當企業(yè)開始運行應(yīng)用程序工作負載時，一切似乎都很簡單：企業(yè)運行測試數(shù)據(jù)，并且每個工作人員都可以看到，而且它在哪里運行都無關(guān)緊要。在本地部署的數(shù)據(jù)中心或在云端，它們都是一樣的。但是，一旦開始部署實際工作負載，使用真實數(shù)據(jù)和實際流程，就會發(fā)生一些變化：某些數(shù)據(jù)以及其中一些過程會很敏感。那么企業(yè)應(yīng)該如何決定將工作負載放在哪里，一旦他們部署在那里，企業(yè)應(yīng)該如何保護它們？

如何為工作負載找到適合的場所？人們總是聽到企業(yè)IT領(lǐng)導(dǎo)者提出這樣的問題。以下通過詢問五個相關(guān)的問題來回答這個問題，這些問題將幫助企業(yè)選擇工作負載的適合場所：

什么是敏感數(shù)據(jù)和敏感過程？

誰應(yīng)該訪問，誰不應(yīng)該？

我可以信任誰，為什么？

什么位置適合？

如何控制工作量安置？

1．什么是敏感數(shù)據(jù)和敏感過程？

這個問題可能需要長篇大論進行闡述。閱讀敏感數(shù)據(jù)需要重新考慮企業(yè)的定義的時間。但是如果沒有時間閱讀這些觀點，那么簡而言之，幾乎所有的數(shù)據(jù)都有可能是敏感的，這取決于應(yīng)用場景。一旦確定了需要保護的數(shù)據(jù)以及需要保護的屬性，無論是保密性、完整性、可用性、正確性還是其他屬性，那么現(xiàn)在是花費一些時間思考如何保護它的時候了。

2．誰應(yīng)該訪問，誰不應(yīng)該訪問？

在研究什么樣的數(shù)據(jù)和過程是敏感的時候，人們不會做的一件事就是了解它們在哪些情況下是敏感的。這會提供一些關(guān)于什么樣的人應(yīng)該有權(quán)訪問的指標。人們應(yīng)該意識到，這些人經(jīng)常會隨著時間的推移而變化：假設(shè)某人得到提升，并且現(xiàn)在可以訪問新數(shù)據(jù)，或者企業(yè)結(jié)果發(fā)布后，其保密的財務(wù)數(shù)據(jù)就會公開化。

解決這一系列變化的標準方法是標記數(shù)據(jù)并賦予不同的角色，這些角色在移動角色時可能會發(fā)生變化：限制哪些角色應(yīng)該訪問哪些數(shù)據(jù)是非常簡單的。這通常稱為RBAC（基于角色的訪問控制）。在某些場景下，這些是不夠的，因此可以使用數(shù)據(jù)或人員的其他屬性，從而導(dǎo)致采用ABAC（基于屬性的訪問控制）等替代方案。

也許人們會注意到，這里將上述指標從“數(shù)據(jù)和過程”改為“數(shù)據(jù)”。那是因為過程可能會很尷尬。過程可以經(jīng)常改變他們的敏感度，有時會出乎意料地或惡意地改變他們的敏感度？那么，也可能企業(yè)的數(shù)據(jù)現(xiàn)在被勒索軟件劫持，目前正在后臺加密其硬盤驅(qū)動器。

過程通常很難用與數(shù)據(jù)完全相同的方式來描述，因此，一個很好的經(jīng)驗法則是根據(jù)在出現(xiàn)問題時可能發(fā)生的最壞情況來限制它們。

3．我可以信任誰，為什么？

這個問題的答案是“沒有人”，即使人們意識到這是不現(xiàn)實的。簡單的說，如何信任別人取決于場景。

就數(shù)據(jù)而言，正如上面所描述的，在考慮信任時，背景是王道。例如，人們相信魚販會了解和管理會計事務(wù)嗎？你會相信會計師會去賣魚嗎？對于操作和管理系統(tǒng)的人也是如此：人們會認為他們各自做不同的事情。

具體來說，這里正在討論的是兩套系統(tǒng)：人們運行的工作負載以及它們運行的主機。你可能已經(jīng)有了控制措施來確保只有自己的財務(wù)和人力資源團隊才可以訪問的工資核算工作負載，但工資核算工作負載所運行的主機呢？

人們并不總是能夠意識到這一點，但當工作負載在主機上運行時，在容器中或在虛擬機中，任何人或者任何具有對該機器的管理訪問權(quán)限的進程，都能完全控制該工作負載。這不僅可以阻止它運行：人們可以查看它，甚至可以更改它包含的數(shù)據(jù)。這是令人震驚的，因為對于工資核算工作負載范例而言，這意味著人們不僅需要信任財務(wù)和人力資源團隊的數(shù)據(jù)，任何管理人員還有權(quán)訪問運行工作負載的主機。

