当今的组织不仅积极地将他们的很多工作负载迁移到云端,而且很多组织正在向多云模式过渡。他们利用一个云服务提供商的特定功能,利用另一个服务提供商的位置或成本优势。与此同时,关键数据正在分布在各种其他基于云的应用程序和服务中进行处理。几乎所有人都拥有某种形式的私有云,近一半的人使用多个Hypervisor来管理这些环境。
更复杂的是,在这些混合云中迁移数据、资源和工作流程不仅可以访问,还可以使用运行在高度移动设备上的各种应用程序进行管理。
这是数字化转型的一部分,它使组织不仅能应对其用户和员工不断变化的需求,且对数据本身的需求更具有弹性。响应时间至关重要,且需要不断的数据管理。
多云的安全具有重要意义
需要确保多云环境安全的组织需要面临以下四个挑战。
一致性
组织理解安全需要在潜在攻击面的每个阶段的应用。但是,由于很多组织以有机方式部署其多云基础设施,因此安全性通常以每个项目为基础进行部署。这通常会导致解决方案扩展,多个设备通过单独的控制台进行管理。这使得威胁情报难以关联,集中扩展威胁范围内的可见性、编排性威胁响应,或始终如一地应用和实施安全策略。
速度
鉴于需要立即响应用户需求,组织越来越依赖自动化来加速决策。与此同时,数十亿物联网设备和以更高吞吐量运行的软件即服务(SaaS)应用程序增加了需要保护的数据量。事情进一步复杂化,超过一半的流量被加密。面临的挑战是,大规模的CPU密集型SSL检测导致很多安全设备瘫痪。但在这样的环境中,成功通常以微秒为单位经常度量,企业无法承担安全瓶颈的问题。因此,越来越多的数据不被检测或保护。
不可预测性
基于云的商业环境的强大之处在于其可扩展性和弹性,计算资源几乎可以无限增加,以解决数据和工作负载处理需求的变化和高峰,并且数据可以动态重新路由以满足用户和资源需求。数据路由不仅是异步的,可以以不可预知的方式立即改变。然而,对于很多安全解决方案来说,数据可预测性非常重要,在复杂的异步环境中,孤立的安全设备可能很容易丢失数据流和数据包,从而使执行变得困难甚至不可能。
复杂性
网络犯罪分子明白,多云环境的复杂性使得安全风险难以检测和追踪。他们指望不同的安全设备无法相互通信,这使得他们能够利用不同网段和环境之间存在的缝隙,然后在整个网络中无法检测到攻击,从而能够模仿授权流量。
多云网络需要集成的安全架构
使用传统的安全解决方案和策略来充分保护动态和高度弹性的多云环境几乎是不可能的,针对具有可预测的数据流和性能要求的传统网络边缘环境设计的隔离设备根本无法胜任这项工作。相反,今天的数字化环境需要采用集成的基于架构的安全方式,使几乎不可能成为可能。
这项工作从选择安全设备和解决方案开始,旨在以当今网络所需的速度有效运行。威胁保护和性能需要在打开所有基本功能的情况下进行衡量,包括高级防火墙、应用程序控制、入侵防护(IPS)、防病毒/防恶意软件、零日检测/沙盒和SSL检测。因为不同的制造商使用不同的标准和方法来推广他们的技术,所以设备的比较可能很困难。这是信誉良好的第三方实验室的测试结果变得特别受追捧的领域。
整个网络中部署的安全技术需要能够共享他们收集的威胁情报。当然,诸如下一代防火墙(NGFW)、Web应用防火墙(WAF)、内部分段防火墙(ISFW)、防病毒和反恶意软件(AV)以及高级威胁防护(ATP)等工具可能需要分开部署在不同的地方在网络中以及各种形式因素。
然而为了真正有效,这些都需要自动关联智能,并协调对分布式网络中任何地方检测到的任何威胁的有效响应。
集中的可见性、编排和控制是任何有效安全策略的命脉。我们选择的技术不仅能够共同提供整体视角,还能够对共享威胁数据采取行动并报告这些威胁,并实施任何安全变更。由于网络威胁可能会影响系统的速度,因此跨解决方案的数据关联也需要尽可能自动化。对于企业、安全运营中心(SOC)团队和托管安全服务提供商(MSSP)、集成SIEM(安全,信息和事件管理)技术将加强他们检测高级威胁的能力,优先考虑妥协指标,以及实现集体回应的自动化。