什么是混合云安全？

混合云安全为何重要？

"Gartner的'云转变'研究仅包括应用软件、基础架构软件、业务流程服务和系统基础架构市场中那些可以过渡到云的企业IT类别。

到 2025 年，这四个类别中 51% 的 IT 支出将从传统解决方案转向 公共云，而 2022 年这一比例为 41%。2025 年，近三分之二（65.9%）的应用软件支出将用于云技术，高于 2022 年的 57.7%。"

-Gartner称到2025年关键细分市场一半以上的企业IT支出将转向云计算

我们生活在一个云和数字化转型的时代。用户和应用程序正在向传统的网络边界外迁移。越来越多的应用工作负载从公共云访问，包括：软件即服务（SaaS）、平台即服务（PaaS）和基础设施即服务（IaaS）：

• 53% 的云工作负载托管在公共云平台上，去年增加了 8%。

• 组织 向云迁移的 首要原因是构建新的和扩展现有的产品和服务。提高效率和灵活性的愿望紧随其后。

企业选择多云或混合模式的频率越来越高。混合云使组织既能享受云的好处，又能保持使用其他环境的灵活性。因此，组织面临的挑战是如何在不影响用户体验的情况下主动保护用户、应用程序和数据免受安全威胁，而且是跨多个环境的：

• 安全考虑因素持续阻碍企业应对风险和利用云的能力。

混合云安全挑战

混合云环境伴随着复杂的安全问题。云安全要求、责任分担模式以及不断变化的威胁环境共同促成了混合云安全挑战。

云安全和共同责任模式

• 云安全需要权衡利弊。
  随着云已成为企业环境不可或缺的一部分，许多组织都面临着公共云和私有云环境的妥协。网络安全控制往往被 "精简 "出云设计。因此，云安全权衡通常包括：
  
  • 简单与功能
  • 效率与能见度
  • 灵活性与安全性

• 诱人的云计算功能往往与网络安全背道而驰。
  云计算技术为组织提供了按需使用云资源的动态、自动化环境。然而，许多功能都与网络安全背道而驰，其中包括：
  
  • 云计算并不能减轻现有的网络安全威胁。
  • 分离和分割是安全的基础。然而，云依赖于共享资源。
  • 安全部署以流程为导向。相反，云计算环境是动态的。

• 基于云的应用程序及其数据正变得越来越分散。
  对数据暴露的担忧使云安全成为当务之急。在提高应用程序安全性的同时，还要确保数据在云之间移动时的安全，如何在这两者之间取得平衡已成为一项挑战。在应用程序和数据所在的所有地点，可见性和防止攻击是当务之急。

现代威胁的动态性质

• 现代威胁环境不断演变，近年来出现了许多复杂的新威胁。
  • 跳港
  • 使用非标准端口
  • 在常用服务内进行隧道传输
  • 隐藏在安全套接字层（SSL）加密中

直接针对应用程序的威胁可以穿过大多数企业防御系统，而这些防御系统历来都是为提供网络层保护而构建的。

威胁开发者利用各种方法渗透网络，包括

• 当今的许多威胁都能在网络和系统中隐蔽运行。

此类威胁旨在悄无声息地收集敏感数据，并无限期地保持不被发现的状态。这种方法保留了被盗数据的价值，并能重复使用相同的漏洞和攻击载体。

混合云环境面临的威胁包括

• 勒索软件
• 凭证失窃
• 基于域名系统的攻击
• 有针对性的 "低慢 "攻击
• 高级持续威胁(APT)

混合云安全架构

混合云安全必须无处不在。 虽然硬件防火墙是 本地部署环境的重要组成部分，但软件防火墙对混合云安全尤其有帮助。

软件防火墙包括

• 虚拟防火墙 （也称为云防火墙或虚拟化 NGFW）
  *虚拟防火墙是专为难以或无法部署硬件防火墙的环境设计的网络安全解决方案。这包括公共云和私有云环境；软件定义网络和软件定义广域网。
• 容器防火墙
• 托管服务防火墙

