云计算的基本概念就是收集物理资源,将它们汇集成资源池,然后根据我们的需求进行消费(或交付)。我们配置资源、使用资源,然后取消对资源的配置并将其送回至资源池。这对整个云计算堆栈:IaaS、PaaS以及SaaS皆是如此。为了达到这一目标,我们需要某种程度的自动化业务流程和管理。如果我们需要自动化,那就意味着我们需要API以用于自动化的设计、实施和管理自动。
例如,当你使用华而不实的网络接口在你的云计算平台上配置一个新实例(虚拟机)时,它使用API调用云计算控制器来配置和使用资源。云计算控制器还通过API调用不同的组件来完成绝大多数的任务。对于大多数平台上的一个简单实例,这就意味着调用一个计算机节点来管理该实例,一个容量控制器(和节点)提供存储,一个网络节点提供IP地址,调度和/或消息服务器来协调一切,而你的实例本身也就知道了它的地址和其他的资源。
有一些非常酷的工具和技术都是基于这一API驱动模态的,但是其落伍的原因之一就是安全性。有很少的安全工具会支持API管理基本功能,这大大限制了它们在云计算和安全方面的有效性。让我们通过一个潜在的场景来显示安全自动化是如何的强大。
我曾工作过的IT部门的共同问题是跟踪资产,确保安全配置资产并正确保护网络中的资产,同时留意用户与数据的状况。我们所使用的工具和流程,其中大部分是手工操作的。
但是想象一下,如果我们能够实现几乎所有这些功能的自动化。在一个连接至云计算网络门户的用户检查x尺寸和配置的新部门Sharepoint堆栈的用例中,云计算控制器首先通过非安全政策运行,以确保授权用户和部门请求资源,然后开始配置过程。
随着实例运行,它已通过防火墙与外部世界隔离,并自动打补丁更新至最新水平,配置至当前的安全和运行标准。然后,实例与云计算控制器通过一系列API调用一套安全工具。
云计算控制器使用漏洞管理工具自动注册实例、执行评估并在发生任何故障时将其隔离。
作为配置脚本程序的一部分,安装不同安全代理,新的实例使用日志管理、SIEM、防病毒以及其他核心安全和合规性工具进行注册。然后,基于实例的属性,这些工具把不同的配置参数发送回代理。
再次,基于实例的属性,建立起适当的网络防火墙和IDS/IPS规则。既然我们无法确认实例将始终停留在我们放置在它的位置,在主机中通过网络安全代理实施那些相同规则中的一些。
