于 OpenAPI 规范生成 API 文档。古代应用程序连贯和平安平台应该可能继续对应用程序行为建设基线,并检测异样应用程序行为。这须要警觉未知和零日攻打,尤其是敏感数据的泄露。
(2)建设信赖:立刻定义应用程序不同局部的互连需要至关重要。这种明确的用意申明通常由应用程序团队在作为继续集成 (CI)/ 继续交付(CD) 管道的一部分部署应用程序期间通过人工实现。另一种抉择是在应用程序的测试阶段主动发现连贯用意,并容许服务网格辨认和记录微服务 API 之间产生的通信流。这些是应用程序分段策略的根底。
(3)增强信赖:还必须有一种机制来主动利用适当的应用程序分段策略,以实现应用程序按预期运行所需的通信。在微服务模型中,应用程序的不同局部动静启动和敞开,以使应用程序可能按预期运行。治理可拜访性的应用程序分段策略也必须适应这些变动,这一点至关重要。这是通过与应用程序平台交互以收集工作负载清单的服务网格管制平台来实现的。
(4)动静调整信任度:随着应用程序的运行以及客户端与它们的交互,它们的特色在这种状况下是一种平安行为。察看这种行为能够通过企业现有的各种剖析工具来实现,这些工具检测过程、容器、网络和用户行为以提供平安场景。然而,为了放弃信赖,须要有一种办法通过服务网格集成这些工具,以创立繁多的假相起源。
(5)将信赖模型扩大到边缘:应用程序还与 SaaS 平台 (例如 Salesforce 或 SAP) 以及数据中心之外的其余应用程序进行交互。在现实状况下,服务网格 / 零信赖应用程序分段模型能够与云中的其余平安解决方案集成,例如平安拜访服务边缘 (SASE)、平安 Web 网关(SWG)、云拜访平安代理(CASB) 和其余零信赖平安组件。这使跨数据中心、多个云服务提供商、SaaS 平台和 web 应用程序建设信赖的流程实现标准化,确保企业的统一安全性和合规性。
古代应用程序正在通过实现敏捷性和实时决策来扭转业务的运作形式,但除非应用程序团队与平安团队单干以爱护多云环境中的用户、数据和应用程序,否则它们永远不会充分发挥其后劲。
很显著,企业须要一个演进的平安模型,应用程序团队能够应用该模型跨多云、多平台环境无缝建设信赖和协调应用程序的分段。服务网格能够提供建设和继续评估信赖所需的可见性和管制。(文章来自企业网 D1Net,鸣谢)