私有云安全面临的五项关键挑战

借助网络安全平台克服实施零信任的障碍 目录 3私有云强势来袭4日益严峻的私有云安全挑战5云架构让人们难以区分内部与外部的概念6集成的业务应用给传统安全带来压力7外部集成打破了私有云边界8云环境给现有合规性框架带来压力9虚拟化环境中需要部署虚拟防火墙10零信任原则：从不信任，始终验证11网络安全平台—专为零信任而搭建12物理防火墙和虚拟防火墙13PAN-OS防火墙操作系统14云交付的安全产品订阅15Panorama集中管理16平台在行动17平台提供切实的价值18平台与顶级虚拟化系统集成19立即采取下一步行动 私有云强势来袭 云有两种形式：公有云和私有云，二者之间的区别至关重要。公有云提供商以即付即用的形式出售运算周期和存储字节等资源。构成平台的软硬件不对外可见，您的团队只能看到一个抽象化的黑匣子，它会为您的应用和数据提供支持。公有云优势颇多：您无需投入资金，也不必为更新周期支付高昂的费用，即可获得几乎无限的可扩展性、高可靠性、可信赖的数据备份以及业务敏捷性。 心忡忡。此外，对平台进行抽象化处理会给高度管控的行业带来问题，这些行业需要在系统发生任何影响工作流、数据或业务逻辑的变化时进行验证，例如医疗设备和药品行业。鉴于以上原因以及其他一些原因，许多公司将其敏感数据和核心业务应用托管在私有云中，然后使用公有云提供可扩展性，打造更贴近客户的服务。 公有云似乎得到了所有关注，但私有云已悄然兴起，而且正在加速发展。企业平均会用到2.6个共有云和2.7个私有云（见下表）。放眼未来，企业正在尝试使用的私有云(2.2)数量是公有云(1.1)的两倍。这一数据清楚地表明，大多数企业都发现了将公有云与私有云混用的最大价值，换句话说，即混合云环境。 然而，公有云也剥夺了控制权。您的应用和数据与其他公司共享基础架构，对于医疗保健和金融服务等安全意识较强的行业中的一些公司来说，这种安排会让他们忧 日益严峻的私有云安全挑战 操作窗口时间缩短—威胁不仅更善于规避防御，而且破坏速度也比过去快很多。恶意软件在进入网络后的短短几分钟内便可开始加密您的数据。威胁可在缺乏分段安全的网络中迅速扩散。最近一项PaloAltoNetworksUnit 42内部研究显示，高级威胁可在30分钟内将自身复制到45,000多个实例中（如图所示）。 确保安全性向来并非易事，对此没有人会否认，但由于一些因素，私有云安全越发难以保证，这是毫无疑问的。 威胁形势更加复杂—如今的高级威胁通过变体和加密恶意软件与外部攻击者之间的流量等技术来规避安全系统的检测。这些攻击要么利用未披露的漏洞，要么利用基于签名的检测解决方案无法识别的多态恶意软件变体。 攻击面扩大—居家办公和移动办公的趋势为攻击私有云创造了越来越多的可乘之机。此外，集成供应链的增长带来了额外的风险，因为供应商和合作伙伴可能无法在其端点实施充分的安全防护。人们认为，目前有多达百分之四十的网络攻击是源自扩展的供应链，而不是企业本身。 挑战1：云架构让人们难以区分内部与外部的概念 传统的安全模型假设您与外部世界之间存在明显的边界，即安全边界。此边界将世界划分为信任世界（内部）和非信任世界（外部）。只要在所有入口点都部署了良好的防御措施，位于内部的宝贵信息就应该是安全的。 相比之下，基于云的架构就像一个莫比乌斯环，即半扭曲形态的环。与简单的纸环不同，莫比乌斯环只有一个面。无论从哪里开始画线，这条线都将覆盖整个表面，最终回到起点。同样，基于云的安全没有内部和外部的区分。在未得到可信认证之前，任何设备、用户和应用都是不可信的。 基于云的架构模糊了内部与外部之间的区别。现在，用户的工作地点遍布世界各地，并不只局限于安全边界范围内的总部。本地数据中心内的应用可能会处理云中的数据，从而产生不断进出边界的流量。 以下是一个形象的类比：将传统安全模型想象成一个简单的纸环。这个纸环有两面-里面和外面，彼此间清楚地分隔开。