安全奧卡姆剃刀原理少即是多

本文講的是安全奧卡姆剃刀原理：少即是多,「不是一天天的增加要求而是要一天天的減少，減去那些不必要的東西。」—— 李小龍

網路安全技術創新的快速發展，為解決我們計算環境中的漏洞問題提供了幾乎取之不盡的新安全方法。但如果並非越多越好，那麼又會是怎樣一番情形呢？

看看下面這張圖表，你能找到攻擊伺服器嗎？邊界安全技術會在資料中心內部找出埠掃瞄行為嗎？

那麼，我們應該在內部部署更多的防護技術，對嗎？或許沒那麼簡單。

過去十年總結出來的重要安全認知之一就是：加入更多的技術，尤其是在資料中心內部構築更多的基礎設施層級，實際上弊大於利。實際上，今年的rsa大會上那些企業的ciso們，普遍覺得陷入了新安全廠商的包圍圈，像在被壞人威脅一樣不舒服。

公司企業已經有了一大堆基礎設施和安全技術要管理。像防火牆這樣的基礎設施技術會產生複雜的流量導向和「策略欠缺」。可以向大公司諮詢一下他們的防火牆規則相關事務：有多少條？多久清理一次過時的規則/策略？對未知事物的感覺如何？相信我，這樣的對話結果幾乎不可能會令人愉悅。

如果一家公司已有25年歷史，其基礎設施就會有些像羅馬城：建立在層層技術基礎之上。

遊覽羅馬，你能看到乙個社會是怎樣建築在上乙個社會基礎之上的諸多例子。深入現代資料中心，多層技術同時存在的現象與之類似。

當前乙個普遍的限制，就是虛擬化計算堆疊來更好地保護它(例如：從虛擬機器管理程式獲得隔離和安全)。在虛擬機器上執行軟體有著諸多現實好處，但重寫和遷移伺服器就總是好事嗎？如果想從裸機遷移進容器並省略到虛擬化步驟又會怎樣呢？在過去，應用必須適應基礎設施——還記得wintel嗎？英特爾推出一款晶元，微軟就得摸索出怎樣才能最大化該晶元的能力。

今天，情況正好相反，安全和基礎設施廠商不得不追著應用跑。對今天的唯基礎設施安全解決方案而言，計算世界已經太過複雜，太過異構。交易處理、雲端web伺服器虛擬機器、開發公司容器等等，簡直可以被稱為裸機。這些環境下的安全該如何保證？

現在這種時候，我們應該找尋發揮現有基礎設施能力的方法，而不是不斷地新增額外的層級，增加必須管理的複雜性。瓶頸點(包括虛擬裝置)設定越多，需要管理的事也就越多，需要導向的流量自然更多。這又怎麼可能幫得到已經不堪重負的基礎設施和安全團隊呢？

而如果可以啟用資料中心和雲環境中隨處可見的現有安全控制，並將之與其他安全投入相結合，又會發生怎樣的化學反應？通過利用起基礎設施「不可見」的安全技術，可以減少，而不是增加，it和安全的負擔。

採用啟用現有安全控制的安全技術而不是簡單粗暴地新增新裝置，符合奧卡姆剃刀原理——14世紀英國邏輯學家提出的「如無必要，勿增實體」原理。簡單說來，少即是多。

安全奧卡姆剃刀原理 少即是多

奧卡姆剃刀

奧卡姆剃刀

機器學習 「奧卡姆剃刀」原理

相關推薦

安全奧卡姆剃刀原理少即是多

機器學習「奧卡姆剃刀」原理