精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

同時(shí)，Gartner 稱，安全性始終是采用云計(jì)算的最大妨礙因素。

這不足為奇，因?yàn)樵品?wù)本質(zhì)上是共享且始終連接的動(dòng)態(tài)環(huán)境，因而其在安全性方面便成為一個(gè)難題。將計(jì)算資源和數(shù)據(jù)遷移到公有云環(huán)境意味著，您需與云服務(wù)供應(yīng)商共同承擔(dān)安全責(zé)任。盡管基礎(chǔ)設(shè)施保護(hù)由供應(yīng)商提供，但您希望并需要能夠控制自己的數(shù)據(jù)，保持其完全私有性，且保護(hù)自己所有的云資產(chǎn)，同時(shí)還能保持遵守監(jiān)管要求。Check Point CloudGuard使用高級(jí)威脅防護(hù)安全功能保護(hù)私有云和公有云中的應(yīng)用程序與數(shù)據(jù)，同時(shí)實(shí)現(xiàn)與公有云和混合云環(huán)境的可靠連接。

本文件側(cè)重于架構(gòu)設(shè)計(jì)和安全性。其實(shí)際是一個(gè)藍(lán)圖，允許您實(shí)現(xiàn)最佳安全控制和可見性，與云基礎(chǔ)設(shè)施的敏捷性、靈活性及自動(dòng)化本質(zhì)保持一致。關(guān)于詳細(xì)的操作指令，每個(gè)平臺(tái)皆存在獨(dú)立文檔，以提供關(guān)于解決方案創(chuàng)建及部署的實(shí)踐指導(dǎo)。

如上所述，組織希望更好地利用其IT 資源，并將其與云勢(shì)必提供的最新且最大的如下優(yōu)勢(shì)特征相結(jié)合：敏捷性 - 縮短上市時(shí)間間隔靈活性 - 按需擴(kuò)展和收縮資源有效性 - 僅根據(jù)使用的功能付費(fèi)在設(shè)計(jì)基于云的環(huán)境時(shí)，基本要求便是相應(yīng)架構(gòu)需匹配您以及您客戶的業(yè)務(wù)用例，同時(shí)保持無懈可擊的卓越安全性。

本文件重點(diǎn)介紹以安全方式構(gòu)建基于云的環(huán)境時(shí)，需遵循的必要原則和最佳實(shí)踐。五大原則

1.具有高級(jí)威脅防護(hù)的邊界安全近年來，攻擊的頻率和時(shí)下所用惡意軟件的復(fù)雜程度都已明顯提高。這種情況的出現(xiàn)與漏洞掃描、Web 用程序攻擊和暴力攻擊相關(guān)的云事件不無關(guān)系。許多組織誤以為其云服務(wù)供應(yīng)商(CSP) 會(huì)負(fù)責(zé)保護(hù)他們?cè)浦袛?shù)據(jù)的安全。事實(shí)并非如此。

安全是CSP 的第一要?jiǎng)?wù)，但是他們通常按照所謂的“共享責(zé)任模式”范式進(jìn)行操作。這實(shí)際意味著，CSP 承擔(dān)云“的”任何東西的完全所有權(quán)(和責(zé)任)，而客戶自行承擔(dān)有關(guān)云“中”任何東西的全部責(zé)任。CSP 還為客戶提供若干免費(fèi)的基本安全防護(hù)工具，但從最新的威脅和數(shù)據(jù)泄露事件來看，很明顯，更多高級(jí)威脅防護(hù)不可或缺，客戶需負(fù)責(zé)為自己的數(shù)據(jù)提供保護(hù)。

因此，組織必須使用一流的保護(hù)功能抵御現(xiàn)代攻擊，從而為其環(huán)境提供堅(jiān)實(shí)屏障。這可在環(huán)境邊界之上應(yīng)用，適用于進(jìn)出環(huán)境的主要流量交匯處。

