IT中最古老的纷争之一就是在应用安全性与应用性能之间。双方都声称有大量数据支持其论据。尽管在外行来看这看似不重要,但这并不是小问题。系统管理员往往被要求做办不到的事儿,保持系统运行及性能级别以满足业务对访问速度及灵活性的要求。管理员不能接受影响系统性能级别的事儿发生,唯恐其他人影响他们完成性能指标。安全专业人士必须确保应用不受内外部威胁的影响,包括黑客攻击、数据丢失、破坏及偷盗行为。上述任一安全威胁都可能使公司登上本地乃至国家新闻的头版,对安全团队来说,这一直都不是什么好消息。
尽管安全与性能团队目标不同,但他们都是为了实现企业利益大化。事实是双方并没有据理力争,因为他们都没有太多的时间。系统管理员需要缩短系统上线时间并确保服务器及应用性能。管理员需要简化流程以满足业务要求。安全团队需要时间进行合理的配置以确保应用在发布前解决了数据丢失问题。双方需要通力合作找到平衡安全性与性能的方法以满足业务需求。
再见分层方式
平衡安全性与性能的好方式从头开始。在物理环境中我说的开始指的是基础模板或者构建文档。对很多人来说,首次听到“服务器加固”术语是在构建完成之后。在完成其他步骤后,服务器加固将交由安全团队完成。这已经是成为了一个主要的问题,因为安全问题或者超出系统管理员职责范围之外的任何问题只有在问题暴露后才会被发现。这种分层方法往往没有效率,使得平衡安全与性能变得很困难。尽管违背了流水线原则,但舍弃分层方式能够给安全性、性能以及最为重要的时间要素带来惊人的好处。
共担安全职责
舍弃分层方式并不像想象的那么困难。实际上只需要采取一些关键的步骤,相对简单。先从考虑期望的最终状态以及采取什么措施达到目标开始。安全人员看过构建文档吗?系统管理员看过安全要求了吗?你可能不会对往往听到的是否定的答案感到惊讶。如果两个团队花一些时间退一步仔细考虑下以上问题,他们可能会发现需要一些新文档以创建一个全新的构建满足双方需求。
这可能会导致系统管理员在最初的构建中通过完成一些安全步骤参与到安全流程中。例如,他可能至少要启用防火墙作为基本的保护措施,或者在服务器交由安全团队前对帐号进行修改。公平来讲,这么看来系统管理员需要做更多的工作。然而提供可接受的服务器安全配置基线减少了安全团队需要耗费的时间,对系统请求者来说,总体部署效率更高了。
找到平衡的性能提升方式
系统管理员与安全团队紧密协作还具有其他优势。如果系统管理员协助进行安全控制,他还能够帮助设置安全基线并提出能够提升系统性能的调整建议。这可能需要配置防火墙或者进行配置扫描,或者确定应该在日志及报表中排除那些信息。系统管理员在一开始就参与安全设置使两个团队更好地实现安全及性能最终目标。这对企业也有好处,因为这一协作方式有可能能够开启自动化安全流程的大门。
增加服务器及部署过程的安全性但避免影响性能并没有神奇的公式或者捷径可言。平衡安全性及性能的最佳方式是将安全需求作为服务器构建的一个通用核心组件而不仅仅是将安全需求作为服务器构建过程中的障碍。