當(dāng)企業(yè)開(kāi)始運(yùn)行應(yīng)用程序工作負(fù)載時(shí)，一切似乎都很簡(jiǎn)單：企業(yè)運(yùn)行測(cè)試數(shù)據(jù)，并且每個(gè)工作人員都可以看到，而且它在哪里運(yùn)行都無(wú)關(guān)緊要。在本地部署的數(shù)據(jù)中心或在云端，它們都是一樣的。但是，一旦開(kāi)始部署實(shí)際工作負(fù)載，使用真實(shí)數(shù)據(jù)和實(shí)際流程，就會(huì)發(fā)生一些變化：某些數(shù)據(jù)以及其中一些過(guò)程會(huì)很敏感。那么企業(yè)應(yīng)該如何決定將工作負(fù)載放在哪里，一旦他們部署在那里，企業(yè)應(yīng)該如何保護(hù)它們？

如何為工作負(fù)載找到適合的場(chǎng)所？人們總是聽(tīng)到企業(yè)IT領(lǐng)導(dǎo)者提出這樣的問(wèn)題。以下通過(guò)詢問(wèn)五個(gè)相關(guān)的問(wèn)題來(lái)回答這個(gè)問(wèn)題，這些問(wèn)題將幫助企業(yè)選擇工作負(fù)載的適合場(chǎng)所：

什么是敏感數(shù)據(jù)和敏感過(guò)程？

誰(shuí)應(yīng)該訪問(wèn)，誰(shuí)不應(yīng)該？

我可以信任誰(shuí)，為什么？

什么位置適合？

如何控制工作量安置？

1．什么是敏感數(shù)據(jù)和敏感過(guò)程？

這個(gè)問(wèn)題可能需要長(zhǎng)篇大論進(jìn)行闡述。閱讀敏感數(shù)據(jù)需要重新考慮企業(yè)的定義的時(shí)間。但是如果沒(méi)有時(shí)間閱讀這些觀點(diǎn)，那么簡(jiǎn)而言之，幾乎所有的數(shù)據(jù)都有可能是敏感的，這取決于應(yīng)用場(chǎng)景。一旦確定了需要保護(hù)的數(shù)據(jù)以及需要保護(hù)的屬性，無(wú)論是保密性、完整性、可用性、正確性還是其他屬性，那么現(xiàn)在是花費(fèi)一些時(shí)間思考如何保護(hù)它的時(shí)候了。

2．誰(shuí)應(yīng)該訪問(wèn)，誰(shuí)不應(yīng)該訪問(wèn)？

在研究什么樣的數(shù)據(jù)和過(guò)程是敏感的時(shí)候，人們不會(huì)做的一件事就是了解它們?cè)谀男┣闆r下是敏感的。這會(huì)提供一些關(guān)于什么樣的人應(yīng)該有權(quán)訪問(wèn)的指標(biāo)。人們應(yīng)該意識(shí)到，這些人經(jīng)常會(huì)隨著時(shí)間的推移而變化：假設(shè)某人得到提升，并且現(xiàn)在可以訪問(wèn)新數(shù)據(jù)，或者企業(yè)結(jié)果發(fā)布后，其保密的財(cái)務(wù)數(shù)據(jù)就會(huì)公開(kāi)化。

解決這一系列變化的標(biāo)準(zhǔn)方法是標(biāo)記數(shù)據(jù)并賦予不同的角色，這些角色在移動(dòng)角色時(shí)可能會(huì)發(fā)生變化：限制哪些角色應(yīng)該訪問(wèn)哪些數(shù)據(jù)是非常簡(jiǎn)單的。這通常稱為RBAC（基于角色的訪問(wèn)控制）。在某些場(chǎng)景下，這些是不夠的，因此可以使用數(shù)據(jù)或人員的其他屬性，從而導(dǎo)致采用ABAC（基于屬性的訪問(wèn)控制）等替代方案。

也許人們會(huì)注意到，這里將上述指標(biāo)從“數(shù)據(jù)和過(guò)程”改為“數(shù)據(jù)”。那是因?yàn)檫^(guò)程可能會(huì)很尷尬。過(guò)程可以經(jīng)常改變他們的敏感度，有時(shí)會(huì)出乎意料地或惡意地改變他們的敏感度？那么，也可能企業(yè)的數(shù)據(jù)現(xiàn)在被勒索軟件劫持，目前正在后臺(tái)加密其硬盤(pán)驅(qū)動(dòng)器。

