云安全挑战不容忽视
云计算并不仅仅是一种趋势 - 它是不断演变的现实。报告指出,到2023年,84%的中大型公司将采用多云战略,并将其定位为决定性的年度云计算趋势。同时,根据Gartner的预测,到2023年,全球公共云支出将从2022年的4903亿美元增长20.7%,达到5918亿美元。这表明云计算已经成为现代企业的标配之一。
在云时代,安全仍然是备受关注的重要问题。在普华永道2023年Digital Trust Insights研究中,与云相关的威胁被列为2023年对组织产生重大影响的网络安全问题之一。大约39%的高管表示,他们预计2023年基于云的威胁向量将对他们的组织产生重大影响,较2022年有所增加。由于云的可扩展性和效率,云技术已成为各行各业组织的热门选择。然而,攻击面的扩大以及攻击的不同执行方式使得许多组织容易受到威胁和数据泄露。云安全威胁形势一直在快速发展,因此采用强大的云安全策略对于各种规模的组织都至关重要。
微分段实现精细化安全防护
我们可以看到,企业在遭受大规模攻击时,传统防火墙已经无法胜任其防御工作。事实上,超过60%的安全专家表示,针对数字化转型的精细化需求,传统防火墙无法保护关键业务和云端应用程序免受网络攻击的威胁。
然而,在云计算时代,微分段技术作为一种新兴的安全最佳实践却具有重要意义。微分段是一种基于软件的网络安全方法,与更成熟的网络分段和应用程序分段等方法相比,具有许多优势。它将网络划分为多个小区域,每个区域只允许授权用户和设备访问,从而使得基础设施更安全。微分段中基于软件的分段元素将安全控制与底层基础设施分开,使得组织可以提升企业的扩展防御能力和监测能力灵活度。我们可以将微分段看作是一个船体,隔离了不同区域的网络流量,并控制可能的威胁,就像造船厂一直以来都使用分段来隔离船体裂口并控制洪水一样。
根据2022年的ESG (Enterprise Strategy Group)报告,有68%的企业正在使用基于软件的微分段技术,以限制黑客对网络的横向探索,从而更好地保护他们的应用程序和数据。此外,Gartner预测到2023年,至少99%的云安全故障将是由于用户错误导致的。根据探索微分段的关键用例报告,越来越多企业认识到未使用微分段是他们防御中的一个重大漏洞。因此,91% 的人预计在 24 个月后将使用微分段技术。微分段通过支持物理、虚拟和云网络抵御外部和内部威胁来巩固和加强零信任的主要优势,并且应该成为任何零信任战略的核心组成部分。因此,正确地在内部部署和云端实施微分段技术可以为零信任计划奠定基础,从而更好地保障企业网络安全。
微分段关键优势防止威胁横向移动
随着IT基础设施变得更加动态,云基础设施和容器等新的部署方法扮演着越来越重要的角色,传统以边界为中心的安全性的价值大大降低。因此,IT团队需要增强检测和防止异构数据中心和云资产之间横向移动的能力。具有第7层粒度的微分段技术为面临这一挑战的企业提供了五大关键优势:
1. 防止横向移动
微分段使企业能够限制应用集群内的东西向移动并将安全控制功能扩展到第7层,从而减少漏洞和非法横向移动的风险。微分段技术的其他优势包括实时策略执行与覆盖缺口识别。
2. 保证云工作负载的安全
由于使用多家云平台和服务提供商,企业的异构环境和技术组合正在不断变化。综合全面的微分段解决方案可提供整个IT基础设施的可视图,并将分段策略扩展到任何工作负载迁移的地方,包括数据中心、云以及多云和混合云环境。这可以帮助管理员在上云之前规划和识别依赖关系,确保过渡的顺利。
3. 实现零信任安全
