• CN
  • magnifying glass search icon to open search field
  • 联系我们
  • 资源
  • 获得支持
  • 遭遇攻击?
Palo Alto Networks logo
  • 产品
  • 解决方案
  • 服务
  • 行业
  • 合作伙伴
  • 为何选择 Palo Alto Networks?
  • 公司
  • 更多
  • CN
    Language
  • 联系我们
  • 资源
  • 获得支持
  • 遭遇攻击?
  • 立即开始

公有云防火墙是什么?

5 分钟阅读

公有云防火墙是部署在公有云中的虚拟网络安全设备。一般来说,公有云防火墙往往提供类似于硬件防火墙的功能。然而,在混合云部署中,公有云防火墙在可扩展性、可用性和可延伸性方面比本地设备具有显著优势。这些设备通常也称为“虚拟防火墙”,在这些环境中使用时称为“公有云防火墙”。

对于公有云防火墙的需求

基于云的应用安全是客户和云服务提供商 (CSP) 之间的共同责任。CSP 保护运行其服务的基础设施 - 硬件、软件、网络和设施。然而,使用这些服务的企业负责操作系统、平台、访问控制、数据、知识产权、源代码以及提供商基础设施上面向客户的内容的安全(参见图 1)。许多 CSP 提供防火墙作为可选服务,但是用户仍然负责防火墙策略配置和威胁监视。


图 1:基于云的环境的共享安全模型

随着各公司将现有应用从数据中心迁移到云,他们通常会继续使用本地防火墙来保护基于云的资产。这种配置的优点是用户熟悉且效果经过证实,但是它很难扩展且成本很高,需要大量的硬件和软件资本支出以及安装、维护和升级本地设备的开销。此外,许多公司不愿意投资于确保防火墙高可用性所需的冗余。而且,全球化企业发现将内部安全性扩展到分散在世界各地的应用不切实际。

公有云防火墙的优势

公有云防火墙解决了本地防火墙的局限性等问题。这些虚拟防火墙在 CSP 的基础设施上运行,具有很高的可用性,因为它们利用了 CSP 在冗余电源和供暖、通风和空调 (HVAC) 以及网络服务和自动备份系统方面的投资,以防止在站点发生故障时丢失数据。 

随着企业的云使用率增长,公有云防火墙通过添加虚拟实例而方便地扩展,无需硬件安装或维护。即使是挤占带宽的威胁 - 如分布式拒绝服务 (DDoS) 攻击,使用公有云防火墙也可以快速有效地缓解。

与本地防火墙不同,公有云防火墙部署在其保护的资产附近。这样配置避免了与从区域到数据中心的回传流量相关联的带宽消耗,并且可以减少或消除 CSP 对跨越地区边界的流量收取的费用。得益于大多数主流 CSP 之间的互联协议,即使是 CSP 的边界也不会构成障碍。

公有云防火墙的工作方式

与本地防火墙一样,公有云防火墙识别和控制应用,通过基于用户的策略授予访问权限,并防止已知和未知威胁进入网络边界。公有云防火墙提供了跨整个多云环境的应用可视性,帮助企业对安全策略和程序做出更明智的决策。自动化和集中化管理使开发人员能够在应用开发生命周期中嵌入新一代安全方案,确保安全功能能够跟上云原生开发策略和 DevOps 原则,例如持续集成和持续交付 (CI/CD)。 

鉴于高级威胁日益复杂,边界破坏难以避免。如今的网络威胁通常会危害单个工作站或用户,然后在网络中横向移动,并在移动时获得访问权限,从而使无论在何处的任务关键应用和数据都面临风险。顶级公有云防火墙支持分段和微分段策略,将关键应用和数据隔离在安全分段中,以阻止威胁的横向移动并简化合规性。

当公有云防火墙的设计和配置与提供商的原生安全解决方案协同工作时,才能发挥最佳效果,没有缺口。对于一个企业来说,最佳实践是从网络安全供应商处购买公有云防火墙,这些网络安全供应商与企业打算采用的 CSP 联合开发解决方案。

用例

本讨论表明,公有云防火墙具有极高通用性。以下是一些典型用例: 

  • 保护任务关键型应用与数据:公有云防火墙能够以零信任原则作为控制访问的方式,将关键应用与数据隔离到安全的分段中。基于区域的策略架构使企业能够基于应用和用户构建访问控制策略,从而保护虚拟机之间的东西向流量。
  • 将安全性扩展到分支机构:各企业部署公有云防火墙以将安全性扩展到分支机构。如前所述,公有云防火墙的虚拟特性使得它们几乎可以部署在世界上任何地方,这对于全球化企业来说是一个特别有吸引力的特性。
  • 安全的软件定义环境:公有云防火墙可以保护软件定义的环境,包括软件定义的网络和广域网(SDN 和 SD-WAN)。企业可以确保整个企业的一致网络安全,隔离销售点和其他关键系统,并保护 SD-WAN 上的实时流量流动。
  • 保护私有云资产:公有云防火墙还可以满足私有云的安全需求,私有云是由单个企业使用的按需计算环境。在这些环境中,虚拟防火墙有助于最大限度地投资于高度虚拟化的环境,并减少耗时的手动资源调配。

有关公有云防火墙的更多信息,请访问我们的网站。


数据表

Prisma Cloud:概述

借助 Prisma Cloud by Palo Alto Networks®,组织可以跨公有云计算环境维护合规性、管理安全性并进行安全操作。

December 16, 2020
  • 1205

资源

什么是云原生安全平台 (CNSP)?

This new approach brings a multitude of benefits, such as shorter time to market and faster delivery, but it also introduces security challenges

3 分钟阅读December 16, 2020
  • 234

资源

什么是虚拟防火墙?

A virtual firewall is a network security solution designed specifically for environments in which deploying hardware firewalls is difficult

2 分钟阅读December 16, 2020
  • 388

数据表

VM-SERIES 新一代防火墙

虚拟化和云技术正在推动数据中心的转变,将本地部署资源与私有 云和公共云资源融合在一起。VM-Series 可使用与保护实际网络相同 的新一代防火墙和高级威胁防御功能安全实现上述转变。

March 15, 2019
  • 6008

资源

什么是网络分段?

Network segmentation is an architectural approach that divides a network into multiple segments or subnets, each acting as its own small network.

5 分钟阅读March 15, 2019
  • 249

其他

Cortex XSIAM Solution Brief

Cortex XSIAM 利用机器智能和自动化从根本上改善安全成果,并转变手动 SecOps 模式。从企业到云,XSIAM 可集中化、自动化并扩展安全运营,以保护企业免受高级攻击。

October 25, 2022
  • 85

获取最新资讯、活动邀请以及威胁警报

提交此表单即表示您同意我们的使用条款并悉知隐私声明。

black linkedin icon black we chat icon
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)

热门资源

  • 公司
  • 博客
  • 社区
  • 内容库
  • Cyberpedia
  • 活动中心
  • 投资人
  • 技术文档
  • Unit 42
  • 网站地图

法律声明

  • 隐私
  • 信任中心
  • 使用条款
  • 文档

热门链接

  • 关于我们
  • 招贤纳士
  • 联系我们
  • 管理电子邮件首选项
报告漏洞

版权所有 © 2023 Palo Alto Networks。保留所有权利