组织传统的网络安全系统通过应用基于物理和软件的控制来保护基础设施免遭未经授权的使用,从而保护外围端点和数据中心。这种方法可以保护服务器和其他IT设备免受数据窃取或破坏,以及对其他资产的攻击。随着越来越多的组织将工作负载转移到云端,安全策略必须不断发展。云计算推动转型,产生混合架构,其中一些工作负载在云中运行,而其他工作负载在本地运行。安全连接对于这些环境的稳定性和保护在其上运行的资产至关重要。然而,这种混合架构也引入了新的复杂性,因为组织会跨高度分布式资源跟踪活动。因此,一些组织正在寻求在其基础设施的多个层面嵌入有效的云网络安全保护的方法。云计算网络安全包括保护基础设施、系统和数据免受未经授权的访问或滥用(无论是有意还是无意)所需的所有策略、保护和实践。成功的云网络安全战略建立在传统网络安全的基础之上:保护、检测、响应。它还要求组织了解与保护按需混合部署环境相关的独特问题。以下是需要考虑的五个基本步骤:1.责任共担云计算模糊了管理网络安全的传统界限。例如,IaaS提供商在其物理和虚拟基础架构中采用控制措施,并依靠最佳实践来保护操作环境。同样,SaaS提供商在其应用程序和设施中嵌入了保护措施。但组织必须知道,他们的数据不仅在云中而且在整个操作环境中都必须受到保护。考虑到潜在漏洞可以隐藏的盲点,这并不容易。为此,云计算提供商和第三方安全供应商提供了各种附加工具(从监控软件到数据包嗅探器)来加强云计算网络安全。同时,电信服务提供商提供了一套云安全工具,用于保护进入混合环境的数据。因此,它必须了解嵌入其服务中的所有控制提供程序,并确定潜在的漏洞所在。这是在签署任何合同之前应该进行的对话。安全连接对于这些环境的稳定性和保护在其上运行的资产至关重要。2.软件定义的访问最佳的云操作要求安全成为网络不可或缺的一部分。这种方法将通过云计算交付的基于策略的软件定义实践整合到安全访问服务边缘(SASE)中。反过来,安全访问服务边缘(SASE)依赖于各种云服务来保护混合部署中的资产,包括云访问安全代理、安全Web网关和防火墙即服务,以及浏览器隔离等功能。零信任是安全访问服务边缘(SASE)的重要组成部分,所有组织在被认证为安全之前都被认为可能受到威胁。许多组织使用零信任网络访问(ZTNA)来屏蔽IP地址。并将应用程序访问与网络访问隔离开来,以保护网络资源免受威胁,例如在受感染系统上运行的恶意软件。应用程序访问经过身份验证的授权用户和设备。3.网络分段零信任网络访问(ZTNA)可以与网络分段结合使用,以增强云计算网络的安全性。网络分段将物理网络分成更小的部分。IT部门可以使用虚拟化对网络进行微分段,创建足够精确的网络区域来支持单个工作负载。这些区域充当虚拟防火墙,防止网络攻击者不受阻碍地访问混合部署。如今,自动化技术的进步使组织能够根据不断变化的条件和既定策略创建区域,随着环境的扩展创建新的区域,并随着环境的缩小而减少网段的数量。4.加密组织应确保数据在静止和传输过程中被加密。云计算提供商通常提供加密服务,但请注意,并非所有服务生而平等。此外,并非每个应用程序工作负载都需要相同级别的加密。例如,电子邮件可能只需要传输级保护,这意味着消息仅在它们通过网络传输时才被加密,而不是端到端加密,即在消息到达目的地时解密消息。前者的安全性较低,但成本也低于后者。5.测试和响应有效的云计算网络安全的一个关键部分是测试,以确保在所有正确的区域实施正确的控制。在审查之间执行渗透测试以暴露漏洞,以便在它们被利用或以其他方式受到损害之前纠正它们。进行的测试还可以减轻合规审计过程中的一些压力。最后,在发生违规事件时制定策略。保留对事件的响应以帮助减轻任何攻击的影响。确保组织制定了有效使系统恢复在线的计划。在可能的情况下实现自动化,以消除人为错误并加快服务恢复速度。然后调查日志以确定恢复操作的最佳方法。
