Forrester 最近的一項研究指出，云安全信心是采用更多云服務(wù)的主要驅(qū)動力，剛才提到的方法可以緩解安全問題。

圖 1：統(tǒng)一云原生安全平臺的多層結(jié)構(gòu)

基于責(zé)任共擔(dān)模型，在基礎(chǔ)設(shè)施層 (IaaS)，云提供商負(fù)責(zé)保護其計算網(wǎng)絡(luò)存儲基礎(chǔ)設(shè)施資源。云用戶負(fù)責(zé)保護部署在基礎(chǔ)設(shè)施上的數(shù)據(jù)、應(yīng)用程序和其他資產(chǎn)。云提供商提供了許多工具和服務(wù)來幫助用戶維護他們的責(zé)任共擔(dān)模型，它們是所有云網(wǎng)絡(luò)安全解決方案的重要組成部分。

但是，云提供商不是安全專家，他們也不解決多云基礎(chǔ)架構(gòu)的問題，因此需要這些工具和服務(wù)之外的其他安全解決方案來實現(xiàn)企業(yè)級網(wǎng)絡(luò)安全。

云網(wǎng)絡(luò)安全是一個關(guān)鍵的基礎(chǔ)層。在這里，企業(yè)經(jīng)常部署虛擬安全網(wǎng)關(guān)來提供高級威脅預(yù)防、流量檢查和微分段。這些解決方案包括多層安全技術(shù)，例如防火墻、入侵防御系統(tǒng) (IPS)、應(yīng)用程序控制、數(shù)據(jù)丟失防護等。

本文將介紹在為云部署檢查和選擇云網(wǎng)絡(luò)安全平臺時必不可少的 10 個標(biāo)準(zhǔn)。它解釋了企業(yè)管理者如何確保供應(yīng)商解決方案可以提供對企業(yè)的成功和安全至關(guān)重要的功能。

1.它是否提供高級威脅防御和深度安全?

在當(dāng)今復(fù)雜的網(wǎng)絡(luò)安全環(huán)境中，威脅檢測不足以有效保護云資產(chǎn)。這是因為在威脅入侵企業(yè)網(wǎng)絡(luò)后才檢測到該威脅，會使企業(yè)的資產(chǎn)暴露在無法接受的網(wǎng)絡(luò)安全風(fēng)險水平之下。

企業(yè)需要針對已知和未知(零日)漏洞進行多層實時威脅防護。該解決方案必須通過細(xì)粒度和深度流量檢查、增強威脅情報和沙盒等功能提供深度安全性，以隔離可疑流量，直到它被驗證或阻止。

這將允許企業(yè)在滲透網(wǎng)絡(luò)之前捕獲并消除威脅。此外，這些高級功能必須部署在南北(傳入/傳出)和東西(橫向)流量上。

2.解決方案是否無邊界?

安全團隊無法使用由特定于供應(yīng)商或特定于環(huán)境的安全工具組成的零散堆棧來提供企業(yè)級保護。即使是最復(fù)雜的多云和混合(公共/私有/本地)環(huán)境，該解決方案也必須透明且一致地運行。

統(tǒng)一的管理界面，有時稱為“單一管理平臺”，應(yīng)該提供單一的云網(wǎng)絡(luò)安全信息來源，以及一個集中的命令和控制臺。

3.是否有細(xì)化的流量檢查和控制?

如果沒有深度流量檢查，企業(yè)很容易成為規(guī)避技術(shù)的犧牲品，這些技術(shù)試圖通過看似合法的接入點執(zhí)行未經(jīng)授權(quán)的操作。尋找下一代防火墻 (NGFW)功能，例如超越基本白名單的精細(xì)匹配粒度、深度檢查以確保流量與允許端口的用途相匹配、基于 URL 地址的高級過濾以及不僅僅在端口級別的控制，應(yīng)用級別也是如此。

4.是否有自動化?

任何不能實現(xiàn)高度自動化的云解決方案都將無法得到客戶的支持。為了與 DevOps 的速度和可擴展性相匹配，該解決方案必須支持高水平的自動化，包括安全網(wǎng)關(guān)的程序化命令和控制、與 CI/CD 流程的無縫集成、自動化威脅響應(yīng)和修復(fù)工作流，以及不需要人工干預(yù)的動態(tài)策略更新。

5.集成體驗如何，是否易用?

