Forrester 最近的一項研究指出，云安全信心是采用更多云服務的主要驅動力，剛才提到的方法可以緩解安全問題。

圖 1：統一云原生安全平臺的多層結構

基于責任共擔模型，在基礎設施層 (IaaS)，云提供商負責保護其計算網絡存儲基礎設施資源。云用戶負責保護部署在基礎設施上的數據、應用程序和其他資產。云提供商提供了許多工具和服務來幫助用戶維護他們的責任共擔模型，它們是所有云網絡安全解決方案的重要組成部分。

但是，云提供商不是安全專家，他們也不解決多云基礎架構的問題，因此需要這些工具和服務之外的其他安全解決方案來實現企業(yè)級網絡安全。

云網絡安全是一個關鍵的基礎層。在這里，企業(yè)經常部署虛擬安全網關來提供高級威脅預防、流量檢查和微分段。這些解決方案包括多層安全技術，例如防火墻、入侵防御系統 (IPS)、應用程序控制、數據丟失防護等。

本文將介紹在為云部署檢查和選擇云網絡安全平臺時必不可少的 10 個標準。它解釋了企業(yè)管理者如何確保供應商解決方案可以提供對企業(yè)的成功和安全至關重要的功能。

1.它是否提供高級威脅防御和深度安全?

在當今復雜的網絡安全環(huán)境中，威脅檢測不足以有效保護云資產。這是因為在威脅入侵企業(yè)網絡后才檢測到該威脅，會使企業(yè)的資產暴露在無法接受的網絡安全風險水平之下。

企業(yè)需要針對已知和未知(零日)漏洞進行多層實時威脅防護。該解決方案必須通過細粒度和深度流量檢查、增強威脅情報和沙盒等功能提供深度安全性，以隔離可疑流量，直到它被驗證或阻止。

這將允許企業(yè)在滲透網絡之前捕獲并消除威脅。此外，這些高級功能必須部署在南北(傳入/傳出)和東西(橫向)流量上。

2.解決方案是否無邊界?

安全團隊無法使用由特定于供應商或特定于環(huán)境的安全工具組成的零散堆棧來提供企業(yè)級保護。即使是最復雜的多云和混合(公共/私有/本地)環(huán)境，該解決方案也必須透明且一致地運行。

統一的管理界面，有時稱為“單一管理平臺”，應該提供單一的云網絡安全信息來源，以及一個集中的命令和控制臺。

3.是否有細化的流量檢查和控制?

如果沒有深度流量檢查，企業(yè)很容易成為規(guī)避技術的犧牲品，這些技術試圖通過看似合法的接入點執(zhí)行未經授權的操作。尋找下一代防火墻 (NGFW)功能，例如超越基本白名單的精細匹配粒度、深度檢查以確保流量與允許端口的用途相匹配、基于 URL 地址的高級過濾以及不僅僅在端口級別的控制，應用級別也是如此。

4.是否有自動化?

任何不能實現高度自動化的云解決方案都將無法得到客戶的支持。為了與 DevOps 的速度和可擴展性相匹配，該解決方案必須支持高水平的自動化，包括安全網關的程序化命令和控制、與 CI/CD 流程的無縫集成、自動化威脅響應和修復工作流，以及不需要人工干預的動態(tài)策略更新。

5.集成體驗如何，是否易用?

集成對于此處描述的許多其他考慮因素至關重要，例如實現無邊界操作和提高可見性。它在創(chuàng)建跨功能的云安全平臺方面發(fā)揮著重要作用，該平臺不僅可以解決基礎設施安全問題，還可以解決應用程序安全、云安全態(tài)勢管理等問題。

因此，該解決方案必須與企業(yè)的配置管理堆棧(包括對基礎設施即代碼部署的支持)協同工作。此外，該解決方案必須與云提供商的產品深度集成。一般來說，企業(yè)的目標應該是通過最大限度地減少必須單獨部署和管理的單點安全解決方案的數量來簡化操作并提高易用性。

6.是否有足夠的可見性和可觀察性?

企業(yè)管理者無法保護看不到的東西。解決方案的儀表板、日志和報告應在事件發(fā)生時提供端到端和可操作的可見性。例如，日志和報告應該使用易于解析的云對象名稱，而不是模糊的 IP 地址。如果發(fā)生違規(guī)行為，這種可見性對于增強取證分析也很重要。

7.解決方案是否可擴展并具有安全遠程訪問?

在高度分散的世界中，遠程訪問既安全又高效的企業(yè)網絡是必不可少的。該解決方案必須保護對公司云環(huán)境的遠程訪問，具有多因素身份驗證、端點合規(guī)性掃描和傳輸中數據加密等功能。

遠程訪問還必須能夠快速擴展，以便在中斷期間(例如疫情大流行)，任何數量的遠程員工都可以高效且安全地工作。

8.是否有上下文感知的安全管理?

隨著資產、變更和配置管理框架在漏洞修復工作中發(fā)揮核心作用，企業(yè)的安全平臺必須能夠無縫發(fā)布變更并實時適應所有相關的安全策略。

云網絡安全解決方案必須能夠在整個環(huán)境(公共云和私有云以及本地網絡)中聚合和關聯信息，以便安全策略能夠感知上下文并保持一致。對網絡、資產或安全組配置的更改應自動反映在其相關的安全策略中。

9.提供哪些供應商支持和行業(yè)認可?

除了解決方案本身的特性和功能之外，密切了解供應商也很重要。尋求公正的建議，以尋找能夠推動云安全戰(zhàn)略向前發(fā)展的供應商，以適應和擴展不斷變化的業(yè)務需求。

企業(yè)還需考慮以下問題：

• 是否受到獨立行業(yè)分析師和第三方安全測試公司的高度評價?
• 可以滿足企業(yè)的 SLA要求嗎?
• 是否有可靠的記錄?
• 能否提供附加價值，例如網絡安全咨詢服務?是否可以支持企業(yè)的全球運營?
• 是否致力于創(chuàng)新，以使其解決方案經得起未來考驗?
• 其軟件是否成熟，漏洞很少，是否提供及時的修復?

10.總擁有成本是多少?

企業(yè)必然希望其云安全平臺能夠簡化運營、優(yōu)化工作流程并降低成本，同時增強安全態(tài)勢。

通過查看許可模式的靈活性、云安全平臺與現有 IT 系統集成并利用現有 IT 系統的程度、管理系統所需的人員水平和范圍、供應商的 MTTR 和可用性 SLA 來確定總擁有成本。

企業(yè)最不想看到的就是隱藏的基礎設施、人員和其他在系統啟動并運行后才會出現的成本。

11.結論

遷移到云端的企業(yè)需要能夠控制自己的數據并將其保密，保護自己免受網絡威脅，并安全地將云與傳統的本地網絡連接起來——同時保持對監(jiān)管要求的合規(guī)性。

采用滿足這些要求并與其云提供商無縫集成的云網絡安全解決方案將幫助企業(yè)在威脅日益增加的環(huán)境中保持安全。