全球各地疫情控制日趋好转,企业恢复生产、扭亏为盈的需求也在不断提升。在业务回归常态的进程中,深化云落地、确保云安全已成为保障业务发展的关键之一。防御吧 2020 年云安全报告显示,75% 的受访组织非常担心或极度担心云安全问题。下图说明了组织应建立的一种多层的统一云安全平台,以保护其云部署并确保强大的云安全防护。同样,Forrester 最近开展的一项研究指出,云安全信心是采用更多云服务的主要驱动因素。
在防御吧看来,企业决策者与网络管理者要确保云安全就必须采用责任共担模式。在基础设施层面 (IaaS),云提供商负责保护其计算-网络-存储基础设施资源,而企业用户则需负责保护部署在基础设施上的数据、应用及其他资产。云提供商为帮助用户实施责任共担模式而提供的工具和服务是任何云网络安全解决方案的重要组成部分。但云提供商并不精于安全保护;这些云提供商工具和服务必须辅以合作伙伴解决方案才可实现企业级网络安全。
如图 1 所示,关键基础层是云网络安全,其中企业应部署虚拟安全网关,以提供高级威胁防护、流量检查及微分段。此类安全解决方案采用多层安全技术,包括防火墙、IPS、应用控制 及 DLP 等。
通过互联网安全长期经验积累以及用户直接反馈,防御吧安全专家推出了在选择云网络安全平台时应特别关注的十大重要思考要素,阐述了企业如何在享有云计算优势的同时,保障自身核心应用与数字资产不受侵害与损失。
1.高级威胁防护和深度安全保护 用户应注意威胁检测的不足,以有效保护当今复杂网络安全环境中的云资产。企业需要对已知和未知(零日)漏洞实施多层实时威胁防护。解决方案必须能够通过细粒度和深度流量检查、增强型威胁情报及沙盒(可在验证或拦截可疑流量之前对其进行隔离)提供深度安全保护。这些高级功能必须部署在南北向(传入/传出)和东西向(横向)流量通道上。 |
2.无边界 即使在最复杂的多云和混合(公有云/私有云/本地)环境中,解决方案也必须透明、一致地运行。统一的管理界面(有时称为“单个管理平台”)应提供唯一的云网络安全真实信息来源以及集中命令和控制台。 |
3.细粒度流量检查和控制 选择使用新一代防火墙 (NGFW) 功能,例如精细匹配细粒度(不仅限于基本白名单)、深度检查(以确保流量传输符合允许的端口用途)、基于 URL 地址的高级过滤功能以及端口级和应用级控制。 |
4.自动化 为了满足 DevOps 的速度和可扩展性要求,解决方案必须支持高度自动化,包括安全网关的编程命令和控制、CI/CD 流程的无缝集成、自动威胁响应和修复工作流及无需人工干预的动态策略更新。 |
5.集成和易用性 解决方案必须可以很好地与企业的配置管理堆栈搭配使用,包括支持基础设施即代码部署。此外,该解决方案还必须能够紧密集成云提供商的产品。通常,您的目标应是最大限度地减少必须单独部署和管理的单点安全解决方案的数量,从而简化运营并提高易用性。 |
6.可视性 解决方案的仪表盘、日志及报告应在事件发生时提供切实可行的端到端可视性。例如,日志和报告应使用易于解析的云对象名称,而非模糊的 IP 地址。如果出现安全漏洞,这种可视性对于增强的取证分析也很重要。 |
7.可扩展的安全远程访问 解决方案必须使用多重身份验证、端点合规性扫描及传输中数据加密等特性保护对公司的云环境的远程访问。此外,远程访问还必须能够快速扩展,以便在发生新冠肺炎疫情等突发情况时,确保任何数量的远程员工均可高效、安全办公。 |
8.上下文感知型安全管理 云网络安全解决方案必须能够汇总并关联整个环境(公有云和私有云及本地网络)中的信息,从而让安全策略具有上下文感知性和一致性。网络、资产或安全组配置变更应自动反映在其相关安全策略中。 |
9.厂商支持和行业认可 除了解决方案本身的特性和功能以外,进一步了解厂商也非常重要。该厂商是否赢得了独立行业分析公司和第三方安全测试公司的高度评价?能否满足企业的 SLA 要求?是否经过时间检验?能否提供增值服务,如网络安全咨询服务?能否帮助企业支持全球运营?是否致力于创新以提供面向未来的解决方案?其软件是否成熟且漏洞极少,是否及时提供修复程序? |
10.总体拥有成本 总体拥有成本取决于一系列因素,所有这些因素均应在采购时加以考虑:许可模式的灵活性、云安全平台与现有 IT 系统的无缝集成程度和利用率、管理系统所需的人员水平和规模以及厂商的 MTTR 和可用性 SLA 等。企业需要云安全平台能够简化运营、优化工作流,并在增强安全级别的同时降低成本。 越来越多的企业与机构正迁移到云端以满足自己的业务需求。这些机构希望能够控制自己的数据和保护数据隐私、防范网络威胁,并安全地连接其云环境与传统本地网络,同时始终满足法规要求。采用可满足上述要求的云网络安全解决方案将有助于组织在越来越复杂的威胁环境中持续获得可靠保护。 |