什麼是混合雲端安全?
為什麼混合雲端安全很重要?
"Gartner的「雲端轉移」研究僅包括應用軟體、基礎架構軟體、業務流程服務及系統基礎架構市場內,可過渡至雲端的企業IT類別。
到 2025 年,這四個類別中 51% 的 IT 支出將從傳統解決方案轉移至 公共雲端,而 2022 年則為 41%。2025 年應用軟體支出的近三分之二 (65.9%) 將朝雲端技術發展,高於 2022 年的 57.7%。"
-Gartner表示,到2025年,主要市場區塊中超過一半的企業IT支出將轉移至雲端
我們生活在雲端和數位轉型的時代。使用者和應用程式正移動到傳統網路週邊之外。越來越多的應用程式工作負載從公共雲端存取,包括:軟體即服務 (SaaS)、平台即服務 (PaaS) 以及基礎設施即服務 (IaaS):
- 53% 的雲端工作負載託管於公共雲端平台,在過去一年增加了 8%。
- 組織 遷移至雲端的 首要原因是建立新產品及擴充現有產品和服務。提高效率和靈活性的願望緊隨其後。
企業選擇多雲端或混合模式的頻率越來越高。混合雲端可讓組織享受雲端的優點,同時保持使用其他環境的彈性。因此,組織面臨的挑戰是要主動保護使用者、應用程式和資料免受安全威脅,同時又不影響使用者體驗 - 並且跨越多種環境:
- 安全考量不斷地妨礙企業處理風險和利用雲端的能力。
混合雲端安全挑戰
混合雲端環境伴隨複雜的安全問題。雲端安全需求、共用責任模式,以及不斷演變的威脅環境,共同造成混合雲端安全的挑戰。
雲端安全與共同責任模式
圖 1:跨私人、公共和 SaaS 雲端服務的共同安全責任
- 雲端安全性可能會有所取捨。
由於雲端已經成為企業環境不可或缺的一部分,許多組織都面臨公共雲端和私人雲端環境的妥協問題。網路安全性控制通常會被「簡化」出雲端設計。因此,雲端安全權衡通常包括:
- 簡單與功能
- 效率與能見度
- 敏捷性與安全性
- 吸引人的雲端運算功能往往與網路安全性背道而馳。
雲端運算技術可為組織提供動態、自動化的環境,以及隨選的雲端資源。然而,許多功能都與網路安全性背道而馳,包括:
- 雲端運算無法減緩現有的網路安全性威脅。
- 分離和分割是安全的根本。然而,雲端依賴於共用資源。
- 安全部署以流程為導向。相反,雲端運算環境是動態的。
- 雲端應用程式及其資料越來越分散。
對於資料外洩的憂慮讓雲端安全成為首要任務。當資料在雲端之間移動時,如何在提高應用程式安全性與保護資料安全之間取得平衡,已成為一大挑戰。在應用程式和資料所在的所有位置,都必須具備可視性和防止攻擊。
現代威脅的動態性質
- 現代的威脅環境不斷演變,近年來出現了許多複雜的新威脅。
- 跳港
- 使用非標準連接埠
- 常用服務內的隧道
- 隱藏在安全套接層 (SSL) 加密範圍內
直接針對應用程式的威脅可以通過大多數的企業防禦系統,而這些防禦系統過去都是為了提供網路層防護而建立的。
威脅開發者利用各種方法滲透網路,包括
- 現今許多威脅都是以隱蔽的方式在網路和系統中運行。
圖 2:勒索軟體攻擊的最新趨勢
此類威脅旨在悄悄地收集敏感資料,並且無限期地保持不被發現。此方法可保留竊取資料的價值,並可重複使用相同的攻擊漏洞和攻擊媒介。
混合雲端環境的威脅包括
- 勒索軟體
- 憑證盜用
- 網域名稱系統((DNS)為基礎的攻擊)
- 有針對性的 「低慢速 」攻擊
- 進階持續威脅(APT)
混合雲端安全架構
混合雲端的安全性必須無所不在。首先是 NGFW,它可以識別和控制應用程式、資料和工作負載。 雖然硬體防火牆是內部部署環境的重要元件,但軟體防火牆對混合雲端安全性特別有幫助。
軟體防火牆包括:
圖 3:混合/多雲端安全性中的軟體防火牆
為了將這些元件連結在一起並確保混合環境的安全,組織應優先使用這些功能:
- 實體與虛擬化形式因素中一致的安全性
- 使用零信任原則分割業務應用程式
- 集中管理的安全部署和簡化的政策更新
混合雲端安全最佳實務