若要证明这一点，您可以在纸环上沿直线方向画一条线，直到返回起点，您会发现只画了一面。 莫比乌斯环只有一个面，谈论里面和外面毫无意义。 挑战2：集成的业务应用给传统安全带来压力 每个企业都是数字化企业，依靠一套核心业务应用来运营。产品生命周期管理(PLM)系统管理产品从开始到工程、设计和制造的整个生命周期，并充当知识产权的关键业务存储库。企业资源规划(ERP)系统管理从采购和生产计划到制造成品和订单履行的关键财务业务流程。销售和营销团队依靠客户关系管理(CRM)和商务智能(BI)来定位和吸引潜在客户及现有客户。这样的例子不胜枚举。 核心业务应用并非存在于真空中，它们集成在一个互联矩阵中。该矩阵可促进多方协作，缩短产品上市时间，并从企业的海量数据中提取价值。这些系统数据集成会在各个应用之间产生大量流量（通常称为东西向流量）， 企业必须保护这些流量免受恶意软件、定向威胁、网络钓鱼活动和其他高级漏洞利用程序的攻击。传统的安全策略既不够灵活也不够强大，无法应对这些挑战。 挑战3：外部集成打破了私有云边界 为满足日益增长的客户和市场期望，传统的线性供应链正在蜕变为互联的供应链网络。在许多情况下，供应商可以直接访问企业网络的某些部分。而这些供应商也有自己紧密集成的供应链，可有效扩展母公司网络。还存在其他与外部集成相关的漏洞，包括支付系统和物流。 这些第三方集成大大增加了必须予以保护的节点数量-攻击面大幅扩张，外围边界进一步模糊。结果则是数据泄露的风险增加：据Accenture称，目前有多达百分之四十的网络攻击是源自扩展的供应链，而不是企业本身。 挑战4：云环境给现有合规性框架带来压力 所有上市公司在财务和IT方面都必须遵守SOX。高度管控行业中的公司如果未能遵守严格的法规和标准，例如医疗保健行业的HIPAA1、零售业的PCIDSS2和银行业的ACH3，将面临巨大的风险。将设备和数据从本地数据中心迁移到私有云会对合规性策略产生重大影响。 个方面是Kubernetes容器在云应用开发中的使用不断增加，这限制了传统防火墙的效果，因为它们本身无法访问该容器。最后，需要通过最低权限访问和多因素身份验证等策略来加强访问控制。在最低权限访问中， 仅为用户分配履行其企业角色的工作职责所需的权限。例如，软件工程师需要访问代码存储库，但严禁访问员工记录。 在云环境中制定有效的合规性策略需要对安全系统进行更改。关键需求在于进行集中式安全管理，确保安全经理可以协调整个混合环境中的策略。合规性挑战的另一 如今的虚拟化环境为防火墙带来了独特的挑战，如下一主题所示。 挑战5：虚拟化环境中需要部署虚拟防火墙 新一代防火墙(NGFW)是现代网络安全的基石，可防御网络和传输级威胁（OSI模型的第3层和第4层）和应用级（第7层）攻击，例如分布式拒绝服务(DDoS)、HTTP泛洪和SQL注入。直到最近，NGFW仍被部署为难以在网络架构中重新定位的物理设备。这种方法在静态数据中心非常奏效，但在当今的动态虚拟化环境中存在局限性。 自动跟踪虚拟化环境中的应用和工作负载。现在，物理防火墙可在安全边界保护数据和应用免受外部威胁，而虚拟防火墙有助于保护边界内的设备与工作负 载之间的流量。例如，网络钓鱼电子邮件通常会避开边界防御，到达无意中启动附带恶意软件威胁的不知情用户手中。 进入虚拟防火墙。这些多功能软件NGFW除具有同系列产品的所有功能外，还拥有额外优势，它们可以 零信任原则：从不信任，始终验证 零信任是一套最佳实践，通过消除信任概念，帮助阻止虚拟化环境中的数据泄露得逞。零信任以“从不信任，始终验证”的原则为基础。实施零信任企业架构旨在通过利用网络分段、防止横向移动、提供第7层威胁预防和简化精细用户访问控制来保护现代数字环境。 零信任原则始于基本的模式转变。传统安全围绕攻击面的概念运作，攻击面是黑客突破网络防御可以利用的设备和连接的统称。零信任通过将重点从攻击面转移到保护面（包括必须保护的数据、应用、资产和服务）来彻底颠覆这种边界模式。