過(guò)程通常很難用與數(shù)據(jù)完全相同的方式來(lái)描述，因此，一個(gè)很好的經(jīng)驗(yàn)法則是根據(jù)在出現(xiàn)問(wèn)題時(shí)可能發(fā)生的最壞情況來(lái)限制它們。

3．我可以信任誰(shuí)，為什么？

這個(gè)問(wèn)題的答案是“沒(méi)有人”，即使人們意識(shí)到這是不現(xiàn)實(shí)的。簡(jiǎn)單的說(shuō)，如何信任別人取決于場(chǎng)景。

就數(shù)據(jù)而言，正如上面所描述的，在考慮信任時(shí)，背景是王道。例如，人們相信魚(yú)販會(huì)了解和管理會(huì)計(jì)事務(wù)嗎？你會(huì)相信會(huì)計(jì)師會(huì)去賣(mài)魚(yú)嗎？對(duì)于操作和管理系統(tǒng)的人也是如此：人們會(huì)認(rèn)為他們各自做不同的事情。

具體來(lái)說(shuō)，這里正在討論的是兩套系統(tǒng)：人們運(yùn)行的工作負(fù)載以及它們運(yùn)行的主機(jī)。你可能已經(jīng)有了控制措施來(lái)確保只有自己的財(cái)務(wù)和人力資源團(tuán)隊(duì)才可以訪問(wèn)的工資核算工作負(fù)載，但工資核算工作負(fù)載所運(yùn)行的主機(jī)呢？

人們并不總是能夠意識(shí)到這一點(diǎn)，但當(dāng)工作負(fù)載在主機(jī)上運(yùn)行時(shí)，在容器中或在虛擬機(jī)中，任何人或者任何具有對(duì)該機(jī)器的管理訪問(wèn)權(quán)限的進(jìn)程，都能完全控制該工作負(fù)載。這不僅可以阻止它運(yùn)行：人們可以查看它，甚至可以更改它包含的數(shù)據(jù)。這是令人震驚的，因?yàn)閷?duì)于工資核算工作負(fù)載范例而言，這意味著人們不僅需要信任財(cái)務(wù)和人力資源團(tuán)隊(duì)的數(shù)據(jù)，任何管理人員還有權(quán)訪問(wèn)運(yùn)行工作負(fù)載的主機(jī)。

當(dāng)然，企業(yè)還需要確保主機(jī)本身具有足夠的安全性，因?yàn)槿绻粽咴O(shè)法進(jìn)入其中一個(gè)主機(jī)，那么就能夠控制敏感的工作負(fù)載。

企業(yè)管理人員需要相信員工，但也需要確保主機(jī)本身的管理良好，并將這兩方面結(jié)合，那么人們需要開(kāi)始思考可能會(huì)將工作負(fù)載放在哪里。

4．什么位置適合？

企業(yè)顯然希望將工作負(fù)載放在安全的地方。或者更確切地說(shuō)，企業(yè)可以在何處應(yīng)用相對(duì)于其所包含的數(shù)據(jù)和流程敏感性的適當(dāng)措施。這并不總是意味著采用最高級(jí)別的安全性或最昂貴的解決方案，但表明企業(yè)需要決定哪些工作量應(yīng)該放在哪里。

企業(yè)的管理人員會(huì)說(shuō)，“我們不能信任公共云，因?yàn)樗皇俏覀兊膯T工運(yùn)行系統(tǒng)”。但公共云可能是企業(yè)運(yùn)行工作負(fù)載的很好選擇。成本和易用性的平衡可能勝過(guò)許多低靈敏度工作負(fù)載的安全問(wèn)題，這就是為什么混合云對(duì)許多組織來(lái)說(shuō)是如此引人注目的原因。

企業(yè)真的需要最高級(jí)別的安全性，還是最昂貴的解決方案？

另外，正如以上所提到的，主機(jī)本身管理良好至關(guān)重要。云計(jì)算服務(wù)提供商在其基礎(chǔ)設(shè)施上花費(fèi)大量資金，為主機(jī)提供多級(jí)管理和運(yùn)營(yíng)專業(yè)知識(shí)，許多企業(yè)可能無(wú)法將其擴(kuò)展到整個(gè)計(jì)算機(jī)產(chǎn)業(yè)。