混合雲端運算已經成為希望同時利用公共雲端和私人雲端環境優勢的組織所採用的流行方法。然而,混合雲端的安全性風險可能是複雜且多層次的,因此需要全面且動態的方法。
隨著混合雲端解決方案的採用日增,實作有效的安全措施以降低網路威脅和資料外洩的風險已變得越來越重要。然而,要保護混合雲端環境的安全,需要仔細規劃、選擇解決方案並實作。
以下各節說明混合雲端安全解決方案應納入的重要最佳實作。
在混合雲端安全啟用應用程式
- 安全管理員必須能夠設定政策,允許某些類型的應用程式和功能,同時拒絕其他類型的應用程式和功能。
- 混合雲端環境的網路安全性平台必須依預設在所有連接埠上的應用程式將流量分類。
- 安全性團隊必須完全掌握應用程式的使用情況。
識別使用者並啟用適當的存取權限
- 使用者應透過網際網路協定 (IP) 位址來識別。
- 使用者和群組資訊必須直接整合至保護混合雲端環境的技術平台。(這是因為當使用者移動時,政策不會跟隨他們)。
圖 4:超連結企業基礎架構
全面的威脅防護
- 在工作負載之間執行應用程式層級控制可減少資料中心的威脅足跡。基於零信任原則的流量分割也是如此。
- 網路安全性解決方案應提供下列能力:
- 直接分析未知可執行檔的惡意行為
- 自動攔截已知的威脅
- 自動分析和對抗未知威脅
- 在網路攻擊生命週期中的所有階段尋找威脅
圖 5:現代網路攻擊剖析
彈性、適應性整合
- 資料中心的主要整合挑戰之一是安全性設計。我們需要一個新的範例來實現彈性、適應性的網路安全性。網路彈性有助於確保與任何組織的環境相容。
- 實現整合取決於支援廣泛的網路功能和選項,包括
- 連接埠型虛擬區域網路 (VLAN)
- 在開放系統互連 (OSI) 參考模型第 1 層 (物理)、第 2 層 (資料連線) 或第 3 層 (網路) 進行整合的能力
- 此外,網路安全性解決方案應能隨著安全性狀況的改變而開啟其他安全性功能。它也必須支援多種管理程序類型,並可能支援 SDN 驅動的佈建。
行動使用者和遠端存取的安全保障
- 行動工作人員需求從網路以外的不同地理位置存取應用程式。因此,行動使用者和遠端使用者必須受到保護。
- 這需要一致的安全性。因此,網路安全性平台必須:
- 啟用所需的可視性、威脅防護和安全政策執行等級。
- 保護跨越混合雲端環境的分散式實體和虛擬化工作負載。
- 提供行動使用者/遠端存取資料中心和雲端的安全性
- 解決使用非標準企業配發設備的端點裝置問題。
一個全面的政策,一個管理平台
以簡化安全為目標,使用單一管理平台,「一應俱全」,包括
- 大規模上線防火牆。
- 維持一致的安全政策。
- 在數以千計的防火牆上部署緊急變更。
雲端就緒狀態
要在混合雲端安全方面取得成功,解決方案必須達到下列雲端第一的目標:
- 將政策一致地從網路延伸至雲端。
- 阻止惡意軟體在雲端存取和橫向移動。
- 簡化管理。
- 在虛擬工作負載變更時,將安全政策的滯後時間減至最短。
- 以在實體網路建立的相同安全性勢態保護駐留應用程式和資料。
- 支援多樣化的雲端與虛擬化環境 (包括主要的公共雲端供應商及虛擬私人雲端)。
- 與雲端原生服務和自動化工具整合。
- 根據混合環境的協調元素,自動佈建網路安全性功能。
自動化
安全性團隊的日常作業通常依賴過多的手動流程。手動安全性會減緩緩解的速度、增加出錯的機會,而且難以大規模擴充。
藉由使用精確的分析來驅動自動化,安全性團隊就有能力:
- 執行零信任等最佳安全實務。
- 簡化例行性工作。
- 專注於業務優先順序 (例如應用程式交付、改善流程或威脅搜補)。
在混合雲端環境中,有三個領域的自動化是關鍵:
- 工作流程自動化
- 政策自動化
- 安全自動化
防火牆平台必須結合機器學習 ML)和自動化,以防範已知和未知的威脅,包括勒索軟體、加密蠕蟲、加密劫持等。
企業資料中心和混合雲端環境面臨的威脅包括
- 勒索軟體
- 憑證盜用
- 以網域名稱系統 (DNS) 為基礎的攻擊
- 有針對性的 「低慢速 」攻擊
- 進階持續威脅 (APT)
