无限边界:现代整合安全如何保护云
尽管云计算和远程工作得到广泛采用,零信任网络也稳步推广,但边界远未消失。相反,它已被重新定义。就像数学分形的边界一样,现代网络边界现在无限延伸到任何地方。
不幸的是,传统工具在现代无限边界中效果不佳。现代边界需要现代安全工具,如云访问安全代理(CASB) 和分散式网络架构,如安全访问服务边缘(SASE)。
无论您在哪里可以访问数据,无论您在哪里发送数据,无论您在哪里托管数据或保存数据,您都必须确保有办法获取或保护该特定资产。
有效获取保护和管理无限边界所需的资源的一种方法是实施整合的安全平台。它将现代网络和安全技术整合成一个完整的套件,为您省去了协调来自多个供应商的不同工具的复杂而繁琐的任务。
通过实施整合的安全平台所节省的成本、时间和培训将使您的组织快速实现系统现代化。
边界如何走向全球
十几二十年前,边界就是公司网络的电线和 Wi-Fi 信号的尽头。当时有通过远程访问VPN或来自网络服务器的数据库调用建立的隧道,但至少在理论上,这些隧道是戒备森严的。
你所需要的只是边缘周边防火墙,这就是你的网络安全,因为一切都只是一个扁平的网络。
随后出现了云计算,随后又伴随新冠疫情的爆发而出现了远程办公的爆炸式增长。
如今,旧的方式已经不够用了。远程工作人员使用自己的个人电脑从世界任何地方连接到公司网络,带来了恶意软件入侵和数据盗窃的风险。
安全人员必须放弃对已转移到云端的资产的完全控制,转而信任云服务提供商,只要资产属于云服务提供商模糊定义的责任范围,云服务提供商就会承诺提供强有力的保护。
云中的一切都是共同的责任。我们必须了解安全是如何运作的,以及我们的责任是什么。
越来越复杂
同时,设置新云实例的速度和便利性导致了大量错误配置和安全性较差的数据存储。当任何 IT 人员都可以启动云实例时,现有的影子 IT 问题就会加剧。
真正让我晚上睡不着觉的是配置错误,我们还不够成熟,无法轻易发现哪些设置不正确。
与本地网络相比,云实例可能本质上更容易受到攻击,也更难防御。攻击者只需要窃取一组管理员凭据,而防御者在从防御 LAN 转向防御 CSP 基础设施上的云资产时就会失去主场优势。
网络本身不再是静态的,而是动态的。终端设备全天候登录和注销,并频繁更改位置。云实例时而出现时而消失,而其他实例则永远不会关闭,而是悄悄地保持在线状态,被人遗忘。数据分散在一系列服务器上,您的组织可能很少能控制这些服务器。
当然,云计算和远程工作的复杂性使得保护网络以及使用网络的设备和员工变得更加困难。
您正在解决的问题比几年前复杂 10 倍。
整合的安全平台如何保护无限边界
幸运的是,网络安全和网络架构已经满足了这些新需求,为组织提供了多种应对无限周界的方法。
大量“云原生”安全工具已经开发出来。云安全态势管理(CSPM) 检查和监控云实例和资产是否存在配置错误和违反政策的情况。
云工作负载保护平台(CWPP) 对恶意软件、漏洞和其他威胁执行相同的操作,而云访问安全代理(CASB) 则检查行为并控制云用户的访问。云原生应用程序保护平台(CNAPP) 将许多这些工具结合在一起。
这些工具不仅可以在云上运行,而且它们本身也存在于云中,与其保护的资产的灵活性和无限范围相匹配。
云环境更具动态性。你只需点击一个按钮,就会有 10 台新服务器,因此你的安全措施也需要非常动态并适应它。网络安全可以从云中读取信息,并自动动态地调整策略和访问以适应云中的变化。
让网络走进百姓
但是,虽然通过本地接入点将数据和网络流量路由到云和从云路由到公司办公室可能效果很好,但如果许多员工都在远程工作,那么这个过程就不那么顺利了。通过 VPN 将这些员工的数据发送到中央办公室,然后再将其发回云是没有意义的。这只会造成拥塞和延迟。
因此,安全访问服务边缘 (SASE) 模型通过软件定义的广域接入网络(SD-WAN) 和地理分布的接入点 (PoP)、提供用户访问、执行安全策略和安全地传递数据的边缘服务器,使网络更接近远程用户。
安全网关(SWG) 监控和过滤流量、检测恶意软件并阻止数据丢失;软件定义的防火墙即服务(FWaaS) 保护整个虚拟网络,就像硬件防火墙保护内部网络一样。
将 SASE 与云原生安全工具结合在一起的是零信任网络访问(ZTNA),它是更大的零信任模型的一个软件组件,它不授予基于位置或设备的用户隐式访问权限,但要求每个用户不断验证其身份。
现代统一平台需要围绕零信任概念构建,更少的权限、始终验证、持续验证以及意识和可见性——如果你没有这些特定的能力,你的平台将缺少一些真正重要的组件和能力。
零信任网络访问 ZTNA 使用身份定义的策略,让每个用户或设备仅访问特定资产、网络区域和应用程序,这与允许访问整个本地网络的 VPN 不同。
所有这些网络和安全工具都可以单独购买,大多数组织使用来自不同供应商的产品拼凑 SASE 和云原生保护。但是,虽然您可以获得现成的 ZTNA 工具,但很难找到提供完整现成零信任实施的供应商。
然而,让所有这些不同的工具协同工作可能会花费高昂、耗时,而且对于必须接受十几种不同界面和工具培训的安全人员来说,是一项十分繁重的工作。
为了节省精力、时间和金钱,许多组织正在转向提供部分或大部分云原生和 SASE 组件的整合安全平台。
这些平台还可能提供基本的网络安全功能,如端点保护、身份和访问管理(IAM) 和网络监控,以及更复杂的工具,如扩展检测和响应(XDR) 和安全编排和响应(SOAR) 系统。许多平台都包括AI 驱动的功能,以协助配置、检测和分析。
虽然没有一个整合的安全平台能够提供组织管理和保护现代全球分布式网络所需的一切,但供应商的减少应该会降低成本、减少培训时间并减少配置和修补的麻烦。
如果只来自一个供应商,那么你实际上就提高了效率,因为你的安全团队需要的技能更少,就能管理所有这些不同的工具。
通过工具之间更有效的数据共享,整合的安全平台还应提供更紧密的安全集成以及更强的系统可视性(无论是在云端还是在本地),让您能够看到无限周界的边缘。