當然，企業(yè)還需要確保主機本身具有足夠的安全性，因為如果攻擊者設(shè)法進入其中一個主機，那么就能夠控制敏感的工作負載。

企業(yè)管理人員需要相信員工，但也需要確保主機本身的管理良好，并將這兩方面結(jié)合，那么人們需要開始思考可能會將工作負載放在哪里。

4．什么位置適合？

企業(yè)顯然希望將工作負載放在安全的地方。或者更確切地說，企業(yè)可以在何處應(yīng)用相對于其所包含的數(shù)據(jù)和流程敏感性的適當措施。這并不總是意味著采用最高級別的安全性或最昂貴的解決方案，但表明企業(yè)需要決定哪些工作量應(yīng)該放在哪里。

企業(yè)的管理人員會說，“我們不能信任公共云，因為它不是我們的員工運行系統(tǒng)”。但公共云可能是企業(yè)運行工作負載的很好選擇。成本和易用性的平衡可能勝過許多低靈敏度工作負載的安全問題，這就是為什么混合云對許多組織來說是如此引人注目的原因。

企業(yè)真的需要最高級別的安全性，還是最昂貴的解決方案？

另外，正如以上所提到的，主機本身管理良好至關(guān)重要。云計算服務(wù)提供商在其基礎(chǔ)設(shè)施上花費大量資金，為主機提供多級管理和運營專業(yè)知識，許多企業(yè)可能無法將其擴展到整個計算機產(chǎn)業(yè)。

有一系列要求，從安全保障嚴密的基礎(chǔ)設(shè)施到商品公共云。諸如“只有經(jīng)過授權(quán)的，經(jīng)過安全檢查的工作人員才能管理的機器池”等選項位于這二者之間的某處。

企業(yè)需要根據(jù)風(fēng)險、成本、可用性，以及組織中可能適用的其他因素來確定適用于每種類型的工作負載。

5．如何控制工作量的安置？

在決定了哪些工作負載應(yīng)該允許在哪些主機上運行后，如何確保所有工作都能正常工作？企業(yè)可以采用什么措施提高各種主機的安全級別？將可用控件分類的一種方法是將它們分成三種類型：

合同或行政控制：這些方法包括數(shù)據(jù)隱私協(xié)議、員工背景調(diào)查、ISO 9001，以及類似方法，這些方法可讓管理人員對組織內(nèi)部或內(nèi)部云組織進行控制，以及如何控制主機運行他們的過程。具體哪些方法適用將取決于許多因素，但這些始終是一個很好的考慮起點。然而，它們本身并不足夠。

架構(gòu)控制：這些方法允許管理人員執(zhí)行有關(guān)應(yīng)將哪些工作負載托管在何處的放置策略。它們包括調(diào)度和放置算法（通過編排平臺，如Kubernetes或OpenShift）、API控制、虛擬網(wǎng)絡(luò)、存儲規(guī)則、身份驗證機制等機制。綜合起來，這兩個選項允許管理人員指定哪些主機集可以放置不同類型的工作負載，然后驗證并監(jiān)控這些規(guī)則是否已經(jīng)遵循。

這些是當今大多數(shù)組織可用的最具表現(xiàn)力和多功能的工具，可讓企業(yè)跨越混合云部署跨越各種工作負載。

技術(shù)控制：有幾種機制可以讓企業(yè)在不完全信任的主機上運行工作負載，并確保不會被篡改。

第一個也是最為人所知的是HSM（硬件安全模塊），但部署這些模塊代價高昂，不能很好地擴展并且很難編程，特別是對于通用工作負載來說。第二種是FPGA（現(xiàn)場可編程門陣列，這是位于主機主板上的芯片），但編程昂貴，并且像HSM（硬件安全模塊）一樣僅適用于某些工作負載類型。第三個TEE（可信執(zhí)行環(huán)境）提供了一種新的方法，芯片生產(chǎn)商在高端商品硬件上的發(fā)展很有前景，一旦它們變得可用，就可以提供一種方法來隱藏主機上管理員執(zhí)行的工作負載。現(xiàn)在，對于大多數(shù)組織來說，這些都是未來的事情。

與此同時，大多數(shù)組織將依靠前兩種機制控制來管理工作負載的安置。

完善地點和原因

并非所有的工作負載都是平等的，因為所有的主機都不一樣。管理人員需要了解數(shù)據(jù)和進程的敏感度，考慮適當?shù)墓ぷ髫撦d放置，允許在它們應(yīng)該運行的地方創(chuàng)建策略，然后控制、驗證和監(jiān)視這些策略是否正確應(yīng)用。對于敏感的工作負載技術(shù)控制的未來機會看起來很有必要，但對企業(yè)的工作負載需求和現(xiàn)有工具和機制應(yīng)用的良好分析，已經(jīng)使人們能夠很好地控制在哪里運行以及為什么這么做。