保護多雲網路的 3 種策略

遷移到多雲環境迫使安全和風險管理領導者重新思考其網路安全架構。他們必須了解雲原生控制、虛擬網路防火牆和共處中心物理防火牆的混合是什麼才能確保這一新架構的安全。

概述

主要發現

·        雖然網路安全原則基本保持不變，但混合環境的基本架構和操作往往大相徑庭（例如，第 2 層交換的概念不適用於公共雲網路）。安全團隊有時很難將原則統一應用於其多雲計算環境中的許多選項。

·        採用公共雲的組織期望從增強的敏捷性、平台現代化和更高的運營效率中獲益，但使用設計糟糕的安全架構保護公共雲會抵消這些好處。添加第三方控制可能會引入運營摩擦並抵消採用公共雲的一些固有優勢。

·        隨著時間的推移，雲本地安全控制正在提高其有效性，但它們尚未達到與傳統設備相同的安全控制。

·        在多雲場景中，組織通常選擇第三方安全控制，以統一本地和雲實例的安全策略和管理。這種統一方法降低了管理複雜性，增加了操作複雜性。

介紹

大多數組織已經接受了公共雲計算。另一些公司正在遷移到公共雲端服務。基礎設施作為一種服務（IaaS） 目前是一個價值 790 億美元的市場，估計是增長最快的公共雲市場，預計 2020 年至 2025 年期間的複合年增長率為 29%。

許多組織最初試圖將本地控制加到雲中，但大多未成功。相反，雲運營團隊往往在沒有安全團隊監督的情況下實現雲本地安全控制，這導致協調不力和安全性不一致。使這些問題更加複雜的是，由於多雲採用的趨勢，許多組織在多個雲供應商中重複其錯誤。Gartner 的 2020 年從雲終端使用者的購買行為調查發現，76% 的受訪者普遍採用多雲基建。因此，安全和風險管理領導者需要建立或重置其網路安全戰略。本研究突出了為不斷增長的多雲世界提供網路安全的三種設計模型。

安全和風險管理領導者必須適應其組織選擇接受雲計算的速度。他們可能被迫與開發團隊妥協，以確保運營效率。大多數組織都從雲本地安全控制開始，因為開發團隊和業務線 IT 組織通常採用雲計算，而安全團隊的參與程度最低。但是，隨著組織對公共雲的使用日趨成熟，他們意識到雲本地安全可能無法滿足安全架構的所有要求。這導致許多安全團隊查看第三方安全控制，或者在某些情況下，在共處中心部署物理安全控制，以便最直接地控制網路安全堆棧。安全和風險管理領導者需要將標準化安全架構集成到軟體開發生命週期中，以便以開發團隊所需的規模和速度部署安全控制。它們還需要確保盡量減少業務摩擦，以便安全遵守不被視為阻礙發展進展。

Gartner 建議選擇的三個多雲安全設計：

1.     沒有第三方安全解決方案的雲原生控制：雲原生控制，具有 CI/CD 管道的通用自動化平面。雲本地控制用於確保東/西和南北交通的安全。這種架構是最「雲本地化」的，因為它使用本地安全控制與常見的自動化工具，如Terraform或Jenkins。

2.     第三方虛擬設備：虛擬設備用於保護南北流量，而雲本地控制則保護東/西流量。此架構整合了每個公共雲邊緣的第三方邊緣閘道（防火牆、Web 應用程式防火牆 [WAF] 或 VPN）。 它為雲邊緣安全提供了一個共同的管理框架，並且比雲原生控制具有更大的安全功效。為了提高安全性，可以為東/西流量部署基於身份的微分級平臺（通常，基於伺服器標籤執行細分的代理方法用於公共雲 IaaS 部署）。

3.     同位中心的實際安全堆疊：雲相鄰的定位集線器的物理安全堆疊用於確保南北交通的安全，而雲本地控制則確保東/西交通的安全。此架構是傳統部署和以雲為中心的較新部署之間的橋樑。來自較傳統行業的團隊可能更喜歡物理設備堆疊或網路功能虛擬化（NFV）堆疊作為公共雲訪問的"數位邊緣"。此實體安全設備可以支援多雲部署，因為大多數共處中心在地理上都與三大公共雲服務提供者相鄰。

建議

負責基礎設施安全的安全和風險管理領導者應從以下三種網路安全架構方法中選擇公共雲設計：

·        當雲原生安全控制滿足您組織的最低安全策略，採用雲原生安全控制設計作為您的起點。如果最大程度地減少持續集成/持續部署 (CI/CD) 管道的操作摩擦是主要要求，則也採用此設計。

·        如果雲原生控制無法滿足您組織的北/南流量最低安全策略，並且您的組織地理位置分散，具有中等頻寬和高可用性要求，則採用第三方虛擬設備設計。

·        如果雲原生控制無法滿足您組織的北/南流量最低安全策略，並且您需要非常高的頻寬可用性，請採用託管中心設計。對於用戶密度非常高的區域，我們建議有選擇地採用這種設計。