PDF《云端安全注意事项》

1 数据中心是一个固定环境,应用程序在专用服务器上运行,仅可由授权用户 访问.

相比之下,云环境是动态的自动化环境,其中计算资源池可用于支持随 时、随地、通过任意设备访问应用程序工作负载.对于经验丰富的信息安 全专家而言,似乎许多使云计算更具吸引力的原则与网络安全最佳实践背 道而驰.以下是保障传统数据中心安全和基于云的数据中心安全的三大重 要事项,以及云安全的主要要求. 云计算不会减轻现有网络安全风险 如今,无论是在完整的迁移,还是在一些应用程序移动到云而其他应用程序仍然保留在本地的混合 场景中,威胁数据中心和网络的安全风险在应用程序移动到云之后都发生了变化.事实上,在多种 方式中,移动到云时所面临的安全风险越来越明显. 例如,许多数据中心应用程序均会使用一系列广泛的端口,这表示传统安全措施在这些应用程序移 动到云时是无效的.网络犯罪分子正在发动复杂的与端口无关的攻击,通过多种途径侵害其目标, 隐匿在常用应用程序的背后来完成其目标. 安全需要分隔和分段 C 云依赖于共享资源 几十年来,信息安全最佳实践表明,关键任务应用程序和数据应分隔到网络的安全分段中.通常, 这被称为零信任:从不信任,始终验证. 在企业数据中心的物理网络上,通过使用由基于应用程序和用户身份的策略所管理的防火墙和 VLAN(例如虚拟 LAN),可以相对直接的方式实施零信任. 在云计算环境中,在一些跨不同信任级别的情况中,经常会在服务器的虚拟机之间进行直接通信. 这使分段变得困难,尤其是考虑到云计算基于的是共享资源的概念.采用混合信任级别,加之使用 虚拟化的基于端口的安全产品而导致缺乏主机内流量可见性,很有可能会最终削弱安全态势.

3 大 云端安全注意事项 ?

2016 Palo Alto Networks, Inc. Palo Alto Networks 是Palo Alto Networks 的注册商标.本公司的商标列表可在以下网址找到: http:/ /www.paloaltonetworks.com/company/trademarks.html.此文档中提及的所有其他商标可能是各相应公司的商标. 安全配置以流程为导向 | 云计算环境是动态的 可在几分钟内创建或修改虚拟工作负载.因此,云计算团队是在高度动态的环境中运营的,并快速完 成工作负载的添加、移除和更改. 与之相反,此工作负载的安全配置可能需要几小时、几天或几周的时间.安全延迟不应成为带来障碍 的源头.准确地说,它们是专用于维护强大安全态势的流程的结果.策略更改需要得到批准、相应防 火墙需要进行确认,相关的策略更新也需要确定. 除非这种失衡已作为云迁移的一部分得到理解和解决,否则将导致安全策略和云工作负载部署之间出 现偏差.结果将是安全态势遭到削弱,重要数据和知识产权被置于危险之中,同时还有可能违反合规 性以及监管策略和法规. 保障云安全的重要要求 ? 一致的物理和虚拟形式的安全.相同级别的应用程序控制、恶意与配置错误应用程序的处理, 以及威胁防护,都是保护云计算环境和物理网络所需要的. ? 划分企业应用程序(使用零信任原则).为了最大化计算资源的使用,相对常见的做法是在针对 同一计算资源混合应用程序工作负载信任级别.目标是在防止威胁横向扩散的同时控制工作负载 之间的流量. ? 集中管理安全部署并简化策略更新.在大多数组织中仍然会部署物理网络安全措施,因此重要的 是有能力使用相同的管理基础设施和接口,从集中位置同时管理硬件形式和虚拟形式部署.所选 解决方案必须能够通过一致的策略管理和实施机制覆盖物理和虚拟环境,并应包含能够自动化安 全策略更新的功能. 要详细了解如何使用新一代防火墙保障传统数据中心和基于云的数据中心的安全,请参阅白皮书.