2.分區(qū)網(wǎng)絡(luò)分區(qū)通常旨在縮小網(wǎng)絡(luò)攻擊面，并限制惡意威脅在整個(gè)網(wǎng)絡(luò)內(nèi)自由傳播的能力。最近的網(wǎng)絡(luò)攻擊很大程度上依賴于在網(wǎng)絡(luò)內(nèi)橫向傳播，并感染該網(wǎng)絡(luò)內(nèi)的其他機(jī)器。這種行為再一次說明通過應(yīng)用程序或服務(wù)對(duì)網(wǎng)絡(luò)進(jìn)行分割，并在這些網(wǎng)絡(luò)分段之間配置一流安全防護(hù)的必要性。安全執(zhí)行在兩個(gè)層面完成。第一層處于訪問級(jí)別，其中防火墻策略用于允許某些流量正常流動(dòng)，以認(rèn)可正常的應(yīng)用程序操作，但也可以攔截這些分段之間的有害流量。

在威脅防護(hù)的第二層之上，防火墻檢查訪問級(jí)別所允許的流量，但需要徹底對(duì)其進(jìn)行檢查，以識(shí)別這些流中的惡意行為。這樣，應(yīng)用程序間就可以相互安全通信。進(jìn)一步講，云的軟件定義網(wǎng)絡(luò)(SDN) 功能還使我們能夠?qū)⑦@些高級(jí)保護(hù)檢查點(diǎn)置于單個(gè)主機(jī)之間(甚至在同一網(wǎng)絡(luò)分段內(nèi))，并實(shí)現(xiàn)通常所說的“微分段”。

藍(lán)圖中所涵蓋分區(qū)的另一方面是，從方法上執(zhí)行流量限制和分區(qū)，以避免可能導(dǎo)致資產(chǎn)對(duì)外泄露的人為錯(cuò)誤和錯(cuò)誤配置引起的數(shù)據(jù)泄露。該方法的實(shí)踐方式是，例如系統(tǒng)性地?cái)r截穿過網(wǎng)絡(luò)一個(gè)區(qū)段的橫向移動(dòng)，同時(shí)允許其在另一個(gè)受到密切監(jiān)控且已實(shí)施安全控制措施的替代受制區(qū)段上。

3.敏捷性云勢(shì)必提供的按需本質(zhì)能夠高速運(yùn)行業(yè)務(wù)，并真正實(shí)現(xiàn)敏捷應(yīng)變。如果花費(fèi)數(shù)周時(shí)間來配置服務(wù)器和服務(wù)，或如果安全運(yùn)行成為業(yè)務(wù)的重大障礙，則幾乎不可能采用現(xiàn)代化的有效業(yè)務(wù)實(shí)踐，因?yàn)槊總€(gè)申請(qǐng)或?qū)徟鞒潭既唛L(zhǎng)且耗時(shí)。此藍(lán)圖的架構(gòu)方式是在培養(yǎng)敏捷性的同時(shí)，確保在不失控且不增加運(yùn)行風(fēng)險(xiǎn)的情況實(shí)現(xiàn)速度增長(zhǎng)。

這可通過在組織中不同利益相關(guān)方之間創(chuàng)建范圍內(nèi)的所有權(quán)委派來實(shí)現(xiàn)。通過這種方式，DevOps、應(yīng)用程序所有者以及其他群組均可享有資源和環(huán)境上的更高權(quán)限級(jí)別。如此，他們可以自由創(chuàng)建并對(duì)其進(jìn)行管理。伴隨更大權(quán)限而來的是更多責(zé)任，需要自行負(fù)責(zé)工作負(fù)載之內(nèi)以及之間的訪問控制，同時(shí)讓網(wǎng)絡(luò)和安全團(tuán)隊(duì)負(fù)責(zé)威脅防護(hù)和高級(jí)安全防護(hù)考量。

4.自動(dòng)化、有效性及靈活性云自動(dòng)化是一個(gè)寬泛的術(shù)語，與組織用以減少與配置和管理云計(jì)算工作負(fù)載相關(guān)之手動(dòng)操作的流程和工具有關(guān)。顯然，這與安全運(yùn)行也切實(shí)相關(guān)，因?yàn)樵谠骗h(huán)境中，手動(dòng)保護(hù)工作負(fù)載和資源的傳統(tǒng)方式已不再適用。如果因安全運(yùn)行要求而導(dǎo)致業(yè)務(wù)敏捷性受阻，則可能(通過使用變通方法)忽略前者，或是選擇性地以不妨礙業(yè)務(wù)的方式開放保護(hù)措施。就云安全運(yùn)行而言，自動(dòng)化對(duì)減少潛在風(fēng)險(xiǎn)和消除一些組織流程中的人為因素至關(guān)重要。藍(lán)圖本質(zhì)上完全支持并促進(jìn)流程和步驟的自動(dòng)化實(shí)施，從使用預(yù)配置模板完成的環(huán)境配置階段，到使用動(dòng)態(tài)自適應(yīng)策略完成的日常策略操作，其中無需人為干預(yù)。