保护面比攻击面小几个数量级，并且范围始终可知。 网络安全平台-专为零信任而搭建 随着企业向混合云架构迁移以及员工办公地点的分散（分支机构、居家办公和移动办公），传统解决方案和离散单点产品根本无法驾驭这项工作。要实施零信任企业架构策略，需要使用由新一代防火墙、防火墙操作系统、安全产品订阅和集中管理组成的集成产品，而PaloAltoNetworks将在网络安全平台中提供这种产品。 我们在NGFW方面的创新可帮助全球客户保护其企业免受复杂攻击。我们的重点是通过最智能的网络安全解决方案保护客户的企业免受不断出现的威胁攻击，让其企业环境一天比一天安全。客户可选择使用强大的NGFW，我们提供物理、虚拟、容器化和云交付等多种形式。 事实胜于雄辩。Palo Alto Networks在2021年Gartner®网络防火墙魔力象限™中连续第十次被评为领导者，执行力和实现愿景的能力排名第一。 PAN-OS是一流的防火墙操作系统，该系统使用机器学习和分析来唯一识别用户、应用、设备和内容，并应对依靠指纹和签名的新威胁。PAN-OS将持续更新机器学习模型，这对于检测网络钓鱼攻击而言尤为实 用。PAN-OS还会收集遥测数据、建议策略和配置更改，以降低风险并减少发生人为错误的机会。下文介绍了有助于保障零信任私有云安全的PAN-OS的关键功能。 Palo Alto Networks的软件虚拟NGFW拥有一个独特而强大的功能，那就是云交付的安全服务(CDSS)方法。使用PaloAltoNetworks，您可以只选择自己需要的服务，并根据安全要求的发展和变化实时修 改这些选择。现在，您可以对自己的安全态势实现最大限度的云控制，并以前所未有的灵活性来应对威胁环境的变化。 围从边界防火墙和分支机构一直延伸到云环境和数据中心。使用Panorama，管理员可以跨所有网络流量和威胁深入了解应用、用户、设备和内容。通过在整个网络中集中管理防火墙，Panorama减少了管理防火墙部署所需的时间，让管理员能够有效地保护他们的网络。 大型企业通常会在其整个网络中部署多个NGFW，由于复杂的配置和不一致的管理控制台，这些防火墙的管理和控制流程往往很麻烦。这种情况会增加管理成本并降低安全态势级别。 Panorama™可为所有Palo Alto Networks防火墙提供集中管理和可视性，不受形式或位置的限制，范 平台在行动 通过将Palo Alto Networks的虚拟防火墙与私有云控制器或SDN编排器无缝集成，实现部署、管理和更新PaloAltoNetworks虚拟防火墙（VM-Series和CN-Series）流程的自动化。通过减少管理防火墙的时间，并在网络中维护一致的最新策略来让您受益。 下文将继续介绍网络安全平台提供的现实益处。 平台提供切实的价值 本文档将网络安全平台作为私有云安全的基石，但该平台同样适用于公有云和混合云。在广泛的云用例中，网络安全平台可确保速度和灵活性，交付一致的安全性和合规性，同时降低运营成本和复杂性，打造更优质的用户体验。 平台与顶级虚拟化系统集成 私有云必然意味着虚拟化环境。在选择虚拟化系统时，您有多种选择。网络安全平台支持所有顶级供应商提供的虚拟化产品。 立即采取下一步行动 成了网络安全平台的基础，该平台是我们新颖且灵活的云安全框架。 私有云面临的威胁在致命性、数量和复杂性方面都在加速增长。根据安全边界将世界整齐地划分为信任区域和非信任区域的传统方法根本不适合当今的混合云架构和云原生开发策略。相反，有效的云安全需要多个较小的边界，同时实现向零信任原则转变。 列方框即可。私有云强势来袭！对于已做好安保工作准备，且具有竞争优势的企业来说，随着竞争力和创新能力的增强，未来必定会一片光明。Palo Alto Networks期待赢得您的信任，从而成为您选择的安全合作伙伴。 您可以详细了解Palo Alto Networks如何造福您的企业，现在您可以采取一些非