Forrester 最近的一項(xiàng)研究指出，云安全信心是采用更多云服務(wù)的主要驅(qū)動(dòng)力，剛才提到的方法可以緩解安全問題。

編輯搜圖

圖 1：統(tǒng)一云原生安全平臺(tái)的多層結(jié)構(gòu)

基于責(zé)任共擔(dān)模型，在基礎(chǔ)設(shè)施層 (IaaS)，云提供商負(fù)責(zé)保護(hù)其計(jì)算網(wǎng)絡(luò)存儲(chǔ)基礎(chǔ)設(shè)施資源。云用戶負(fù)責(zé)保護(hù)部署在基礎(chǔ)設(shè)施上的數(shù)據(jù)、應(yīng)用程序和其他資產(chǎn)。云提供商提供了許多工具和服務(wù)來幫助用戶維護(hù)他們的責(zé)任共擔(dān)模型，它們是所有云網(wǎng)絡(luò)安全解決方案的重要組成部分。

但是，云提供商不是安全專家，他們也不解決多云基礎(chǔ)架構(gòu)的問題，因此需要這些工具和服務(wù)之外的其他安全解決方案來實(shí)現(xiàn)企業(yè)級網(wǎng)絡(luò)安全。

云網(wǎng)絡(luò)安全是一個(gè)關(guān)鍵的基礎(chǔ)層。在這里，企業(yè)經(jīng)常部署虛擬安全網(wǎng)關(guān)來提供高級威脅預(yù)防、流量檢查和微分段。這些解決方案包括多層安全技術(shù)，例如防火墻、入侵防御系統(tǒng) (IPS)、應(yīng)用程序控制、數(shù)據(jù)丟失防護(hù)等。

本文將介紹在為云部署檢查和選擇云網(wǎng)絡(luò)安全平臺(tái)時(shí)必不可少的 10 個(gè)標(biāo)準(zhǔn)。它解釋了企業(yè)管理者如何確保供應(yīng)商解決方案可以提供對企業(yè)的成功和安全至關(guān)重要的功能。

1.它是否提供高級威脅防御和深度安全?

在當(dāng)今復(fù)雜的網(wǎng)絡(luò)安全環(huán)境中，威脅檢測不足以有效保護(hù)云資產(chǎn)。這是因?yàn)樵谕{入侵企業(yè)網(wǎng)絡(luò)后才檢測到該威脅，會(huì)使企業(yè)的資產(chǎn)暴露在無法接受的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)水平之下。

企業(yè)需要針對已知和未知(零日)漏洞進(jìn)行多層實(shí)時(shí)威脅防護(hù)。該解決方案必須通過細(xì)粒度和深度流量檢查、增強(qiáng)威脅情報(bào)和沙盒等功能提供深度安全性，以隔離可疑流量，直到它被驗(yàn)證或阻止。

這將允許企業(yè)在滲透網(wǎng)絡(luò)之前捕獲并消除威脅。此外，這些高級功能必須部署在南北(傳入/傳出)和東西(橫向)流量上。

2.解決方案是否無邊界?

安全團(tuán)隊(duì)無法使用由特定于供應(yīng)商或特定于環(huán)境的安全工具組成的零散堆棧來提供企業(yè)級保護(hù)。即使是最復(fù)雜的多云和混合(公共/私有/本地)環(huán)境，該解決方案也必須透明且一致地運(yùn)行。

統(tǒng)一的管理界面，有時(shí)稱為“單一管理平臺(tái)”，應(yīng)該提供單一的云網(wǎng)絡(luò)安全信息來源，以及一個(gè)集中的命令和控制臺(tái)。

3.是否有細(xì)化的流量檢查和控制?

如果沒有深度流量檢查，企業(yè)很容易成為規(guī)避技術(shù)的犧牲品，這些技術(shù)試圖通過看似合法的接入點(diǎn)執(zhí)行未經(jīng)授權(quán)的操作。尋找下一代防火墻 (NGFW)功能，例如超越基本白名單的精細(xì)匹配粒度、深度檢查以確保流量與允許端口的用途相匹配、基于 URL 地址的高級過濾以及不僅僅在端口級別的控制，應(yīng)用級別也是如此。

4.是否有自動(dòng)化?

任何不能實(shí)現(xiàn)高度自動(dòng)化的云解決方案都將無法得到客戶的支持。為了與 DevOps 的速度和可擴(kuò)展性相匹配，該解決方案必須支持高水平的自動(dòng)化，包括安全網(wǎng)關(guān)的程序化命令和控制、與 CI/CD 流程的無縫集成、自動(dòng)化威脅響應(yīng)和修復(fù)工作流，以及不需要人工干預(yù)的動(dòng)態(tài)策略更新。

5.集成體驗(yàn)如何，是否易用?

