但是,东西向流量——即穿越内部网络和数据中心但不越过网络边界的流量——永远不会受到这些基于云的安全检查。
创新互联公司长期为千余家客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为繁峙企业提供专业的成都网站建设、网站制作,繁峙网站改版等技术服务。拥有十年丰富建站经验和众多成功案例,为您定制开发。
一种解决方法是维护传统的数据中心防火墙,专门监控东西方向的流量。首先,这种混合安全架构增加了管理不同安全解决方案的成本和复杂性,这是企业迫切希望通过基于云的融合安全堆栈来克服的问题。
其次,跨云和内部部署安全组件缺乏统一可见性可能会导致共享环境的丢失,从而不可避免地存在安全漏洞。即使是安全信息和事件管理(SIEM)或扩展检测和响应(XDR)解决方案也无法解决为不同类型的流量维护混合安全堆栈的复杂性和运营开销。因此,企业仍然需要单一的集成安全堆栈,通过统一的控制面板管理,为传入、传出和内部流量提供无处不在的保护。
企业需要一种既能提供南北保护又能提供东西保护的安全解决方案,但这一切都必须通过统一的基于云的控制台进行协调。有两种方法可以实现这一点:
SASE和SSE等云原生安全架构可以通过最近的入网点(POP)重新路由所有内部流量,从而提供通常由数据中心防火墙提供的东西保护。与具有自己的配置和管理约束的本地防火墙不同,在SSE POP中配置的防火墙策略可以通过平台的集中管理控制台进行管理。在统一控制台中,管理员可以根据ZTNA原则创建访问策略。例如,它们可以只允许连接到公司VLAN并运行授权的Active Directory注册设备的授权用户访问托管在本地数据中心内的敏感资源。
但是,在某些情况下,企业可能需要在本地实施东西流量保护,而不将流量重定向到POP。
假设连接到物联网VLAN的摄像机需要访问内部服务器。
鉴于物联网摄像头容易受到恶意威胁行为者的危害,并通过远程C2服务器通过互联网进行控制,因此默认情况下应禁用摄像头的互联网或广域网访问。如果在POP中实施数据中心防火墙策略,来自禁用互联网的物联网设备的流量自然将免除此类策略。为了弥补这一差距,SASE和SSE平台可以允许管理员在本地SD-广域网设备上配置防火墙策略。
通常,企业通过安装在站点上的SD-WAN设备(也称为插座)连接到SASE或SSE POP。集中式仪表板允许管理员配置规则,以允许或阻止直接在SD-广域网设备上的内部或局域网流量,而无需通过广域网将其发送到POP。
在此方案中,如果流量与预配置的局域网防火墙策略匹配,则可以在本地实施规则。例如,管理员可以允许公司的虚拟局域网用户访问连接到打印机虚拟局域网的打印机,而拒绝访客Wi-Fi用户访问。如果流量与预定义的策略不匹配,则可以将流量转发到POP进行进一步分类。
随着安全功能越来越多地转移到云上,不要忽视现场所需的控制和安全措施,这一点至关重要。
云原生保护旨在增加覆盖范围,同时降低复杂性并促进融合。在SASE和SSE架构中启用东西流量保护同样重要,保持此类平台提供的统一可见性、控制和管理也同样重要。要实现这一点,企业必须避免被新出现的威胁和添加不同的安全解决方案所迷惑。
因此,在基于云的安全范例中添加的任何内部安全措施都应维护统一的控制面板,以实现跨局域网和广域网流量的精细策略配置和端到端可见性,这是企业能够可靠地弥合云和内部部署安全之间的差距并实现可持续、适应性和面向未来的安全堆栈的唯一方法。
名称栏目:如何弥合云与内部部署之间的安全差距
分享URL:http://www.gawzjz.com/qtweb2/news34/5884.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联