帕维尔·德斯波特著

　　人们常说云只是别人的电脑。虽然在某种程度上这是对的，但事实并非如此看看软件架构师在使用“别人的计算机”时有多少选择。自21世纪初以来，云计算提供商和服务的数量不断增加本质上增加了，开发人员广泛使用它们。因此，今天我们发现自己需要跨多个云部署和管理分布式应用程序。

　　分布式架构的敏捷性

　　正如许多专家所表明的那样，分布式架构提供了额外的敏捷性。建筑师Martin Fowler和James Lewis写了一篇关于这个话题的文章nsider明确。我还与IBM的一位高级架构师坐下来讨论了划分月的好处将应用程序整合到微服务中——即使应用程序还在生产中。

　　同样的敏捷性也是开发人员使用多云的原因之一。不同的提供商提供不同的位置、功能和解决方案。为每个工作负载选择合适的工具有助于充分利用开发人员已经紧张的时间。影子IT和收购也在增加为多云环境做出贡献。无论开发人员选择哪条道路，跨多个云的分布式架构已经成为大多数企业的标准。

　　多云架构的回报和挑战

　　正如我们从电影《太空球》中了解到的那样，“……每个Schwartz都有两面性”，这个架构的选择也不例外。尽管它们提供了敏捷性和灵活性，但分布式多云架构可能对应用程序安全性构成挑战。大量可用的环境、实例和安全需求可能导致一组难以管理的临时解决方案。

　　保护应用程序的三个挑战

　　具体来说，大多数企业在试图保护其应用程序时面临三个挑战:

　　安全需求因组件而异

　　安全功能因云而异

　　安全性应该集成到开发和QA工作流中

　　安全需求因组件而异

　　典型的应用程序

　　包含一个UI，静态co

　　内容(如图像、java)

　　javascript和CSS)，以及API调用。所有东西都应该有拒绝服务(DoS)保护。但是像库存搜索或身份验证端点这样的API需要添加

　　通过web应用程序防火墙(WAF)提供nal保护，并防止格式错误的请求。

　　类似地，如果我们想保护静态co

　　从抓取内容，这些端点将需要机器人保护。最终，每个端点都需要自己的一组安全控制，从而导致需要部署和管理大量解决方案。

　　安全功能因云而异

　　大多数云提供商都提供虚拟的安全组合

　　在各自的环境中工作的元素。但是因为它们是特定于每个云的，所以您不能重复使用相同的组合

　　在不同的环境中

　　例如，您不能使用AWS WAF来保护Azure中的工作负载。因此，使用多个云通常意味着在每个云和每个区域中复制安全控制。这再次导致需要部署和维护的安全解决方案数量的增加。

　　安全性应该集成到开发和QA工作流中

　　开发和QA环境

　　政府应该在保持实际的同时密切反映生产。这包括镜像安全控制。然而在实践中，这些环境

　　政府很少使用相同的一组解决方案，而是使用0

　　只有一小部分控件很少与生产中的内容同步，因为需要付出努力。因此，测试不太准确，并且可能错过生产环境中出现的问题。

　　一个共同的主线:需要管理

　　所有这三个挑战都会导致安全蔓延，从而导致头痛和效率低下。最明显的问题是管理。安全解决方案都需要一定程度的管理，以保持对不断变化的威胁的有效性。解决方案越多，需要的管理就越多。此外，类似的解决方案因云而异，因此每个解决方案都是可操作的

　　nfigured不同。

　　在异构的安全环境中，SecOps也更具挑战性。将日志关联起来通常是不可能的

　　以及解决方案的洞察力。这在整个应用程序的信息安全可见性方面留下了空白，阻碍了抵御攻击的能力。

　　最后，使用应用程序基础设施部署安全性增加了推出新的虚拟私有云(vpc)所需的时间和精力。例如，如果在每个云中部署安全控制，则必须在将服务投入生产之前复制所有这些控制。

　　安全控制在每个云中都是重复的

　　保护多云基础设施

　　显而易见的解决方案是将应用程序基础设施与安全性解耦。毕竟，这是理性

　　不能想要(和需要)更多的计算能力和存储随着流量的增加。但是安全组合

　　新事物需要相反的方法。它们应该长大，以应对增加

　　Nal容量和区域没有

　　G部署加法

　　实例部分。

　　Additio

　　Nal安全组合

　　Nents不必要地使操作复杂化。这似乎是一个棘手的问题，但有一个解决方案:在架构中添加边缘层。

　　移动混合涂料走向边缘

　　有限公司

　　了解保护不同应用程序组件所需的安全解决方案类型。他们有别于

　　只包括DoS保护，waf, java

　　脚本扫描、bot管理、欺诈检测、上传扫描、API验证和访问控制。当我们移动这些化合物

　　在边缘，我们有效地将它们与我们的基础设施分离。移动组合

　　迁移到边缘仅仅意味着将它们部署在边缘平台上，而不是将多个实例集中在云区域中。

　　统一的边缘安全控制

　　当在边缘平台上实现多云安全控制时，我们可以添加区域、vpc或新的云提供商，而无需使用

　　G在新环境中确定范围并重新部署安全层

　　政府-减少增加容量所需的时间和精力。这还提供了跨所有应用程序组件的统一安全性视图。

　　例如，触发多个安全控制的行为可以跟踪到单个客户端。这是计算请求风险概况的关键信息。在一组庞大的安全解决方案中手动关联事件时，几乎不可能识别恶意客户端并实现控制以减轻它们。这会损害你的安全姿态:你没有对可用的信号采取行动。

　　克服安全实施方面的挑战

　　现在您了解了跨多云架构实现安全控制的挑战，并了解了一些

　　关于如何克服它们。我们提供适合您的解决方案:Akamai Guardicore Segmentation提供了更好的方法来分割和保护您的云和数据中心，Akamai App & API Protector为您的网站、应用程序和API提供量身定制的防御。

　　了解更多

　　如果您有兴趣了解更多信息，请查看我们最近的网络研讨会，以深入了解多云安全趋势和最佳实践。

　　本文作者是Akamai Technologies的高级产品营销经理