集成對于此處描述的許多其他考慮因素至關(guān)重要，例如實現(xiàn)無邊界操作和提高可見性。它在創(chuàng)建跨功能的云安全平臺方面發(fā)揮著重要作用，該平臺不僅可以解決基礎(chǔ)設(shè)施安全問題，還可以解決應(yīng)用程序安全、云安全態(tài)勢管理等問題。

因此，該解決方案必須與企業(yè)的配置管理堆棧(包括對基礎(chǔ)設(shè)施即代碼部署的支持)協(xié)同工作。此外，該解決方案必須與云提供商的產(chǎn)品深度集成。一般來說，企業(yè)的目標(biāo)應(yīng)該是通過最大限度地減少必須單獨部署和管理的單點安全解決方案的數(shù)量來簡化操作并提高易用性。

6.是否有足夠的可見性和可觀察性?

企業(yè)管理者無法保護看不到的東西。解決方案的儀表板、日志和報告應(yīng)在事件發(fā)生時提供端到端和可操作的可見性。例如，日志和報告應(yīng)該使用易于解析的云對象名稱，而不是模糊的 IP 地址。如果發(fā)生違規(guī)行為，這種可見性對于增強取證分析也很重要。

7.解決方案是否可擴展并具有安全遠(yuǎn)程訪問?

在高度分散的世界中，遠(yuǎn)程訪問既安全又高效的企業(yè)網(wǎng)絡(luò)是必不可少的。該解決方案必須保護對公司云環(huán)境的遠(yuǎn)程訪問，具有多因素身份驗證、端點合規(guī)性掃描和傳輸中數(shù)據(jù)加密等功能。

遠(yuǎn)程訪問還必須能夠快速擴展，以便在中斷期間(例如疫情大流行)，任何數(shù)量的遠(yuǎn)程員工都可以高效且安全地工作。

8.是否有上下文感知的安全管理?

隨著資產(chǎn)、變更和配置管理框架在漏洞修復(fù)工作中發(fā)揮核心作用，企業(yè)的安全平臺必須能夠無縫發(fā)布變更并實時適應(yīng)所有相關(guān)的安全策略。

云網(wǎng)絡(luò)安全解決方案必須能夠在整個環(huán)境(公共云和私有云以及本地網(wǎng)絡(luò))中聚合和關(guān)聯(lián)信息，以便安全策略能夠感知上下文并保持一致。對網(wǎng)絡(luò)、資產(chǎn)或安全組配置的更改應(yīng)自動反映在其相關(guān)的安全策略中。

9.提供哪些供應(yīng)商支持和行業(yè)認(rèn)可?

除了解決方案本身的特性和功能之外，密切了解供應(yīng)商也很重要。尋求公正的建議，以尋找能夠推動云安全戰(zhàn)略向前發(fā)展的供應(yīng)商，以適應(yīng)和擴展不斷變化的業(yè)務(wù)需求。

企業(yè)還需考慮以下問題：

• 是否受到獨立行業(yè)分析師和第三方安全測試公司的高度評價?
• 可以滿足企業(yè)的 SLA要求嗎?
• 是否有可靠的記錄?
• 能否提供附加價值，例如網(wǎng)絡(luò)安全咨詢服務(wù)?是否可以支持企業(yè)的全球運營?
• 是否致力于創(chuàng)新，以使其解決方案經(jīng)得起未來考驗?
• 其軟件是否成熟，漏洞很少，是否提供及時的修復(fù)?

10.總擁有成本是多少?

企業(yè)必然希望其云安全平臺能夠簡化運營、優(yōu)化工作流程并降低成本，同時增強安全態(tài)勢。

通過查看許可模式的靈活性、云安全平臺與現(xiàn)有 IT 系統(tǒng)集成并利用現(xiàn)有 IT 系統(tǒng)的程度、管理系統(tǒng)所需的人員水平和范圍、供應(yīng)商的 MTTR 和可用性 SLA 來確定總擁有成本。

企業(yè)最不想看到的就是隱藏的基礎(chǔ)設(shè)施、人員和其他在系統(tǒng)啟動并運行后才會出現(xiàn)的成本。

11.結(jié)論

遷移到云端的企業(yè)需要能夠控制自己的數(shù)據(jù)并將其保密，保護自己免受網(wǎng)絡(luò)威脅，并安全地將云與傳統(tǒng)的本地網(wǎng)絡(luò)連接起來——同時保持對監(jiān)管要求的合規(guī)性。

采用滿足這些要求并與其云提供商無縫集成的云網(wǎng)絡(luò)安全解決方案將幫助企業(yè)在威脅日益增加的環(huán)境中保持安全。