安全产业陷入了一个很不好的习惯中,我们大多数的精力和营销资金,都投放到了对最新冒头的威胁和相应检测新技术的关注上了。只需要浏览下新闻头条,或者花15分钟在安全大会的展厅里晃一圈,就能发现这种趋势。然而,在我们紧盯坏蛋们正在做什么的时候,却忽略了我们自己的基础设施建设方向。
没错,检测新的针对性攻击确实是安全从业人员的首要优先事项,但找寻安全业务开展方式的技术发展,关注同行在基础设施、数据中心或云上所做的工作,同样非常重要。
例如,当安全被虚拟化,随之而来的几大好处,包括速率和规模的提升,以及虚拟化数据中心和云环境下安全基础设施管理费用和成本的下降。毫无疑问转向虚拟化安全对很多公司而言是一件好事,这些公司如今都能够更有效率更快地扩展和定制安全策略。
但我们下一步该怎么做,才能确保持续创新,并保持安全功能时刻站在时代前沿呢?
最有前途的新方法之一,就是将安全功能放到容器中。正如容器为需要在计算环境中进行迁移的应用提供了大量好处一样,将容器应用到网络安全的保护上也是好处多多。容器只用到1个操作系统,用容器托管安全操作,所需空间和电力都比在多个操作系统上运行安全操作要省得多,会对成本和可扩展性产生很大影响,同时还能提供保障网络安全的有效方法。
容器化安全功能的好处很多,最明显的就是成本节省。因为所有操作都只需要1个容器就能运行,所以可以大幅减少在多个操作系统上的开销。从性能的角度看,服务速度也可以得到大幅提升,还附带可扩展性的暴涨。容器几乎可以瞬间启动,而普通虚拟机一般要花去数分钟才启得起来。
我们刚在服务器上开始使用虚拟机时,曾普遍认为这块儿没有安全需求。但随着容器向数据中心和云端的进军,很多公司很快意识到,必须在打造虚拟化环境时加上安全了。
然而,与所有新的安全形式一样,容器化安全也有其局限性。比如说,与传统防火墙不同,你不需要路由和交换功能,尤其是在环境迁移到更多微服务创建和使用的情况下。因此,你必须小心评估使用容器的决定,并且在最开始就以安全的方式使用它。如果你正考虑采用容器化安全的方法,有几个问题是必须扪心自问一下的:
1. 你已经在使用Docker了吗?如果你公司的其他基础设施正在使用容器,将这一实践扩展到安全上是非常符合逻辑的。一旦容器就位,它们的可扩展性会让往已有功能中增加新的功能变得非常容易,且额外开销和对性能的影响最小化。
2. 你想要支持哪种环境?如果你需要一个密实的安全环境,容器可能是你的最佳解决方案。如果你已经用虚拟机建起了虚拟化环境,一个虚拟防火墙或许是更好的选择。
3. 你公司的长期战略性经营方向是什么?你的公司更偏重开发运维资源的投入么?你的公司利用的是现有技术么?还是说你公司的战略方向是自行打造具有竞争力的独特技术?如果你的公司认为技术是战略性区分因素,并更偏重投资开发运维资源和打造自有技术,那么容器会很自然地成为你数据中心投资的下一步。可以从具备未来能分解成微安全服务的完全容器防火墙开始,以便既能支持当前应用,又能支持将来的微服务。
虽然使用容器保护公司安全是个相对新潮的方法,但其却能给公司带来成本减省和可扩展性的大幅提升。考虑在安全上引入容器,你将会成为这一创新性方法的早期采用人,在同行竞争和与网络犯罪分子的斗争中都领先一步。
