但是,東西向流量——即穿越內部網絡和數據中心但不越過網絡邊界的流量——永遠不會受到這些基于云的安全檢查。
一種解決方法是維護傳統的數據中心防火墻,專門監控東西方向的流量。首先,這種混合安全架構增加了管理不同安全解決方案的成本和復雜性,這是企業迫切希望通過基于云的融合安全堆棧來克服的問題。
其次,跨云和內部部署安全組件缺乏統一可見性可能會導致共享環境的丟失,從而不可避免地存在安全漏洞。即使是安全信息和事件管理(SIEM)或擴展檢測和響應(XDR)解決方案也無法解決為不同類型的流量維護混合安全堆棧的復雜性和運營開銷。因此,企業仍然需要單一的集成安全堆棧,通過統一的控制面板管理,為傳入、傳出和內部流量提供無處不在的保護。
將云原生安全擴展到東西方向的流量
企業需要一種既能提供南北保護又能提供東西保護的安全解決方案,但這一切都必須通過統一的基于云的控制臺進行協調。有兩種方法可以實現這一點:
1.通過廣域網防火墻策略
SASE和SSE等云原生安全架構可以通過最近的入網點(POP)重新路由所有內部流量,從而提供通常由數據中心防火墻提供的東西保護。與具有自己的配置和管理約束的本地防火墻不同,在SSE POP中配置的防火墻策略可以通過平臺的集中管理控制臺進行管理。在統一控制臺中,管理員可以根據ZTNA原則創建訪問策略。例如,它們可以只允許連接到公司VLAN并運行授權的Active Directory注冊設備的授權用戶訪問托管在本地數據中心內的敏感資源。
但是,在某些情況下,企業可能需要在本地實施東西流量保護,而不將流量重定向到POP。
2.通過局域網防火墻策略
假設連接到物聯網VLAN的攝像機需要訪問內部服務器。
鑒于物聯網攝像頭容易受到惡意威脅行為者的危害,并通過遠程C2服務器通過互聯網進行控制,因此默認情況下應禁用攝像頭的互聯網或廣域網訪問。如果在POP中實施數據中心防火墻策略,來自禁用互聯網的物聯網設備的流量自然將免除此類策略。為了彌補這一差距,SASE和SSE平臺可以允許管理員在本地SD-廣域網設備上配置防火墻策略。
通常,企業通過安裝在站點上的SD-WAN設備(也稱為插座)連接到SASE或SSE POP。集中式儀表板允許管理員配置規則,以允許或阻止直接在SD-廣域網設備上的內部或局域網流量,而無需通過廣域網將其發送到POP。
在此方案中,如果流量與預配置的局域網防火墻策略匹配,則可以在本地實施規則。例如,管理員可以允許公司的虛擬局域網用戶訪問連接到打印機虛擬局域網的打印機,而拒絕訪客Wi-Fi用戶訪問。如果流量與預定義的策略不匹配,則可以將流量轉發到POP進行進一步分類。
基于云的東西向保護是必由之路
隨著安全功能越來越多地轉移到云上,不要忽視現場所需的控制和安全措施,這一點至關重要。
云原生保護旨在增加覆蓋范圍,同時降低復雜性并促進融合。在SASE和SSE架構中啟用東西流量保護同樣重要,保持此類平臺提供的統一可見性、控制和管理也同樣重要。要實現這一點,企業必須避免被新出現的威脅和添加不同的安全解決方案所迷惑。
因此,在基于云的安全范例中添加的任何內部安全措施都應維護統一的控制面板,以實現跨局域網和廣域網流量的精細策略配置和端到端可見性,這是企業能夠可靠地彌合云和內部部署安全之間的差距并實現可持續、適應性和面向未來的安全堆棧的唯一方法。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號