组织传统的网络安全系统通过应用物理和基于软件的控制措施来保护基础设施免受未经授权的使用,从而保护周边的端点和数据中心。这种方法保护服务器和其他IT设备免受数据窃取或破坏,以及其他资产的攻击。
随着越来越多的组织将工作负载迁移到云端,安全策略必须不断发展和进步。云计算推动了转型,从而产生了混合架构,其中一些工作负载在云中运行,而另一些则在内部部署设施中运行。
安全连接对于这些环境的稳定性以及对在其上运行的资产的保护至关重要。但是,随着组织在高度分布的资源之间跟踪活动,这种混合架构还带来了新的复杂性。因此,一些组织正在寻求将有效的云网络安全保护嵌入其基础设施的多个层面的方法。
云计算网络安全包括保护基础设施、系统和数据不受未经授权的访问或滥用(无论是故意还是其他)所需的所有策略、保护和实践。成功的云网络安全策略建立在传统网络安全的基础之上:保护、检测、响应。它还要求组织了解与保护按需混合部署环境相关的独特问题。以下是五个需要考虑的基本步骤:
1.共同责任
云计算掩盖了管理网络安全的传统界线。例如,IaaS提供商在其物理和虚拟基础设施中采用控制措施,并依靠最佳实践来保护运营环境。同样,SaaS提供商在其应用程序和设施中嵌入了保护措施。但组织必须知道,其数据不仅要在云中受到保护,而且在整个运营环境中都要受到保护。考虑到潜在漏洞可能隐藏的盲点,这并不容易。为此,云计算提供商和第三方安全供应商提供了各种附加工具(从监控软件到数据包嗅探器)来加强云计算网络安全。与此同时,电信服务提供商提供了一套云安全工具,用于在数据输入到混合环境时保护数据。因此,它必须了解所有嵌入到其服务中的控制措施提供者,并确定潜在的漏洞所在。这是应该在签订任何合同之前进行的对话。
安全的连接对于这些环境的稳定性以及对运行在这些环境上的资产的保护至关重要。
2.软件定义的访问
最佳的云运营要求安全性是网络不可或缺的一部分。这种方法将通过云计算提供的基于策略的软件定义实践整合到了安全访问服务边缘(SASE)中。反过来,安全访问服务边缘(SASE)依靠各种云服务来保护混合部署环境中的资产,其中包括云访问安全代理、安全Web网关和防火墙即服务,以及浏览器隔离等功能。零信任是安全访问服务边缘(SASE)的重要组成部分,在这种信任中,所有组织在被认证为安全之前都被认为具有潜在的危害。许多组织使用零信任网络访问(ZTNA),它会掩盖IP地址。并将应用程序访问与网络访问隔离开来,以保护网络资源免受威胁,例如在受感染系统上运行的恶意软件。应用程序访问通过身份验证的授权用户和设备。
3.网络分段
零信任网络访问(ZTNA)可以与网络分段结合使用,以增强云计算网络的安全性。网络分段将物理网络分成较小的部分。IT部门可以使用虚拟化技术对网络进行微细分,从而创建足够精确的网络区域来支持单个工作负载。这些区域充当虚拟防火墙,阻止网络攻击者不受阻碍地侵入混合部署环境。如今,自动化技术的进步使组织能够根据不断变化的条件和既定政策创建区域,随着环境的扩展而创建新区域,并在环境收缩时减少网络分段数量。
4.加密
组织应确保在静态和传输过程中对数据进行加密。云计算提供商通常提供加密服务,但要注意,并非所有的服务都是平等的。此外,并非每个应用程序工作负载都需要相同级别的加密。例如,电子邮件可能只需要传输级保护,也就是消息仅在它们在网络中移动时才被加密,而不是端到端加密,后者在消息到达目的地时对其进行解密。前者的安全性较差,但其成本也比后者更低。
5.测试与回应
有效的云计算网络安全性的关键部分是进行测试,以确保在所有正确的区域中都采取正确的控制措施。在审查之间进行渗透测试以暴露漏洞,以便在被利用或以其他方式破坏之前就可以对其进行纠正。进行的测试还可以减轻合规性审核过程中的一些压力。最后,在发生违规事件时制定策略。保留事件的回应以帮助减轻任何攻击的影响。确保组织已制定计划有效地使系统恢复在线状态。尽可能实现自动化,以消除人为错误,并加快服务恢复速度。然后调查日志以确定恢复操作的最佳方法。