集成對于此處描述的許多其他考慮因素至關(guān)重要，例如實(shí)現(xiàn)無邊界操作和提高可見性。它在創(chuàng)建跨功能的云安全平臺(tái)方面發(fā)揮著重要作用，該平臺(tái)不僅可以解決基礎(chǔ)設(shè)施安全問題，還可以解決應(yīng)用程序安全、云安全態(tài)勢管理等問題。

因此，該解決方案必須與企業(yè)的配置管理堆棧(包括對基礎(chǔ)設(shè)施即代碼部署的支持)協(xié)同工作。此外，該解決方案必須與云提供商的產(chǎn)品深度集成。一般來說，企業(yè)的目標(biāo)應(yīng)該是通過最大限度地減少必須單獨(dú)部署和管理的單點(diǎn)安全解決方案的數(shù)量來簡化操作并提高易用性。

6.是否有足夠的可見性和可觀察性?

企業(yè)管理者無法保護(hù)看不到的東西。解決方案的儀表板、日志和報(bào)告應(yīng)在事件發(fā)生時(shí)提供端到端和可操作的可見性。例如，日志和報(bào)告應(yīng)該使用易于解析的云對象名稱，而不是模糊的 IP 地址。如果發(fā)生違規(guī)行為，這種可見性對于增強(qiáng)取證分析也很重要。

7.解決方案是否可擴(kuò)展并具有安全遠(yuǎn)程訪問?

在高度分散的世界中，遠(yuǎn)程訪問既安全又高效的企業(yè)網(wǎng)絡(luò)是必不可少的。該解決方案必須保護(hù)對公司云環(huán)境的遠(yuǎn)程訪問，具有多因素身份驗(yàn)證、端點(diǎn)合規(guī)性掃描和傳輸中數(shù)據(jù)加密等功能。

遠(yuǎn)程訪問還必須能夠快速擴(kuò)展，以便在中斷期間(例如疫情大流行)，任何數(shù)量的遠(yuǎn)程員工都可以高效且安全地工作。

8.是否有上下文感知的安全管理?

隨著資產(chǎn)、變更和配置管理框架在漏洞修復(fù)工作中發(fā)揮核心作用，企業(yè)的安全平臺(tái)必須能夠無縫發(fā)布變更并實(shí)時(shí)適應(yīng)所有相關(guān)的安全策略。

云網(wǎng)絡(luò)安全解決方案必須能夠在整個(gè)環(huán)境(公共云和私有云以及本地網(wǎng)絡(luò))中聚合和關(guān)聯(lián)信息，以便安全策略能夠感知上下文并保持一致。對網(wǎng)絡(luò)、資產(chǎn)或安全組配置的更改應(yīng)自動(dòng)反映在其相關(guān)的安全策略中。

9.提供哪些供應(yīng)商支持和行業(yè)認(rèn)可?

除了解決方案本身的特性和功能之外，密切了解供應(yīng)商也很重要。尋求公正的建議，以尋找能夠推動(dòng)云安全戰(zhàn)略向前發(fā)展的供應(yīng)商，以適應(yīng)和擴(kuò)展不斷變化的業(yè)務(wù)需求。

企業(yè)還需考慮以下問題：

• 是否受到獨(dú)立行業(yè)分析師和第三方安全測試公司的高度評價(jià)?

• 可以滿足企業(yè)的 SLA要求嗎?

• 是否有可靠的記錄?

• 能否提供附加價(jià)值，例如網(wǎng)絡(luò)安全咨詢服務(wù)?是否可以支持企業(yè)的全球運(yùn)營?

• 是否致力于創(chuàng)新，以使其解決方案經(jīng)得起未來考驗(yàn)?

• 其軟件是否成熟，漏洞很少，是否提供及時(shí)的修復(fù)?

10.總擁有成本是多少?

企業(yè)必然希望其云安全平臺(tái)能夠簡化運(yùn)營、優(yōu)化工作流程并降低成本，同時(shí)增強(qiáng)安全態(tài)勢。

通過查看許可模式的靈活性、云安全平臺(tái)與現(xiàn)有 IT 系統(tǒng)集成并利用現(xiàn)有 IT 系統(tǒng)的程度、管理系統(tǒng)所需的人員水平和范圍、供應(yīng)商的 MTTR 和可用性 SLA 來確定總擁有成本。

企業(yè)最不想看到的就是隱藏的基礎(chǔ)設(shè)施、人員和其他在系統(tǒng)啟動(dòng)并運(yùn)行后才會(huì)出現(xiàn)的成本。

11.結(jié)論

遷移到云端的企業(yè)需要能夠控制自己的數(shù)據(jù)并將其保密，保護(hù)自己免受網(wǎng)絡(luò)威脅，并安全地將云與傳統(tǒng)的本地網(wǎng)絡(luò)連接起來——同時(shí)保持對監(jiān)管要求的合規(guī)性。

采用滿足這些要求并與其云提供商無縫集成的云網(wǎng)絡(luò)安全解決方案將幫助企業(yè)在威脅日益增加的環(huán)境中保持安全。