组织必须使用一流的保护功能抵御现代攻击

2018-03-11 15:36 来源:未知

  已在全球范围内广泛采用,而且预计未来几年内还会得到进一步增长。业务敏捷性无疑已成为企业采用云计算的主要优势和关键动力,原因在于可以更快地获取和部署IT 资源。一经部署,这些资源便可按需增减以满足需求。据RightScale“2017 云现状报告”(在下方图片中示出),报告中有 95% 的受访者表示他们在使用云。显然,所有和私有云)的采用都十分可观,而且更重要的是,组织在构建其混合云环境时会利用多个供应商。

  这不足为奇,因为云服务本质上是共享且始终连接的动态环境,因而其在安全性方面便成为一个难题。将计算资源和数据迁移到公有云环境意味着,您需与云服务供应商共同承担安全责任。尽管基础设施保护由供应商提供,但您希望并需要能够控制自己的数据,保持其完全私有性,且保护自己所有的云资产,同时还能保持遵守监管要求。Check Point CloudGuard使用高级威胁防护安全功能保护私有云和公有云中的应用程序与数据,同时实现与公有云和混合云环境的可靠连接。

  本文件侧重于架构设计和安全性。其实际是一个蓝图,允许您实现最佳安全控制和可见性,与云基础设施的敏捷性、灵活性及自动化本质保持一致。关于详细的操作指令,每个平台皆存在独立文档,以提供关于解决方案创建及部署的实践指导。

  如上所述,组织希望更好地利用其IT 资源,并将其与云势必提供的最新且最大的如下优势特征相结合:敏捷性 - 缩短上市时间间隔灵活性 - 按需扩展和收缩资源有效性 - 仅根据使用的功能付费在设计基于云的环境时,基本要求便是相应架构需匹配您以及您客户的业务用例,同时保持无懈可击的卓越安全性。

  本文件重点介绍以安全方式构建基于云的环境时,需遵循的必要原则和最佳实践。

  1.具有高级威胁防护的边界安全近年来,攻击的频率和时下所用恶意软件的复杂程度都已明显提高。这种情况的出现与漏洞扫描、Web 用程序攻击和暴力攻击相关的云事件不无关系。许多组织误以为其云服务供应商(CSP) 会负责保护他们云中数据的安全。事实并非如此。

  安全是CSP 的第一要务,但是他们通常按照所谓的“共享责任模式”范式进行操作。这实际意味着,CSP 承担云“的”任何东西的完全所有权(和责任),而客户自行承担有关云“中”任何东西的全部责任。CSP 还为客户提供若干免费的基本安全防护工具,但从最新的威胁和数据泄露事件来看,很明显,更多高级威胁防护不可或缺,客户需负责为自己的数据提供保护。

  因此,组织必须使用一流的保护功能抵御现代攻击,从而为其环境提供坚实屏障。这可在环境边界之上应用,适用于进出环境的主要流量交汇处。

  2.分区网络分区通常旨在缩小网络攻击面,并限制恶意威胁在整个网络内自由传播的能力。最近的网络攻击很大程度上依赖于在网络内横向传播,并感染该网络内的其他机器。这种行为再一次说明通过应用程序或服务对网络进行分割,并在这些网络分段之间配置一流安全防护的必要性。安全执行在两个层面完成。第一层处于访问级别,其中防火墙策略用于允许某些流量正常流动,以认可正常的应用程序操作,但也可以拦截这些分段之间的有害流量。

  在威胁防护的第二层之上,防火墙检查访问级别所允许的流量,但需要彻底对其进行检查,以识别这些流中的恶意行为。这样,应用程序间就可以相互安全通信。进一步讲,云的软件定义网络(SDN) 功能还使我们能够将这些高级保护检查点置于单个主机之间(甚至在同一网络分段内),并实现通常所说的“微分段”。

  蓝图中所涵盖分区的另一方面是,从方法上执行流量限制和分区,以避免可能导致资产对外泄露的人为错误和错误配置引起的数据泄露。该方法的实践方式是,例如系统性地拦截穿过网络一个区段的横向移动,同时允许其在另一个受到密切监控且已实施安全控制措施的替代受制区段上。

  3.敏捷性云势必提供的按需本质能够高速运行业务,并真正实现敏捷应变。如果花费数周时间来配置服务器和服务,或如果安全运行成为业务的重大障碍,则几乎不可能采用现代化的有效业务实践,因为每个申请或审批流程都冗长且耗时。此蓝图的架构方式是在培养敏捷性的同时,确保在不失控且不增加运行风险的情况实现速度增长。

  这可通过在组织中不同利益相关方之间创建范围内的所有权委派来实现。通过这种方式,DevOps、应用程序所有者以及其他群组均可享有资源和环境上的更高权限级别。如此,他们可以自由创建并对其进行管理。伴随更大权限而来的是更多责任,需要自行负责工作负载之内以及之间的访问控制,同时让网络和安全团队负责威胁防护和高级安全防护考。