云端安全

提升云端弹性的安全应用架构原则

相关内容

安全的云架构 ›

完美云架构是坚守开发速度这条底线的保护伞。

了解更多 ›

随着越来越多的应用迁移到云端,安全应用架构比以往任何时候都更加重要。了解有助于您在环境中培养安全云端弹性的三个云架构原则。

安全的云架构:弹性应用的基础

企业将其应用迁移到云端有很多充分的理由,其中包括节约成本、更快部署、更优弹性和更加灵活。了解这一点后,全球各大企业都在采用多云部署,将其作为产品组合中众多高度多样化应用的最佳选择,这些应用通常包括全系列的传统应用(MS Exchange、SAP 等)和定制的内部应用。

虽然在云中部署应用时有众多重要的事项需要考量,但其中最重要的两项即安全性和灵活性。事实证明,这些考量事项密切相关。确保 Web 应用安全的能力,特别是当它们分散在多云位置时,可以(事实上应该)从一开始就将其纳入您的架构。如此可以确保您在所有应用中都能保持一致的安全策略,帮助用户(员工、合作伙伴、客户或上述所有人员)享受顺畅体验。这种一致性还可以实现一定程度的操作灵活性和弹性,让您能够更加轻松地快速应对突发挑战或进行调整以把握新机遇。

云架构原则

正如 John Wagnon 在近期的发光板课程中所指出的,云用户需要知道他们实际肩负的责任。他表示:“一般来说,云运营商负责云安全,而用户则负责云的安全。”不幸的是,这种概念化的做法让很多安全问题没有得到解决。为保证应用安全,您需要填补这些空白。

在您制定计划以保证组织应用的安全与弹性时,应将一致性、控制和敏捷性这三种功能置于首位。

在您制定计划以保证组织应用的安全与弹性时,应将一致性、控制和敏捷性这三种功能置于首位。我们推荐的此方法与机场安全做法相似。不要求每家航空公司都进行各自的安全检查,而是在统一的检查点对旅客进行筛查,通过后再前往登机口。同样,安全云架构可以将所有流量通过统一的安全虚拟私有云 (VPC),然后再允许访问某个应用。就像登机口代理可以在旅客登机前重新分配座位和检查旅客机票一样,每个应用都可被赋予额外的安全功能与能力。

在此场景中,安全 VPC 可以负责许多关键(且往往是资源密集型)功能,包括负载均衡、WAF(和其他防火墙)、访问管理、凭据加密、SSL 检查、DDoS 和 Bot 防护、API 管理、性能管理等。

安全 VPC 中的服务可以轻松地相互通讯,带来其他益处。例如,当 WAF 拦截攻击时,其可以通知访问控制服务,以便它们也能阻止攻击者。

安全 VPC 中所有元素之间的通讯可以实现有效的多供应商检查,为部署 McAfee、FireEye、Palo Alto Networks 等检查工具的组织消除了摩擦点和冗余。未加密进行 SSL 检查的流量可以传递给检查工具以执行进一步检查。这比要求每个工具对相同的流量进行解密、检查和重新加密更为有效。

安全 VPC 可以负责许多关键(且往往是资源密集型)功能。

这种创建安全云架构的方法可为应用开发人员提供高级别的敏捷性与可扩展性,并有助于减少摩擦和促进团队间的协作。在安全 VPC 中部署基本标准,并且应只需要较少的更新。开发人员可根据需要在应用层添加更多的安全性,依靠于安全 VPC 实现基本功能。同样,网络管理员可以为每个环境(开发、测试、生产)定义安全服务。如果开发人员发布了一款没有预先定义安全功能的应用,其将获得 VPC 级别定义的基本覆盖。

全面融合

将应用从代码转变为客户手中的产品与以往一样复杂。您可以采取多种措施简化这一过程,同时确保所有环境和整个多云架构的安全性。首先,为所有应用流量建立良好的入口点,并通过该入口点提供基本级别的安全与流量管理。之后,您可以灵活地在应用级别定义其他安全服务。这种双阶段方法可在保持一致性、控制性与灵活性的同时,提供可靠的安全性。

探索更多

发光板课程

发光板课程:安全云架构

了解如何构建安全云架构,让您能够在所有应用中保持一致的安全策略。

网络研讨会

跨团队协作和自动化,加速代码交付,实现更优客户服务品质

在保证安全性的同时,加速开发管道。

产品

SSL Orchestrator

通过多种检测设备进行动态、基于策略的解密、加密和流量引导,从而最大程度提高基础架构投资、效率与安全性。