云计算·大数据 频道

多云混合云环境下,如何建立更加主动的云原生安全策略?

  疫情之下,整个世界能正常运转,数字技术“功不可没”。只不过,当混合办公需求越来越多,传统的IT架构开始大规模地向云端迁移,安全挑战也会随之加大。

  ▲Palo Alto Networks(派拓网络)中国区大客户技术总监 张晨

  “当企业应用大量转向云原生和虚拟化技术,如何让安全策略实现新IT架构的平滑过渡,是企业管理者需要面对的新课题。” Palo Alto Networks(派拓网络)中国区大客户技术总监张晨分析认为,企业数字化转型带来了经济效益,但也打破了原有的物理世界,原来以传统网络及安全架构为核心的企业,开始暴露出更多的攻击面。

  如今,不管是业务发展需要,还是混合办公需求在推动,上云已经成为不可逆转的主流趋势,有越来越多的企业希望采用云解决方案,实现快速开发目标。并且,基于云的成熟应用,可以让企业IT架构变得更具弹性,大幅降低总体拥有成本。

  问题是,云上安全如何管理?

  云原生安全挑战

  从网络安全的角度来看,云安全事件每年都在同比增长,尤其随着混合办公模式的开启,网络攻击的门槛越来越低,可能黑客只需支付10美元左右,就能在网上找到勒索软件攻击工具和方法。可以说,网路安全问题从未如此严峻,如何更加智能、准确、高效地检测到安全威胁,快速处理安全事件,已成为企业第一要务。

  由于企业大量应用程序都是在多云、混合的环境下进行开发、使用和部署,使得安全策略和规划变得更加复杂。比如:有些企业使用公有云,有些企业使用私有云,公有云又分原生和非原生。为了让业务变得更具敏捷性,企业会把原来部署在物理服务器上的应用迁移到云环境;与此同时,还有大量应用是在云原生的环境下进行开发、测试、发布和使用。在这种情况下,必须对应用的镜像和开发环境进行安全配置检查,才能防止人为配置错误带来安全隐患。即便是在私有云环境下,企业的业务规模已达到行业云水准,既有大量云原生环境下的应用,也有本身部署在物理服务器上的应用,相应的安全策略也要及时跟上。

  具体而言,云原生应用程序主要面临三大挑战:

  第一,新的云原生架构广泛普及,但安全策略却依然停留在过去。

  由于云原生应用更加便捷,更有成本优势,所以很多企业都会基于云原生架构进行开发,但如何具有全生命周期的安全能力,这需要企业从开发的时候就要考虑可视化的配置能力。

  第二,受DevOps推动,云上开发可以是不断变化的状态。

  也就是说,企业需要整个开发环境的时候,可以通过容器快速启动,不需要就可以立刻关掉,进而节省大量云上资源开销。按需使用,会导致开发应用环境的资源快速地增加或者减少,这是云原生环境下的一大特点。但从安全策略来看,云原生应用全生命周期中有很多安全漏洞和短板,一旦投产使用,带来的安全风险不可预估。所以,除了对应用本身可能会遭遇哪些安全攻击进行高效、准确检测,我们还要结合云原生环境,与相关联的网络、端点和上下游供应链建立相应的机制。

  第三,在云创新发展中,安全也可能会变得滞后。

  云时代的安全防护,不只停留在某一时、某一刻,还应该提升安全管理的整体效率,使企业IT管理部门能够在一个平台上统一管理,对整个云原生的生命周期进行全方位的安全策略管理,而不是一个人管理很多不同产品,并且产品之间又没有关联性,最终失去安全管理能力。

  面对复杂的云原生安全管理态势, ZTNA零信任理念可能是最有效的指导思想。因为,零信任本身就是要把安全策略带入到每一个细节当中,不去信任网络上任何一个元素。我们可以采用零信任网络(ZTNA 2.0)访问任何一个主体,同时要对主体所产生的网络流量和所关联的终端、网络服务器以及生成的相应环境,不管是物理环境还是云环境,都要进行相关安全策略的检查。

  接下来的问题是,如何构建零信任网络?

  选择零信任平台

  实际上,构建零信任网络并不是一个多复杂的大工程,而是可以按照业务的优先级别和重要性一步步开展起来,很多做法已经在客户实际业务中得到了验证。

  派拓网络Prisma Cloud 3.0,提供的是面向下一代、高度集中化、智能化的网络安全平台,自身拥有网络安全、云安全和终端安全三个主要组成部分,可以把网络云原生环境下,以及端点安全等所有信息,都汇总到自动化安全运营平台上,然后进行统一的监控和管理以及智能化的编排。该平台的最大特点是,通过自动化安全运营能力的构建,可以把大量重复性的安全处置的事件交给自动化运营的平台做,最大程度降低人工参与的部分。

  云原生安全平台Prisma Cloud 3.0,是通过一个平台满足整个安全生命周期里的全方位安全需求,包括云原生代码开发环境、上云之后的安全威胁态势感知,以及云原生应用在运行过程中的状态等等,所有安全需求都会囊括在CNAPP平台里,为客户提供服务。

  基于派拓网络在云原生方面的能力部署,客户可以构建整个云原生应用下的全生命周期的安全体系,并且从软件开发阶段就把安全策略内置进去,保证云原生环境下的整体安全体验。

  更重要的是,派拓网络可以改变大量以人工低效的方式做安全运营的状态。通过人工智能和机器学习技术,派拓网络会把很多安全事件都集成到统一的数据分析单元里进行分析,从网络、云环境、终端和主机上能够全面看到在这个企业IT架构下的整体安全运营情况,同时进行自动化的安全处置。

  相信,随着企业对安全问题的重视,对于“零信任”概念并不会感到陌生。只是,在选择什么才是成熟的解决方案时会有困扰,不能确定什么才是真正的零信任接入网络。派拓网络认为,真正的零信任,不应该只具备一点点检测能力,或者只涵盖了一两个功能,而是一个整合的平台。派拓网络云原生安全平台,不仅可以带来全生命周期的安全能力,还能最大化简化工作负载,让应用产生、上线、发布、使用等所有环节都能做到高效、准确检测,确保应用的可靠、稳定。

0
相关文章