5.無邊界如前所述，通過多個(gè)云供應(yīng)商啟動(dòng)和運(yùn)行其工作負(fù)載正日益成為企業(yè)客戶的慣例，而主要目的則是為了更好地支持其業(yè)務(wù)要求。在單一和異構(gòu)環(huán)境中使用多個(gè)云計(jì)算供應(yīng)商通常也稱為多云戰(zhàn)略。這一戰(zhàn)略的確前景看好。

若利用位于不同地理位置并擁有大量新興技術(shù)的多個(gè)云供應(yīng)商，會(huì)面臨諸如以下安全挑戰(zhàn)：

a. 跨所有環(huán)境執(zhí)行一致的安全策略

b. 從統(tǒng)一的中心點(diǎn)輕松管理安全狀況

c. 安全地連接各種云和位置

d. 允許應(yīng)用程序輕松安全地與彼此進(jìn)行通信，而無需考慮其位置如何e. 能夠提供深入不同位置之中以及之間流量流動(dòng)的可見性藍(lán)圖能夠應(yīng)對(duì)上述挑戰(zhàn)并提供支持，敦促企業(yè)遵循這一戰(zhàn)略。

下述藍(lán)圖架構(gòu)旨在符合以上指導(dǎo)方針要求，并確保企業(yè)安全地遷移到云。      
                                    

該架構(gòu)概念基于“中心輻射型”模式，其中將環(huán)境設(shè)置為一種通信線路的系統(tǒng)，其中的通信線路像鋼絲輻輪一樣布置，其內(nèi)的所有分支都連接到一個(gè)中介器(中心)上，所有進(jìn)出分支的流量都要遍歷通過中介器(中心)。藍(lán)圖中提議在同一環(huán)境中使用兩個(gè)這樣的中心，以便進(jìn)行流量分離。

分支每個(gè)分支都是一個(gè)獨(dú)立的網(wǎng)絡(luò)環(huán)境，其包含一個(gè)或多個(gè)網(wǎng)絡(luò)子網(wǎng)的集合，典型的工作負(fù)載可從中安裝及運(yùn)行。一個(gè)常見用例是包含多個(gè)虛擬服務(wù)器的分支，這些虛擬服務(wù)器組成部分或整個(gè)應(yīng)用程序堆棧(Web、應(yīng)用程序和數(shù)據(jù)庫)。

另一個(gè)用例是用作現(xiàn)有本地網(wǎng)絡(luò)擴(kuò)展的分支，如一組用于測(cè)試的QA 服務(wù)器，或一組數(shù)據(jù)處理服務(wù)器，這些服務(wù)器利用云的按需配置降低成本并提高敏捷性。本藍(lán)圖屬于高級(jí)別的設(shè)計(jì)文檔，適用于所有領(lǐng)先的云環(huán)境，如AWS、Azure、Google、Oracle 云、阿里云等。

中心如下圖所示，我們?cè)诃h(huán)境中使用兩個(gè)中心。這樣可實(shí)現(xiàn)整個(gè)環(huán)境內(nèi)的靈活性，并將通信類型進(jìn)行系統(tǒng)性分離。一個(gè)中心旨在接收來自互聯(lián)網(wǎng)的傳入流量，另一個(gè)用于分支之間的橫向流量、進(jìn)出公司網(wǎng)絡(luò)的流量以及傳出到互聯(lián)網(wǎng)或其他云環(huán)境的流量。環(huán)境內(nèi)流量通過配置中心和分支間的路由及連接，可以將中心設(shè)定成進(jìn)出環(huán)境的唯一路徑，以及環(huán)境中分支內(nèi)部和分支之間流通的唯一路徑，因?yàn)榉种чg并沒有彼此直接連接，實(shí)際上只能通過其中一個(gè)中心進(jìn)行訪問。這樣也能確定出環(huán)境的邊界和分區(qū)。


