当企业开始运行应用程序工作负载时,一切似乎都很简单:企业运行测试数据,并且每个工作人员都可以看到,而且它在哪里运行都无关紧要。在本地部署的数据中心或在云端,它们都是一样的。但是,一旦开始部署实际工作负载,使用真实数据和实际流程,就会发生一些变化:某些数据以及其中一些过程会很敏感。那么企业应该如何决定将工作负载放在哪里,一旦他们部署在那里,企业应该如何保护它们?
如何为工作负载找到适合的场所?人们总是听到企业IT领导者提出这样的问题。以下通过询问五个相关的问题来回答这个问题,这些问题将帮助企业选择工作负载的适合场所:
什么是敏感数据和敏感过程?
谁应该访问,谁不应该?
我可以信任谁,为什么?
什么位置适合?
如何控制工作量安置?
1.什么是敏感数据和敏感过程?
这个问题可能需要长篇大论进行阐述。阅读敏感数据需要重新考虑企业的定义的时间。但是如果没有时间阅读这些观点,那么简而言之,几乎所有的数据都有可能是敏感的,这取决于应用场景。一旦确定了需要保护的数据以及需要保护的属性,无论是保密性、完整性、可用性、正确性还是其他属性,那么现在是花费一些时间思考如何保护它的时候了。
2.谁应该访问,谁不应该访问?
在研究什么样的数据和过程是敏感的时候,人们不会做的一件事就是了解它们在哪些情况下是敏感的。这会提供一些关于什么样的人应该有权访问的指标。人们应该意识到,这些人经常会随着时间的推移而变化:假设某人得到提升,并且现在可以访问新数据,或者企业结果发布后,其保密的财务数据就会公开化。
解决这一系列变化的标准方法是标记数据并赋予不同的角色,这些角色在移动角色时可能会发生变化:限制哪些角色应该访问哪些数据是非常简单的。这通常称为RBAC(基于角色的访问控制)。在某些场景下,这些是不够的,因此可以使用数据或人员的其他属性,从而导致采用ABAC(基于属性的访问控制)等替代方案。
也许人们会注意到,这里将上述指标从“数据和过程”改为“数据”。那是因为过程可能会很尴尬。过程可以经常改变他们的敏感度,有时会出乎意料地或恶意地改变他们的敏感度?那么,也可能企业的数据现在被勒索软件劫持,目前正在后台加密其硬盘驱动器。
过程通常很难用与数据完全相同的方式来描述,因此,一个很好的经验法则是根据在出现问题时可能发生的最坏情况来限制它们。
3.我可以信任谁,为什么?
这个问题的答案是“没有人”,即使人们意识到这是不现实的。简单的说,如何信任别人取决于场景。
就数据而言,正如上面所描述的,在考虑信任时,背景是王道。例如,人们相信鱼贩会了解和管理会计事务吗?你会相信会计师会去卖鱼吗?对于操作和管理系统的人也是如此:人们会认为他们各自做不同的事情。
具体来说,这里正在讨论的是两套系统:人们运行的工作负载以及它们运行的主机。你可能已经有了控制措施来确保只有自己的财务和人力资源团队才可以访问的工资核算工作负载,但工资核算工作负载所运行的主机呢?
人们并不总是能够意识到这一点,但当工作负载在主机上运行时,在容器中或在虚拟机中,任何人或者任何具有对该机器的管理访问权限的进程,都能完全控制该工作负载。这不仅可以阻止它运行:人们可以查看它,甚至可以更改它包含的数据。这是令人震惊的,因为对于工资核算工作负载范例而言,这意味着人们不仅需要信任财务和人力资源团队的数据,任何管理人员还有权访问运行工作负载的主机。
当然,企业还需要确保主机本身具有足够的安全性,因为如果攻击者设法进入其中一个主机,那么就能够控制敏感的工作负载。
企业管理人员需要相信员工,但也需要确保主机本身的管理良好,并将这两方面结合,那么人们需要开始思考可能会将工作负载放在哪里。
4.什么位置适合?
企业显然希望将工作负载放在安全的地方。或者更确切地说,企业可以在何处应用相对于其所包含的数据和流程敏感性的适当措施。这并不总是意味着采用高级别的安全性或最昂贵的解决方案,但表明企业需要决定哪些工作量应该放在哪里。
企业的管理人员会说,“我们不能信任公共云,因为它不是我们的员工运行系统”。但公共云可能是企业运行工作负载的很好选择。成本和易用性的平衡可能胜过许多低灵敏度工作负载的安全问题,这就是为什么混合云对许多组织来说是如此引人注目的原因。
企业真的需要高级别的安全性,还是最昂贵的解决方案?
另外,正如以上所提到的,主机本身管理良好至关重要。云计算服务提供商在其基础设施上花费大量资金,为主机提供多级管理和运营专业知识,许多企业可能无法将其扩展到整个计算机产业。
有一系列要求,从安全保障严密的基础设施到商品公共云。诸如“只有经过授权的,经过安全检查的工作人员才能管理的机器池”等选项位于这二者之间的某处。
企业需要根据风险、成本、可用性,以及组织中可能适用的其他因素来确定适用于每种类型的工作负载。
5.如何控制工作量的安置?
在决定了哪些工作负载应该允许在哪些主机上运行后,如何确保所有工作都能正常工作?企业可以采用什么措施提高各种主机的安全级别?将可用控件分类的一种方法是将它们分成三种类型:
合同或行政控制:这些方法包括数据隐私协议、员工背景调查、ISO 9001,以及类似方法,这些方法可让管理人员对组织内部或内部云组织进行控制,以及如何控制主机运行他们的过程。具体哪些方法适用将取决于许多因素,但这些始终是一个很好的考虑起点。然而,它们本身并不足够。
架构控制:这些方法允许管理人员执行有关应将哪些工作负载托管在何处的放置策略。它们包括调度和放置算法(通过编排平台,如Kubernetes或OpenShift)、API控制、虚拟网络、存储规则、身份验证机制等机制。综合起来,这两个选项允许管理人员指定哪些主机集可以放置不同类型的工作负载,然后验证并监控这些规则是否已经遵循。
这些是当今大多数组织可用的具表现力和多功能的工具,可让企业跨越混合云部署跨越各种工作负载。
技术控制:有几种机制可以让企业在不完全信任的主机上运行工作负载,并确保不会被篡改。
第一个也是最为人所知的是HSM(硬件安全模块),但部署这些模块代价高昂,不能很好地扩展并且很难编程,特别是对于通用工作负载来说。第二种是FPGA(现场可编程门阵列,这是位于主机主板上的芯片),但编程昂贵,并且像HSM(硬件安全模块)一样仅适用于某些工作负载类型。第三个TEE(可信执行环境)提供了一种新的方法,芯片生产商在高端商品硬件上的发展很有前景,一旦它们变得可用,就可以提供一种方法来隐藏主机上管理员执行的工作负载。现在,对于大多数组织来说,这些都是未来的事情。
与此同时,大多数组织将依靠前两种机制控制来管理工作负载的安置。
完善地点和原因
并非所有的工作负载都是平等的,因为所有的主机都不一样。管理人员需要了解数据和进程的敏感度,考虑适当的工作负载放置,允许在它们应该运行的地方创建策略,然后控制、验证和监视这些策略是否正确应用。对于敏感的工作负载技术控制的未来机会看起来很有必要,但对企业的工作负载需求和现有工具和机制应用的良好分析,已经使人们能够很好地控制在哪里运行以及为什么这么做。
热门专题
