云应用程序分段可以隔离云原生和基于云的应用程序等资产及其工作负载,并通过仅允许授权实体进行通信和访问的精细安全策略来保护这些资产,从而提高这些资产的安全性。
分段是一种成熟的网络安全技术,它可以将网络或 IT 基础架构划分为更小的分段,通过更精细的安全策略来保护它们。当网络攻击成功入侵 IT 环境时,分段可防止攻击者或恶意软件通过横向移动来入侵环境中的其他部分。
随着企业对云基础架构和基于 SaaS 的云应用程序的依赖日益加深,IT 团队会越来越多地通过分段来保护这些资产。通过将云环境划分为单独的隔离分段或区域,团队可以有效地增强安全性、控制流量并减小攻击面。
云应用程序的分段通常使用云提供的虚拟局域网 (VLAN) 和子网来实现,但也可以通过微分段来实现,这是一种基于软件的技术,能够更精细地应用安全策略。优秀的微分段解决方案与基础架构无关,这意味着它们能够将安全控制措施与底层基础架构分开,从而将监测能力和防护能力扩展到云端。
传统应用程序分段与云应用程序分段的区别
传统应用程序分段发生在传输层,即 OSI 模型的第 4 层。通过围绕应用程序建立安全边界,IT 团队可以控制有权访问该应用程序的人员或对象。但是,传统应用程序分段有其局限性。由于它主要依赖于第 4 层控制措施,因此在动态环境和应用程序部署流程(如容器化)中,管理起来会更加困难。此外,防火墙等安全工具的设计初衷并非为了应对动态环境中的快速开发节奏和持续变化。
微分段已成为比传统应用程序分段更有效的替代方案,尤其是因为它能够在混合云和多云环境中对应用程序进行更精细的分段。微分段解决方案通常能详细地直观呈现本地和云环境中的通信以及一组更精细的策略控制措施,以大幅减小攻击面。卓越的微分段解决方案采用以应用程序为中心的方法,该方法可扩展到应用层(OSI 模型的第 7 层)。这可以在单个进程级别上提供监测和控制能力,从而进一步减少攻击面并降低遭受入侵的可能性。
对云应用程序分段的需求
对云应用程序进行分段是云计算环境的一项关键安全策略。随着云应用程序对生产力和客户体验的重要性日益增加,它们也成为对网络犯罪分子更具吸引力的目标。然而,尽管对云安全的威胁日益加剧,许多安全负责人仍表示他们缺乏对企业的云服务和应用程序的监测能力,这增加了出现未经授权的活动和连接的可能性。
对云应用程序进行分段应首先获得对云环境的广泛监测能力,然后再隔离应用程序以防止未经授权的访问。作为云网络安全综合方法的一部分,对云端的应用程序进行分段可防范攻击并降低得逞的数据泄露所造成的损害,从而提升企业的整体安全态势。
云应用程序分段是如何工作的?
对云应用程序进行分段通常涉及以下步骤。
- 发现应用程序:IT 团队可以使用各种基于代理和基于网络的技术来收集有关本地和云环境中的应用程序活动的详细信息。通过对所收集的数据进行组织、标记和可视化,IT 团队随后可以识别要保护的应用程序,并制定仅允许授权用户、应用程序和系统进行通信和访问的安全策略。
- 对网络进行分段:IT 团队使用 VLAN、子网、安全组或其他技术为单个应用程序和工作负载创建网络分段。
- 创建策略:通过使用微分段技术和软件定义的网络 (SDN) 解决方案,团队可以制定安全策略,对单个虚拟机 (VM) 和应用程序的流量及工作负载实现精细控制。
- 实施策略:可以对防火墙和访问控制列表 (ACL) 进行配置,以实施安全策略并控制区段之间的流量。也可以通过专有的微分段解决方案来实施策略。这些安全策略可以根据 IP 地址、端口、协议和其他标准来允许或拒绝流量。
- 自动完成编排:基础架构即代码 (IaC) 工具和自动化框架以及人工智能 (AI) 可以帮助团队持续地调配、配置和实施分段策略。
- 采用 Zero Trust 安全:Zero Trust 安全模式要求,无论用户、设备或应用程序来自何处,每次他们请求对网络中的应用程序和 IT 资源进行访问时,都必须进行身份验证和其他验证。分段解决方案通过提供对网络访问的监测和控制能力来支持 Zero Trust 安全,并且可防止依赖于横向移动的攻击。
- 监控流量和策略:支持云应用程序分段的安全解决方案包括用于跟踪网络流量、识别潜在安全事件以及确保遵守分段策略的监控工具。
分段为云应用程序带来的好处
借助云应用程序分段技术,企业和 IT 团队可以:
- 提升应用程序安全态势:分段使企业能够围绕各个应用程序和工作负载创建安全边界。因此,对云应用程序进行分段可以有效减小攻击面,同时阻止已侵入网络中的某个部分并试图入侵其他资产的攻击者进行横向移动。出色的分段解决方案可以实现更快的事件响应,因为安全团队可以更早地收到关于安全威胁试图进行横向移动的告警。
- 确保法规合规性:云应用程序分段可以隔离敏感数据并实施严格的安全控制措施,从而帮助企业满足监管要求和特定于行业的标准,如 PCI DSS。借助微分段,安全策略的实施可以精细到围绕敏感或受监管数据创建安全边界的程度,这些策略在数据跨越多个环境和平台时依然有效。对于法规合规性,尤其是监管审计流程而言,出色的解决方案所提供的额外监测能力极其重要。
- 提高应用程序和网络性能:通过减少网络拥塞并优化网络分段内的流量,分段可帮助提高网络和应用程序的性能。
- 简化安全管理:适用于云应用程序的优秀分段解决方案能够为 IT 团队提供所需的监测能力和 AI 赋能的功能,帮助他们更轻松地创建、实施和管理安全策略。
- 增强可扩展性:通过根据业务需求和安全要求对应用程序及工作负载进行分段,并利用可自动将现有安全策略扩展到新的云实例的解决方案,企业可以在不牺牲安全性的情况下更高效地扩展其云基础架构。
常见问题
对云应用程序进行分段时,安全团队经常面临各种挑战,这些挑战与混合云环境的复杂性、安全控制措施的错误配置、管理实施和维持分段所需的资源以及减轻传统分段方法对应用程序和网络性能的负面影响相关。
客户为什么选择 Akamai
Akamai 是一家致力于支持并保护在线商业活动的网络安全和云计算公司。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在海外分布广泛的平台上提供高性能且经济实惠的服务。众多全球企业信赖 Akamai,凭借我们卓越的可靠性、扩展性和专业技术,企业能够从容拓展业务。