邊界安全邊界劃定在中心上進(jìn)行(北和南)。推薦在邊界上啟用的安全保護(hù)包括防病毒軟件、防僵尸網(wǎng)絡(luò)和IPS。分區(qū)通過將資源置于不同的分支，并對(duì)進(jìn)出分支的流量執(zhí)行安全控制，從而實(shí)現(xiàn)分區(qū)。

藍(lán)圖中的三大主要分支類型是：僅面向互聯(lián)網(wǎng)(如上圖中的分支 1) - 這些分支連接至北向中心，因此只能通過來自互聯(lián)網(wǎng)的進(jìn)站流量進(jìn)行訪問。通常，這些分支將托管面向互聯(lián)網(wǎng)以及需要從互聯(lián)網(wǎng)訪問的前端服務(wù)器。從這些分支到企業(yè)資源或環(huán)境中其他分支的連接受到系統(tǒng)性攔截，且無法通過簡(jiǎn)單配置啟用(以此避免人為失誤和錯(cuò)誤，以防將保密資源泄露給公眾)。

僅面向私有(如上圖中的分支 2) - 此類分支只連接至南向中心，因此系統(tǒng)性地?zé)o法從互聯(lián)網(wǎng)訪問，而只能通過VPN 和/或直接連接至公司網(wǎng)絡(luò)或環(huán)境中其他分支進(jìn)行訪問(根據(jù)南向防火墻的安全策略)。此類分支的一個(gè)實(shí)例就是托管數(shù)據(jù)庫(DB) 服務(wù)器。我們不希望可以從互聯(lián)網(wǎng)直接訪問這些服務(wù)器，但希望能夠具有安全的連接。

組合(如上圖中的分支 3) - 此類分支適用于既可以從互聯(lián)網(wǎng)訪問，也要求后端訪問其他分支或公司網(wǎng)絡(luò)的服務(wù)器。此類用例之一是網(wǎng)站服務(wù)器，一端連接到互聯(lián)網(wǎng)，另一端需要訪問應(yīng)用程序服務(wù)器或數(shù)據(jù)庫服務(wù)器。

敏捷性

為實(shí)現(xiàn)和支持業(yè)務(wù)敏捷性，可以創(chuàng)建分支，并完全隸屬于組織中不同的LOB(業(yè)務(wù)部門)。事實(shí)上，只要符合組織策略，組織中的任何人都可成為分支所有者。分支創(chuàng)建后，其中的服務(wù)器、容器及其他任何工作負(fù)載均被分支所有者控制和維護(hù)。這樣可以實(shí)現(xiàn)分支內(nèi)部自由運(yùn)行，無論是創(chuàng)建、開發(fā)還是啟動(dòng)服務(wù)或應(yīng)用程序。同時(shí)也實(shí)現(xiàn)了云環(huán)境最大的敏捷性功能，不存在技術(shù)支持開銷，并與每個(gè)分支中的任何事件無關(guān)。自動(dòng)化如上所述，藍(lán)圖的另一個(gè)重要方面是將IT 集成到云運(yùn)行中。藍(lán)圖簡(jiǎn)化了將 IT 引入云環(huán)境的流程，且有助于利用云的自動(dòng)化和協(xié)調(diào)等最大功能。

這樣可讓IT 順利運(yùn)行，使其成為業(yè)務(wù)的助力者，而非攔路石。通過使用預(yù)配置的虛擬防火墻部署模板，IT 只需“單擊按鈕”，甚至無需任何手動(dòng)配置，即可安全地部署整個(gè)環(huán)境。這對(duì)于環(huán)境配置和日常運(yùn)行都是如此，同時(shí)還支持靈活的環(huán)境即裝即用。以一個(gè)類似于上圖的環(huán)境為例。環(huán)境中的應(yīng)用程序所有者添加了一個(gè)新的分支。Check Point 管理服務(wù)器(SMS) 自動(dòng)識(shí)別此新分支，并自動(dòng)形成所需的安全進(jìn)出連接。這樣可提供對(duì)新建分支進(jìn)出流量的全面可見性和控制，并確保符合IT 所確定的標(biāo)準(zhǔn)和策略。組織安全狀況可實(shí)現(xiàn)同樣程度的動(dòng)態(tài)性，其中策略可以獲得預(yù)先批準(zhǔn)，然后動(dòng)態(tài)地分配至工作負(fù)載(如基于資源標(biāo)記)。

