扩展云原生安全至东西向流量
企业正寻求一种全面的安全解决方案,该方案不仅能够提供南北向(即入口和出口)的保护,还能确保东西向(即数据中心内部)的安全。这一需求必须通过一个统一的云基础控制台来实现协调。实现这一目标有两种主要方法:
1. 利用广域网防火墙策略
云原生安全架构,如安全访问服务边缘(SASE)和安全服务边缘(SSE),能够通过最近的接入点(POP)重新路由所有内部流量,从而实现传统数据中心防火墙所提供的东西向保护。与本地防火墙不同,后者需要独立的配置和管理,SSE POP中的防火墙策略可以通过平台的集中管理控制台进行统一管理。在这一控制台中,管理员可以基于零信任网络访问(ZTNA)原则创建访问策略。例如,他们可以设定规则,仅允许那些连接到公司虚拟局域网(VLAN)并运行授权的Active Directory注册设备的授权用户访问托管在本地数据中心的敏感资源。
然而,在某些情况下,企业可能需要在本地实施东西向流量保护,而不是将流量重定向到POP。
2. 通过局域网防火墙策略
假设连接到物联网VLAN的摄像头需要访问内部服务器。鉴于物联网摄像头容易受到恶意威胁行为者的攻击,并且可能通过远程命令与控制(C2)服务器通过互联网进行控制,因此默认情况下应禁用摄像头的互联网或广域网访问。如果在POP中实施数据中心防火墙策略,来自禁用互联网访问的物联网设备的流量自然将不会受到此类策略的影响。为了弥补这一安全缺口,SASE和SSE平台允许管理员在本地软件定义广域网(SD-WAN)设备上配置防火墙策略。
通常,企业通过安装在站点上的SD-WAN设备(也称为插件)连接到SASE或SSE POP。集中式仪表板允许管理员配置规则,以允许或阻止直接在SD-WAN设备上的内部或局域网流量,而无需通过广域网将其发送到POP。在此方案中,如果流量与预配置的局域网防火墙策略匹配,则可以在本地实施规则。例如,管理员可以允许公司的虚拟局域网用户访问连接到打印机虚拟局域网的打印机,同时拒绝访客Wi-Fi用户访问。如果流量与预定义的策略不匹配,则可以将流量转发到POP进行进一步的分类。
东西向基于云的保护是未来发展的必然趋势
随着越来越多的安全功能迁移到云上,确保现场所需的控制和安全措施变得至关重要。云原生保护旨在扩大覆盖范围,同时降低复杂性并促进融合。在SASE和SSE架构中启用东西向流量保护同样重要,保持此类平台提供的统一可见性、控制和管理也同样重要。为了实现这一点,企业必须避免被新出现的威胁和添加不同的安全解决方案所迷惑。
因此,在基于云的安全范例中添加的任何内部安全措施都应维护统一的控制面板,以实现跨局域网和广域网流量的精细策略配置和端到端可见性。这是企业能够可靠地弥合云和内部部署安全之间的差距,并实现可持续、适应性和面向未来的安全堆栈的唯一方法。
发表评论 取消回复