为了将这些组件联系在一起并确保混合环境的安全，组织应优先考虑这些功能：

• 物理和虚拟化形式因素中一致的安全性
• 利用零信任原则划分业务应用程序
• 集中管理的安全部署和简化的策略更新

混合云安全最佳实践

对于希望同时利用公共云和私有云环境优势的组织来说，混合云计算已成为一种流行的方法。然而，混合云的安全风险可能是复杂和多层次的，要求采取全面和动态的方法。

随着混合云解决方案被越来越多地采用，实施有效的安全措施以降低网络威胁和数据泄露的风险变得越来越重要。然而，要确保混合云环境的安全，需要精心规划、选择解决方案和实施。

下文将介绍混合云安全解决方案应包含的关键最佳实践。

在混合云中安全启用应用程序

• 安全管理员必须能够设置策略，允许某些类型的应用程序和功能，同时拒绝其他类型的应用程序和功能。
• 混合云环境的网络安全平台必须默认在所有端口上按应用对流量进行分类。
• 安全小组必须全面了解应用程序的使用情况。

识别用户并启用适当的访问权限

• 应通过互联网协议（IP）地址识别用户。
• 用户和群组信息必须直接集成到确保混合云环境安全的技术平台中。(这是因为当用户四处移动时，策略不会跟着他们移动）。

全面的威胁防护

• 在工作负载之间实施应用级控制可减少数据中心的威胁足迹。根据零信任原则划分流量也是如此。
• 网络安全解决方案应提供以下能力：
  • 直接分析未知可执行文件的恶意行为
  • 自动阻止已知威胁
  • 自动分析和应对未知威胁
  • 在网络攻击生命周期的各个阶段查找威胁

灵活、自适应的集成

• 数据中心的关键集成挑战之一是安全设计。我们需要一种能够实现灵活、自适应网络安全的新模式。网络灵活性有助于确保与几乎所有组织的环境兼容。.
• 实现集成取决于对各种网络功能和选项的支持，包括
  • 基于端口的虚拟局域网（VLAN）
  • 在开放系统互连（OSI）参考模型第 1 层（物理）、第 2 层（数据链路）或第 3 层（网络）进行集成的能力
• 此外，网络安全解决方案应能根据安全态势的变化开启其他安全功能。它还必须支持多种管理程序类型，并可能支持 SDN 驱动的配置。

移动用户和远程用户的安全访问

• 移动办公人员要求从网络以外的不同地理位置访问应用程序。因此，必须保护移动用户和远程用户。
• 这就要求始终如一的安全保障。因此，网络安全平台必须：
  • 实现要求的可见性、威胁预防和安全策略执行级别。
  • 保护跨越混合云环境的分布式物理和虚拟化工作负载。
  • 为移动/远程用户提供对数据中心和云的安全访问
  • 解决除企业发放的标准设备以外的端点设备的使用问题。

一个综合政策，一个管理平台

旨在通过一个 "无所不能 "的单一管理平台来简化安全性，包括

• 大规模启用防火墙。
• 保持一致的安全政策。
• 在数千台防火墙上部署紧急变更。

云就绪

要在混合云安全方面取得成功，解决方案必须实现以下云优先目标：

• 从网络到云，始终如一地扩展策略。
• 阻止恶意软件在云内访问和横向移动。
• 简化管理。
• 在虚拟工作负载发生变化时，最大限度地减少安全策略滞后。
• 以在物理网络上建立的相同安全态势保护驻留应用程序和数据。
• 支持多样化的云和虚拟化环境（包括主要的公共云提供商和虚拟私有云）。
• 与云原生服务和自动化工具集成。
• 根据混合环境的协调要素，自动配置网络安全功能。

自动化

安全小组的日常运作往往依赖于过多的人工流程。人工安全会减慢缓解速度，增加出错机会，而且难以大规模扩展。

通过使用精确分析来推动自动化，安全小组被赋予了以下能力：

• 采用零信任等最佳安全实践。
• 简化日常任务。
• 专注于业务重点（如应用交付、改进流程或威胁追踪）。

在混合云环境中，自动化有三个关键领域：

• 工作流程自动化
• 政策自动化
• 安全自动化

混合云安全常见问题解答