更新即時(shí)完成，使企業(yè)主能夠按照自身的節(jié)奏進(jìn)行，并確保符合公司的策略和標(biāo)準(zhǔn)。無邊界此設(shè)計(jì)本身還支持在單一云平臺(tái)的常規(guī)限制之外進(jìn)行擴(kuò)展，并能處理云平臺(tái)之間的連接，同時(shí)在整個(gè)環(huán)境中維護(hù)相同的架構(gòu)原則和同等的安全狀況。此類多云架構(gòu)的范例是將服務(wù)部署于AWS 和 Azure 的在線游戲公司，其背后的邏輯其實(shí)是“最佳”方法，即根據(jù)團(tuán)隊(duì)的專業(yè)知識(shí)和技術(shù)優(yōu)勢(shì)選擇每個(gè)平臺(tái)。例如，網(wǎng)站前端和應(yīng)用程序?qū)佑葾WS 托管，跨多個(gè)可用性區(qū)域以提供冗余，而身份和驗(yàn)證功能則由Azure 集成 ID 服務(wù)提供，數(shù)據(jù)庫和存儲(chǔ)層托管在本地?cái)?shù)據(jù)中心。
     
其他考慮事項(xiàng)統(tǒng)

一管理多云環(huán)境中的運(yùn)行安全性是一個(gè)挑戰(zhàn)，因?yàn)樯婕暗焦芾砗涂刂剖褂貌煌芾砉ぞ叩亩鄠€(gè)位置的資源。顯然在這種狀況下，即使環(huán)境中已解決連接性問題或安全事件，試圖維護(hù)統(tǒng)一的策略也會(huì)非常麻煩并且效率低下。

R80.10 管理服務(wù)器 (SMS) 是一個(gè)集成式安全管理解決方案，包含策略、日志記錄、監(jiān)控、事件關(guān)聯(lián)和報(bào)告，所有功能集中在使用統(tǒng)一安全策略的單一系統(tǒng)中，使得管理者能夠輕松識(shí)別整個(gè)環(huán)境中的安全風(fēng)險(xiǎn)并維護(hù)策略安全。統(tǒng)一的策略讓組織能夠?qū)⑵浒踩x轉(zhuǎn)換成一組簡(jiǎn)單的規(guī)則，從而在整個(gè)組織中簡(jiǎn)化策略的管理和執(zhí)行。

     
冗余和彈性

作為經(jīng)驗(yàn)法則，此藍(lán)圖為本地故障事件而創(chuàng)建，具有內(nèi)置彈性。其在環(huán)境的多層上實(shí)現(xiàn)。

1. 數(shù)據(jù)中心級(jí)別冗余 – 環(huán)境內(nèi)置到多個(gè)(2 個(gè)或以上)區(qū)域中，每個(gè)區(qū)域代表一個(gè)獨(dú)立的數(shù)據(jù)中心(例如，獨(dú)立的網(wǎng)絡(luò)、電力、空調(diào)，甚至單獨(dú)的建筑物)。

2. 軟件級(jí)別冗余 – 在整個(gè)環(huán)境中，網(wǎng)關(guān)以 N+1* 冗余性部署。這可根據(jù)網(wǎng)關(guān)的位置和角色轉(zhuǎn)換為兩個(gè)獨(dú)立的解決方案。

