組織傳統的網絡安全系統通過應用物理和基于軟件的控制措施來保護基礎設施免受未經授權的使用，從而保護周邊的端點和數據中心。這種方法保護服務器和其他IT設備免受數據竊取或破壞，以及其他資產的攻擊。

 

隨著越來越多的組織將工作負載遷移到云端，安全策略必須不斷發展和進步。云計算推動了轉型，從而產生了混合架構，其中一些工作負載在云中運行，而另一些則在內部部署設施中運行。

 

安全連接對于這些環境的穩定性以及對在其上運行的資產的保護至關重要。但是，隨著組織在高度分布的資源之間跟蹤活動，這種混合架構還帶來了新的復雜性。因此，一些組織正在尋求將有效的云網絡安全保護嵌入其基礎設施的多個層面的方法。

 

云計算網絡安全包括保護基礎設施、系統和數據不受未經授權的訪問或濫用(無論是故意還是其他)所需的所有策略、保護和實踐。成功的云網絡安全策略建立在傳統網絡安全的基礎之上：保護、檢測、響應。它還要求組織了解與保護按需混合部署環境相關的獨特問題。以下是五個需要考慮的基本步驟：

 

 

云計算掩蓋了管理網絡安全的傳統界線。例如，IaaS提供商在其物理和虛擬基礎設施中采用控制措施，并依靠最佳實踐來保護運營環境。同樣，SaaS提供商在其應用程序和設施中嵌入了保護措施。但組織必須知道，其數據不僅要在云中受到保護，而且在整個運營環境中都要受到保護。考慮到潛在漏洞可能隱藏的盲點，這并不容易。為此，云計算提供商和第三方安全供應商提供了各種附加工具(從監控軟件到數據包嗅探器)來加強云計算網絡安全。與此同時，電信服務提供商提供了一套云安全工具，用于在數據輸入到混合環境時保護數據。因此，它必須了解所有嵌入到其服務中的控制措施提供者，并確定潛在的漏洞所在。這是應該在簽訂任何合同之前進行的對話。

 

安全的連接對于這些環境的穩定性以及對運行在這些環境上的資產的保護至關重要。

 

 

最佳的云運營要求安全性是網絡不可或缺的一部分。這種方法將通過云計算提供的基于策略的軟件定義實踐整合到了安全訪問服務邊緣(SASE)中。反過來，安全訪問服務邊緣(SASE)依靠各種云服務來保護混合部署環境中的資產，其中包括云訪問安全代理、安全Web網關和防火墻即服務，以及瀏覽器隔離等功能。零信任是安全訪問服務邊緣(SASE)的重要組成部分，在這種信任中，所有組織在被認證為安全之前都被認為具有潛在的危害。許多組織使用零信任網絡訪問(ZTNA)，它會掩蓋IP地址。并將應用程序訪問與網絡訪問隔離開來，以保護網絡資源免受威脅，例如在受感染系統上運行的惡意軟件。應用程序訪問通過身份驗證的授權用戶和設備。

 

 

零信任網絡訪問(ZTNA)可以與網絡分段結合使用，以增強云計算網絡的安全性。網絡分段將物理網絡分成較小的部分。IT部門可以使用虛擬化技術對網絡進行微細分，從而創建足夠精確的網絡區域來支持單個工作負載。這些區域充當虛擬防火墻，阻止網絡攻擊者不受阻礙地侵入混合部署環境。如今，自動化技術的進步使組織能夠根據不斷變化的條件和既定政策創建區域，隨著環境的擴展而創建新區域，并在環境收縮時減少網絡分段數量。

 

 

組織應確保在靜態和傳輸過程中對數據進行加密。云計算提供商通常提供加密服務，但要注意，并非所有的服務都是平等的。此外，并非每個應用程序工作負載都需要相同級別的加密。例如，電子郵件可能只需要傳輸級保護，也就是消息僅在它們在網絡中移動時才被加密，而不是端到端加密，后者在消息到達目的地時對其進行解密。前者的安全性較差，但其成本也比后者更低。

 

 

有效的云計算網絡安全性的關鍵部分是進行測試，以確保在所有正確的區域中都采取正確的控制措施。在審查之間進行滲透測試以暴露漏洞，以便在被利用或以其他方式破壞之前就可以對其進行糾正。進行的測試還可以減輕合規性審核過程中的一些壓力。最后，在發生違規事件時制定策略。保留事件的回應以幫助減輕任何攻擊的影響。確保組織已制定計劃有效地使系統恢復在線狀態。盡可能實現自動化，以消除人為錯誤，并加快服務恢復速度。然后調查日志以確定恢復操作的最佳方法。

 

版權聲明：本文為企業網D1Net編譯，轉載需注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。