云計算的基本概念就是收集物理資源,將它們匯集成資源池,然后根據我們的需求進行消費(或交付)。我們配置資源、使用資源,然后取消對資源的配置并將其送回至資源池。這對整個云計算堆棧:IaaS、PaaS以及SaaS皆是如此。為了達到這一目標,我們需要某種程度的自動化業務流程和管理。如果我們需要自動化,那就意味著我們需要API以用于自動化的設計、實施和管理自動。
例如,當你使用華而不實的網絡接口在你的云計算平臺上配置一個新實例(虛擬機)時,它使用API調用云計算控制器來配置和使用資源。云計算控制器還通過API調用不同的組件來完成絕大多數的任務。對于大多數平臺上的一個簡單實例,這就意味著調用一個計算機節點來管理該實例,一個容量控制器(和節點)提供存儲,一個網絡節點提供IP地址,調度和/或消息服務器來協調一切,而你的實例本身也就知道了它的地址和其他的資源。
有一些非常酷的工具和技術都是基于這一API驅動模態的,但是其落伍的原因之一就是安全性。有很少的安全工具會支持API管理基本功能,這大大限制了它們在云計算和安全方面的有效性。讓我們通過一個潛在的場景來顯示安全自動化是如何的強大。
我曾工作過的IT部門的共同問題是跟蹤資產,確保安全配置資產并正確保護網絡中的資產,同時留意用戶與數據的狀況。我們所使用的工具和流程,其中大部分是手工操作的。
但是想象一下,如果我們能夠實現幾乎所有這些功能的自動化。在一個連接至云計算網絡門戶的用戶檢查x尺寸和配置的新部門Sharepoint堆棧的用例中,云計算控制器首先通過非安全政策運行,以確保授權用戶和部門請求資源,然后開始配置過程。
隨著實例運行,它已通過防火墻與外部世界隔離,并自動打補丁更新至最新水平,配置至當前的安全和運行標準。然后,實例與云計算控制器通過一系列API調用一套安全工具。
云計算控制器使用漏洞管理工具自動注冊實例、執行評估并在發生任何故障時將其隔離。
作為配置腳本程序的一部分,安裝不同安全代理,新的實例使用日志管理、SIEM、防病毒以及其他核心安全和合規性工具進行注冊。然后,基于實例的屬性,這些工具把不同的配置參數發送回代理。
再次,基于實例的屬性,建立起適當的網絡防火墻和IDS/IPS規則。既然我們無法確認實例將始終停留在我們放置在它的位置,在主機中通過網絡安全代理實施那些相同規則中的一些。
共0條 [查看全部] 網友評論