但是,這種遷移說起來容易做起來難,尤其是在安全性方面。
網絡和IT現代化通常會導致廣泛而復雜的環境。政府機構已開始使用由各種云計算提供商支持的應用程序,以允許從其總部和分支機構位置訪問分布式數據和工作負載。同時,政府機構IT團隊正在將其現有的物理數據中心重新連接到這些云計算提供商。其結果是構成了一個復雜的、混合的、地理上分散的網絡環境,幾乎不可能實現安全性和端到端可見性。
保護政府網絡中的云計算部署
深入的安全對于美國聯邦機構的網絡至關重要,特別是那些存放關于美國公民、情報和國家安全事項的高度敏感信息的網絡。這一問題變得更加重要,因為美國政府機構網絡已成為黑客和激進國家經常攻擊的目標,這些組織企圖破壞國家層面的業務、關鍵基礎設施和經濟或獲取其國家機密。
沒有適當的安全保證,美國聯邦政府機構將無法完全采用云計算,無法實現現代網絡所需的速度和適應性。
因此,為了在政府環境中實現云計算的采用和現代化,IT團隊必須將安全性置于現代化的基礎上,而不是事后添加的內容。這就需要一種由安全驅動的網絡策略,該策略從針對云采用的每個階段的安全優先第一的方法開始。然后,它涉及緊密集成網絡和安全功能,允許安全性隨著網絡規模的變化而動態調整,而不是對變化做出反應,并創建可以利用的暫時性間隙。
通過安全性驅動的網絡使美國聯邦政府機構IT現代化
在以往,網絡開發首先是構建基礎設施,然后部署點安全解決方案,如防火墻或電子郵件網關,以保護網絡的特定部分。通過安全驅動的網絡,安全基礎設施與網絡基礎設施一起開發,安全性有助于確定網絡設計和功能。這樣,對網絡、工作流和其他資源的更改會自動導致對安全工具和協議的更新。
使用安全性驅動的網絡來加速跨美國聯邦機構網絡的云部署將要求利益相關者:
·將安全性視為網絡更新的必要條件。
·確定特定的數據流和涉及的資源,并記錄環境之間移動的所有內容。
·確定工作負載的基準性能要求。
·設置云計算和本地環境的安全要求以及數據和設備類型的要求。
·考慮在這些分布式環境中協調安全性時可能出現的任何問題。
安全驅動網絡的工具
安全性驅動的網絡需要多種類型的安全性,這些安全性可以跨越公共云或私有云中不同的形式規模和網絡環境,其中包括虛擬機、軟件和代理、云容器、應用程序編程接口,以將安全性擴展到應用程序中。即使網絡中的邊緣設施數量不斷增長,這種方法也可以確保邊緣策略的安全性,此外,必須集成這些功能和解決方案,以便美國聯邦機構IT團隊甚至可以在混合網絡中跨設備協調策略。
然而,大多數數據中心防火墻的設計并不能滿足連接分布式數據中心(尤其是跨不同云平臺部署的數據中心)所需的性能、容量和轉換要求。支持現代化工作的有效安全解決方案必須能夠在所有云計算網絡、分支辦公室、連接設備和傳統數據中心中以本機方式和一致方式運行。
為了滿足美國聯邦機構和類似行業轉型的需求,下一代防火墻(NGFW)旨在支持安全性驅動的網絡,以加速云采用的方式,同時最大程度地減少將數據中心連接到云端時遇到的障礙。
·美國聯邦機構要求始終保持高速性能。即使數據在各種云平臺之間移動也是如此。傳統的安全解決方案通常會降低運營速度,這是不可行的。利用定制安全處理單元(SPU)的新型下一代防火墻(NGFW)可以確保跨環境傳輸的數據保持安全,同時以滿足運營和安全要求的數字速度提供加密VPN、訪問控制、漏洞預防解決方案等。
·檢查加密流量對性能有很大影響,因為許多防火墻都面臨著快速解密、檢查和重新加密通信量以應對當前性能需求的挑戰。但是,不檢查加密的流量可能會導致惡意內容未被檢測到而通過防火墻。這些集成的SPU(專門設計用來卸載安全功能的專用ASIC芯片)也可以在不妨礙安全性能或減緩請求實現的情況下檢查加密流量。這些都不容妥協。
·代理商還可以使用這些下一代防火墻(NGFW)通過基于意圖的細分,安全地加速其向云平臺的遷移。這使IT團隊可以智能地分割資產和網絡,而不管它們是在本地還是在云中運行,從而保護每個單獨的網絡生態系統,同時還減少了潛在的攻擊面。
·由于在美國聯邦機構網絡上部署了大量的設備和應用程序,因此必須及時管理任何補丁程序和更新。否則,網絡攻擊者可以利用這些漏洞作為侵入網絡的入口。
總結
當美國聯邦機構試圖通過使用混合云和多云環境使其數字基礎設施實現現代化時,必須確保這種新的基礎設施不會造成安全協議方面的漏洞,而這些漏洞可能會使他們容易受到攻擊。通過使用先進的下一代防火墻,利用安全性驅動的網絡方法,IT團隊可以在其整個分布式網絡中建立單一的、緊密的安全策略。這反過來又加速了數據在云平臺的移動,從而將傳統IT帶來的風險和成本降到最低,并確保跨分布式環境一致地更新安全策略。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號