零信任架构不信任企业边界内的任何网络,并且正在微分段等技术的辅助下成为主流。零信任要求安全专业人员“在验证之前不信任任何流量或用户”,在资产周围划定微控制边界并认为包括内部活动在内的任何活动都可能是恶意行为。该框架大大缩小了受攻击面,有效地防止了横向移动。微分段技术让零信任最佳实践的落实变得更加容易,包括保护所有资源的安全、采取访问授权最小化控制模式、记录和检查所有流量等。
4. 简化合规
合规和数据法规提出了更加具体的技术要求,企业可以通过微分段来满足这些要求,确保被监管的资产与整个网络隔离,从而更好地防范第4层控制功能无法解决的安全漏洞。攻击者可以利用开放的第4层端口绕过安全功能,但带有第7层策略执行功能的微分段可以防止这种情况的发生。实时和历史数据可以被用来证明分段的有效性并且没有发生不合规的通信。
5. 基于身份的访问控制
微分段还可以采用考虑用户身份的集中化策略,根据用户角色限制用户的访问权限,这使IT安全团队能够应用包括服务、端口和进程在内的精细化选项与上下文,即便多名用户同时使用同一台机器也不例外。另外,微分段可以通过定义基于身份的策略来帮助企业管理第三方访问,使外部厂商或SaaS提供商只能访问所需要的应用和数据并防止他们与无关的资产互动。
微分段如何适应零信任
微分段对于防护零信任专用网络至关重要。因为企业中的不安全打印机、未应用修补程序的服务器,以及容易被网络钓鱼欺骗的用户都可能成为安全漏洞,从而使得企业的专用网络成为安全威胁的热点。
零信任框架基于身份认证和最小化应用授权的原则,极大地保护了数据安全。应用和数据的交互只能在特定的通道中进行,并在传输过程中进行加密,从而保障了数据的私密性。零信任执行非常严格的访问控制,确保只向经过严格身份验证和授权的用户授予访问权限
为了实现这种零信任框架,企业必须阻止所有未被明确允许的活动,这需要比 IP 地址和端口更深层次的任务属性识别。利用微分段技术,凭借其精准、具有身份识别能力且易于理解的策略,可以协助网络安全团队提高零信任的成熟度。
具体来说,第一步,企业需要全面了解其需保护的关键资产以及整个环境。一个成功的微分段解决方案可以帮助收集这些关键数据,并了解工作负载和端点之间的关系和通信模式。然后,企业可以使用这些数据来构建零信任架构。而微分段控制则可以在特定应用程序和环境周围创建微边界,只允许授权的活动。
零信任主要是拒绝所有未明确允许和验证的操作的策略。软件定义的微分段还使得 IT 安全团队能够快速灵活地修改策略以适应新的安全用例或不断变化的业务需求。因此,微分段解决方案可以为实现零信任提供强大的支持。基于软件的分段具有以下几种优势:
• 提供全时段全方位的安全保护:无论是云、数据中心或其他任何位置,都可以应用和调整安全策略,而且无需更改网络设置,系统停机时间为零。
• 实时监测内部网络:通过全面了解企业工作负载相关元素,可以为每个工作负载定制专属安全计划,并根据应用场景将网段细分成更安全的单元。
• 实现深度安全模式:以工作负载为中心,采用分布式防火墙策略,实现进程级精细防护,从而减少企业所需投入的精力和资源。
越来越多的国内企业采用基于微分段技术的零信任安全布局,以应对数据安全风险。据Gartner预测,到 2026 年,10% 的大型企业将拥有成熟且可衡量的零信任计划,高于目前的不到 1%。采用基于高可见性和高精度的微分段防护的零信任解决方案,将进一步助力企业升级云安全架构、减少攻击面并有效应对网络威胁、保护核心数据和业务安全。因此,我们建议企业部署一套全面的零信任组合方案,也可以选择与专业厂商合作,可有力支持企业 IT 部门快速打造新一代云安全模式,显著提高网络安全性,从容应对现代化网络基础架构的安全转型难题,精细、立体、智能地建立云安全模式。