基于身份的微分段

隔离云原生应用,并阻止威胁在公有云和私有云上横向移动。
基于身份的微分段前端
基于身份的微分段后端

您的云网络可以为云原生应用的互相通信提供可靠的路径。但是,如果云网络上存在太多开放路径,则会增加风险并导致威胁横向移动。

阅读报告:Unit 42® 云威胁报告

简化微分段并降低云原生应用的风险

作为一款云网络安全解决方案,基于身份的微分段可以帮助您了解应用的通信方式,对主机和容器实施基于身份的防御,以及阻止威胁的横向移动。安全团队无需更换网络即可降低风险。DevOps 和云基础架构团队可以充分利用云,无需担心安全功能会降低快速发布周期的速度。
  • 保护主机和容器
  • 消除网络复杂性
  • 基于工作负载身份构建的安全性
  • 工作负载身份
    工作负载身份
  • 可视性和发现
    可视性和发现
  • 策略管理
    策略管理

PRISMA CLOUD 解决方案

我们基于身份的微分段方法

工作负载身份

云原生应用需要不依赖网络地址来保护工作负载通信的全新安全设计。Prisma Cloud 可以从网络分离微分段,也可以将安全结合到工作负载身份,以实现优化保护。Prisma Cloud 微分段解决方案中的一切都围绕身份展开。

  • 定义工作负载身份

    工作负载身份是通过基于身份的微分段实现零信任的关键元素。Prisma Cloud 为每个受保护的主机和容器分配一个加密签署的工作负载身份。

  • 工作负载身份包括标签

    每个身份由情境属性构成,包括 Amazon Web Services (AWS®)、Microsoft Azure®、Google Cloud、Kubernetes® 等平台的云原生来源中的元数据。

  • 身份可以确保网络可视性的准确性

    受保护的工作负载可以根据每个通信请求收发身份。身份融入到网络流可视性中,因此,您无需依靠没有情境的 IP 地址。

  • 身份可以加强工作负载防御

    Prisma Cloud 可以验证通信工作负载的身份而非 IP 地址。如果工作负载既没有经过验证,也没有经过授权,网络访问请求将被拒绝。

工作负载身份截图

可视性和发现

保护云原生应用需要全面了解所有主机和容器。Prisma Cloud 可以提供任意云的网络流的实时和历史视图。

  • 发现资产和工作负载身份

    查看分配到每个工作负载的身份标签,包括从 AWS、Azure、Google Cloud、Kubernetes 等云原生服务自动生成的属性。

  • 了解应用的通信方式

    使用应用依赖关系图了解工作负载如何在云内部和云之间相互通信以及与外部服务通信。使用简单的可视性助手查看每个应用流的策略决策。

  • 维护合规性的流量记录

    浏览历史流量记录并生成细致查询,以过滤所需数据。生成报告以帮助证明合规性。

  • 将流量数据导出到您自己的系统

    将流量日志传输到常见的外部 SIEM 工具。

可视性和发现截图

策略管理

保护云原生应用需要专用的策略模型,来提供简易型和灵活性。Prisma Cloud 可以提供所有工作负载的网络流的实时和历史视图。

  • 使用易于理解的策略语言

    利用使用情境化、应用驱动标签的 Prisma Cloud 微分段策略(例如,service=frontend can talk to service=backend),而不是以网络为中心的语言(例如,Allow 192.168.10.20 to 10.0.0.31)。

  • 选择中心化或去中心化管理

    让您的安全团队集中管理环境中所有工作负载的策略,或者让 DevOps 和应用开发人员继承责任并管理他们自己的应用的策略。

  • 自动执行策略建议,实现轻松管理

    通过 Prisma Cloud,将学习到的应用行为与身份属性结合起来,使用最少的用户输入自动推荐微分段策略。

  • 将微分段策略编程为代码

    通过自动化安全跟上开发人员的流程。借助 Prisma Cloud,开发人员团队无需任何网络语言知识,即可编写微分段策略。

策略管理

Prisma Cloud
Prisma Cloud
Prisma Cloud 在整个开发生命周期以及跨多云和混合云环境,为应用、数据和整个云原生技术堆栈提供了业界最广泛的安全性和合规性覆盖。

云网络安全模块

VM-Series

保护进出云的流量免遭威胁和数据窃取。

CN-Series

使用容器化的新一代防火墙保护 Kubernetes 流量。