在云中构建安全网络与保护传统网络不同,本文介绍两种的主要差异以及如何建立云网络安全性。
构建云网络与内部构建传统模型不同。在内部,企业可以控制所有网络层。在云中,没有开关层控件,所有相关的控件都是软件定义的。
虽然企业可能不会放弃以硬件为中心的网络平台,但必须利用云提供商提供的工具,这可能不是习以为常的工具。
开发合理的纵深防御,基于云的网络有很多选择,但可能需要一些不同的工具和服务。某些供应商可能没有可在云中运行的产品。此外,内部网络设备连接的想法在云中被弃用,因为企业无法控制虚拟机管理程序。
云中哪些网络组件发生了变化?
简单的答案:几乎所有。这是由于软件定义的组件,以及可能缺乏供云网络安全的供应商资源。
其他主要变化包括:
- 大而扁平的网络。在云中,许多子网基本上是扁平的,除非构建适当的控件,否则系统可以相互通信而没有真正的挑战。
- 没有本地可用的东西向流量监控。监控系统之间的流量需要复杂的架构和路由更改,或基于主机的监控。像VPC Flow Logs这样的工具可以记录网段内的访问尝试。
- 有限的路由控制。使用提供商提供的工具和控件在云中进行路由可能会留下很多不足之处。尽管现在在某些云环境中可以使用BGP路由,但大多数路由控制都很简单,没有太多灵活的内部和公共路由。
- 简单的本机防火墙和网络访问控制。大多数防火墙仍在第3层和第4层运行,有些防火墙并非完全有状态。 AWS子网ACL就是一个很好的例子。
- 流量捕获或内联入侵检测。尽管Azure Network Watcher等工具有望利用软件定义的网络流量并提高可视化,但这些功能很难轻松实现。
- 基于内容的检查。恶意软件沙盒和网络DLP工具现在很少,尽管这个市场中的供应商产品正在开始改进。
如何构建强大的云网络安全策略
组织可以通过多种战略方法构建成熟的云网络安全策略。
首先,采用云原生技术,例如AWS中的安全组和Azure中的网络安全组。但是,仍然需要领先的防火墙和入侵防御供应商提供的安全工具。
大多数企业仍然需要在云中实现强大的企业级流量控制,这通常使用混合方法完成。作为起点,让云原生控件处理工作负载到工作负载的访问控制,从而管理东西向流量,而从Internet或数据中心进入各个子网的所有流量都可以通过虚拟家电。管理员需要更仔细检查的流量,可以根据需要放行这些设备在云中的路由。
其次,计划使用AWS上的虚拟私有云(VPC)或Azure上的虚拟网络(VNet)隔离网络,然后战略性地将这些网络配对。这允许最孤立的用例,企业可以为流量必须通过的所有安全监控和控制,构建专用的VPC或VNet,对哪些段相互通信具有更有限的控制程度。
第三,计划启用任何Flow Logs,将它们发送到中央存储节点,然后使用AWS GuardDuty或第三方平台等云本机工具来监控流量的长期行为模式,以及明显的攻击尝试。
作为最后的考虑,请研究用于微分段和零信任访问控制模型的混合工具,这些模型可以在云中和你自己的数据中心内工作。此方法侧重于应用程序行为和系统关联性,并且随着时间的推移可能会变得越来越重要,许多供应商都提供可以做到这一点的产品。
原文链接:
https://searchcloudsecurity.techtarget.com/tip/How-to-build-a-strong-cloud-network-security-strategy?