有一系列要求，從安全保障嚴(yán)密的基礎(chǔ)設(shè)施到商品公共云。諸如“只有經(jīng)過(guò)授權(quán)的，經(jīng)過(guò)安全檢查的工作人員才能管理的機(jī)器池”等選項(xiàng)位于這二者之間的某處。

企業(yè)需要根據(jù)風(fēng)險(xiǎn)、成本、可用性，以及組織中可能適用的其他因素來(lái)確定適用于每種類型的工作負(fù)載。

5．如何控制工作量的安置？

在決定了哪些工作負(fù)載應(yīng)該允許在哪些主機(jī)上運(yùn)行后，如何確保所有工作都能正常工作？企業(yè)可以采用什么措施提高各種主機(jī)的安全級(jí)別？將可用控件分類的一種方法是將它們分成三種類型：

合同或行政控制：這些方法包括數(shù)據(jù)隱私協(xié)議、員工背景調(diào)查、ISO 9001，以及類似方法，這些方法可讓管理人員對(duì)組織內(nèi)部或內(nèi)部云組織進(jìn)行控制，以及如何控制主機(jī)運(yùn)行他們的過(guò)程。具體哪些方法適用將取決于許多因素，但這些始終是一個(gè)很好的考慮起點(diǎn)。然而，它們本身并不足夠。

架構(gòu)控制：這些方法允許管理人員執(zhí)行有關(guān)應(yīng)將哪些工作負(fù)載托管在何處的放置策略。它們包括調(diào)度和放置算法（通過(guò)編排平臺(tái)，如Kubernetes或OpenShift）、API控制、虛擬網(wǎng)絡(luò)、存儲(chǔ)規(guī)則、身份驗(yàn)證機(jī)制等機(jī)制。綜合起來(lái)，這兩個(gè)選項(xiàng)允許管理人員指定哪些主機(jī)集可以放置不同類型的工作負(fù)載，然后驗(yàn)證并監(jiān)控這些規(guī)則是否已經(jīng)遵循。

這些是當(dāng)今大多數(shù)組織可用的最具表現(xiàn)力和多功能的工具，可讓企業(yè)跨越混合云部署跨越各種工作負(fù)載。

技術(shù)控制：有幾種機(jī)制可以讓企業(yè)在不完全信任的主機(jī)上運(yùn)行工作負(fù)載，并確保不會(huì)被篡改。

第一個(gè)也是最為人所知的是HSM（硬件安全模塊），但部署這些模塊代價(jià)高昂，不能很好地?cái)U(kuò)展并且很難編程，特別是對(duì)于通用工作負(fù)載來(lái)說(shuō)。第二種是FPGA（現(xiàn)場(chǎng)可編程門(mén)陣列，這是位于主機(jī)主板上的芯片），但編程昂貴，并且像HSM（硬件安全模塊）一樣僅適用于某些工作負(fù)載類型。第三個(gè)TEE（可信執(zhí)行環(huán)境）提供了一種新的方法，芯片生產(chǎn)商在高端商品硬件上的發(fā)展很有前景，一旦它們變得可用，就可以提供一種方法來(lái)隱藏主機(jī)上管理員執(zhí)行的工作負(fù)載。現(xiàn)在，對(duì)于大多數(shù)組織來(lái)說(shuō)，這些都是未來(lái)的事情。

與此同時(shí)，大多數(shù)組織將依靠前兩種機(jī)制控制來(lái)管理工作負(fù)載的安置。

完善地點(diǎn)和原因

并非所有的工作負(fù)載都是平等的，因?yàn)樗械闹鳈C(jī)都不一樣。管理人員需要了解數(shù)據(jù)和進(jìn)程的敏感度，考慮適當(dāng)?shù)墓ぷ髫?fù)載放置，允許在它們應(yīng)該運(yùn)行的地方創(chuàng)建策略，然后控制、驗(yàn)證和監(jiān)視這些策略是否正確應(yīng)用。對(duì)于敏感的工作負(fù)載技術(shù)控制的未來(lái)機(jī)會(huì)看起來(lái)很有必要，但對(duì)企業(yè)的工作負(fù)載需求和現(xiàn)有工具和機(jī)制應(yīng)用的良好分析，已經(jīng)使人們能夠很好地控制在哪里運(yùn)行以及為什么這么做。