a. 在北向中心，基于 http/https 的連接從互聯(lián)網(wǎng)傳入，網(wǎng)關(guān)以彈性方式實(shí)施，其中網(wǎng)關(guān)數(shù)量基于流經(jīng)網(wǎng)關(guān)的負(fù)載而動(dòng)態(tài)變化。此類擴(kuò)展(也稱水平擴(kuò)展**)在負(fù)載增加時(shí)會(huì)增加其他網(wǎng)關(guān)，并在幾分鐘內(nèi)投入使用(網(wǎng)關(guān)初始化需要五到七分鐘)，負(fù)載將在網(wǎng)關(guān)之間實(shí)現(xiàn)平衡。負(fù)載減少時(shí)，則會(huì)移除池中不需要的網(wǎng)關(guān)，以實(shí)現(xiàn)環(huán)境在成本和性能方面的高效。

b. 在南向中心，網(wǎng)關(guān)部署為活動(dòng)備份群集。此擴(kuò)展機(jī)制稱為垂直擴(kuò)展***。當(dāng)通過該中心的負(fù)載增加時(shí)，會(huì)分別向各個(gè)網(wǎng)關(guān)增加更多的資源。* N+1 冗余是一種彈性形式，確保在組件出現(xiàn)故障時(shí)的系統(tǒng)可用性。組件 (N) 至少有一個(gè)獨(dú)立的備份組件 (+1)。** 水平擴(kuò)展是指通過向資源池增加更多機(jī)器進(jìn)行擴(kuò)展*** 垂直擴(kuò)展是指通過在現(xiàn)有機(jī)器中提升能力(CPU、內(nèi)存)進(jìn)行擴(kuò)展故障轉(zhuǎn)移北向中心的網(wǎng)關(guān)出現(xiàn)故障時(shí)，該網(wǎng)關(guān)上的連接不會(huì)保留，新的連接將被重新平衡到環(huán)境中工作正常的網(wǎng)關(guān)。

基于http/https 的連接本質(zhì)上并無狀態(tài)。用戶體驗(yàn)僅僅是在幾秒內(nèi)刷新瀏覽器。在南向中心，連接更加多樣化、復(fù)雜，且通常有狀態(tài)，連接在群集成員之間不斷進(jìn)行同步?；顒?dòng)網(wǎng)關(guān)的故障轉(zhuǎn)移將導(dǎo)致備用成員重新獲得所有活動(dòng)連接，并成為活動(dòng)成員。連接相關(guān)性北向中心連接相關(guān)性基于客戶的IP 地址和端口號(hào)，因此從互聯(lián)網(wǎng)發(fā)起連接時(shí)，負(fù)載平衡器會(huì)選擇目標(biāo)網(wǎng)關(guān)以發(fā)送連接，并且只要會(huì)話在進(jìn)行中，就一直保持該目標(biāo)。南向中心相關(guān)性基于活動(dòng)成員，因此所有流量總是導(dǎo)向到活動(dòng)成員。推薦規(guī)模通常基于環(huán)境內(nèi)的性能需求及所需的安全級(jí)別調(diào)整解決方案。

推薦的典型環(huán)境組成為：

1. 在北向中心，推薦至少 2 個(gè)網(wǎng)關(guān) (N+1)，每個(gè)配置 4 個(gè)虛擬 CPU 內(nèi)核，8GB 內(nèi)存。如上所述，擴(kuò)展是水平進(jìn)行，因此環(huán)境中的負(fù)載增長(zhǎng)時(shí)，新的附加網(wǎng)關(guān)會(huì)自動(dòng)添加到環(huán)境中。2. 在南向中心，推薦群集包括

2 個(gè)網(wǎng)關(guān)，每個(gè)配置 8 個(gè)虛擬 CPU 內(nèi)核，8GB 內(nèi)存。增長(zhǎng)是垂直進(jìn)行，意味著會(huì)向每個(gè)網(wǎng)關(guān)增加更多資源(CPU/ 內(nèi)存)。

災(zāi)難恢復(fù)

對(duì)大多數(shù)組織而言，通常會(huì)建立彈性的架構(gòu)以應(yīng)對(duì)嚴(yán)重事件。通過此藍(lán)圖提供的靈活性，可以輕松創(chuàng)建和維護(hù)災(zāi)難恢復(fù)站點(diǎn)，作為架構(gòu)中的另一個(gè)站點(diǎn)。而且，可將基礎(chǔ)架構(gòu)縮小至零冗余，但又足以支持高峰負(fù)載。