This post is also available in: English (英语) 繁體中文 (繁体中文) 日本語 (日语) 한국어 (韩语) Português (葡萄牙语(巴西))
最近我有幸与 Palo Alto Networks 全球公有云安全防护解决方案工程高级总监 Allan Kristensen 进行交谈,Allan Kristensen 拥有 15 年以上组建高效解决方案工程 (SE) 团队的经验。
在我与 Allan 的对话中,提到了 7 个必要的原则,能够指导您评估并选择适当的云安全防护产品,用于包含 AWS和Azure 在内的多云环境中。
原则一:多云支持 - 至少要支持 AWS 和 Azure
根据我们的经验,超过四分之三的客户拥有多云策略——可能最初没有,但一定会逐渐形成。考虑到这一点,选择一个能够在云中扩展,并真正集成了多云支持的解决方案尤为重要,这种解决方案包含集中的方法,能够无缝地统一现在和未来云环境的可视性。
原则二:完全基于 SaaS 且由 API 驱动 - 不含代理
完全基于 API 的 SaaS 解决方案是您高效管理具有动态、分散本质的云环境的唯一方法。我们的经验表明,客户尝试利用代理或基于代理的端点产品会引入严重的摩擦,最终产生安全防护盲点。
原则三:持续地检测资源
您无法保护看不到的事物。选择一种能够持续监控并动态检测云资源(包括虚拟机、数据库实例、存储桶、用户、访问密钥、安全组、网络、网关、快照等)的解决方案非常重要。
原则四:自动资源监控
同样重要的一点是,您的解决方案能够自动应用强大的安全策略并快速修复错误的配置,从而保证遵守企业定义的安全策略。这些功能必须覆盖云环境中所有重要的风险因素,其中包括:
- 配置检查
- 网络活动
配置检查能够帮助检测并警告配置不够严密的安全组,这些安全组可能会允许所有端口上来自所有 IP 地址的入站流量。
原则五:关联大量数据
对多个不同的数据集进行持续的情境化,对于深入了解安全状况非常关键。只有在您完全了解安全配置文件以及风险后,您才能快速地修复问题。
原则六:修复虽好,自动修复更佳。
要减少风险暴露的窗口,具有多种修复选项(引导式和自动化)尤为重要。例如,假设系统识别到与敏感工作负载有关,并且公开可访问的网络安全组,则自动限制其访问的能力十分重要。编写满足指定需求的自定义修复规则的能力同样关键。
原则七:集成
最后,利用开放的平台非常重要,您可以利用该平台向现有工具和工作流发送云警报,其中涉及 SIEM、SOAR、票证系统、协作工具等。