徐皞

几乎每个企业的数据中心都有大量的防火墙设备，但谷歌的数据中心例外。谷歌到底是如何摆脱传统的防火墙，同时确保数据中心应用的访问控制呢？

来自技术层面的答案是：谷歌将访问控制、认证和授权放在应用层实现，而不是在传统的网络层实现。谷歌的方法使得访问控制不可改变、便携和易于扩展。

尽管有好处，但到底是在应用层还是网络层进行安全控制的争论由来已久。从历史上看，企业数据中心选择了“后思考”的网络层安全模型，因为该模型很适合传统环境：大多数数据中心都在运行标准套装软件，工作负载信任它们的内部网络，并且职责分离。

总之，过去以应用层为中心的模型并不适合企业。但许多情况正在发生改变，导致云原生应用浪潮，改变企业数据中心负载的安全控制方法：

1.企业定制软件将主宰未来数据中心：传统上，企业数据中心部署了大量的套装软件，企业保护这类软件的可行方法是从套装软件外面进行保护。但企业正将传统的套装软件转为SaaS（软件即服务）的消费模式，所以套装软件安全不再是一个内部要求。相反，企业将主要依靠内部开发的定制软件来展现他们的业务价值。对于内部定制的应用，嵌入应用层的安全控制将更为高效，因为企业本身就拥有应用的代码和设计；

2.内部安全和边界安全的重要性趋于一致：传统的企业工作负载通常对内部网络有相当程度的信任，不太需要对每个单一的工作负载都进行访问控制，所以传统的分区或微分区技术，很好地满足了这种用途。但谷歌的安全要求是基于“零信任”，它不认为内部网络比公共互联网更安全。很明显，传统的基于网络的访问控制技术，不能扩展到谷歌这样的规模，所以谷歌在过去十年内必须带头采用基于应用层的安全模式。现在，企业也开始关心内部安全了。诸多原因之一就是，所谓的“内部”可能现在已经在公共或混合云上了，再也不是传统上完全可控的“内部”了。基于应用的、嵌入式安全模型具有更好的扩展性和可移植性，成为更适合今天企业应用的新安全模型。

3.企业走向开发自运维：传统上，开发和运营之间责任分工不同，这使得开发和运维之间形成了自然的边界，从而“后思考”的网络层安全模型，很好地契合了这种传统的工作流程。尽管开发和运维之间的有些责任分工依然存在，但开发自运维，推动了开发者参与安全控制。随着Docker容器和微服务的日益流行，应用在生命周期里的变化率急剧增加。应用组件来来去去，规模不断地变化。基于网络的“后思考”安全模型，根本无法跟上变化的步伐，反之基于应用层的安全模型，则会显得如鱼得水。

“后思考”的网络安全模型是今天网络安全的现状，这种安全模型很好地守护了过去二十年的网络安全。随着云原生应用的出现，云计算部署的加速，以及业界对开发自运维的采用，企业需要寻找和云原生更匹配的安全模式。从“后思考”到“嵌入式”的安全范式转变，不会在一夜之间发生，但许多激动人心的变化，正在今天的云安全行业里发生！