使用虚拟网络防火墙保护云服务器的可行性

Posted 2021-09-03 九河云安全

企业希望实现云计算的优势来提高响应能力和降低成本。许多企业使用两个或两个以上的云来满足业务需求，如灾难恢复、数据备份、应用程序弹性和全球覆盖。事实上，76% 的企业使用两个或两个以上的云提供商。根据Flexera 2020年云状况报告，"93%的企业拥有多云战略"，而"87%的企业拥有混合云战略"。因此，如果没有正确的云安全解决方案来保护任何云环境，这会带来复杂性。

混合云带来无数挑战

企业在迁移时以不同的方式消耗云，并且可以选择各种混合云基础设施和服务。但是，实现不同的服务和解决方案，如多云、混合环境、软件即服务（Saas）、即服务平台 （Paas），其各种应用和终端带来了实现、管理和安全挑战。这些不同的解决方案带来的最大挑战是缺乏保护应用程序和设备的安全和连接所需的可见性和控制，从用户到数据中心到云。网络工程和运营领导者知道，由于无法完全了解加密数据以及控制跨越应用程序、数据、用户和许多网络边缘的网络基础设施，整个企业可能会出现漏洞。修补在网络中孤岛中运行的断开点安全产品只会使情况变得更糟。普通企业使用75种不同的安全解决方案，其中许多解决方案仅针对单个攻击载体或特定的合规性要求。所有这些都导致不守规矩和无效的安全态势。

云计算提供商的持续崛起和 SaaS 的指数级增长，加上远程工作的增长，意味着数据创建的位置及其存储位置已经远离了企业数据中心。随着移动劳动力、多个公共和私人云层以及物联网 （IoT）设备的迅速普及，网络攻击表面急剧扩大，并制造了更多的盲点，掩盖了对威胁的可见性。

管理和保护所有这些不同的私人和公有云工作负载和环境不是一个简单的任务。很少有 IT 团队拥有管理多个公有云、专用云和本地环境混合部署的专业知识或带宽。许多企业使用其本地数据中心WAN边缘连接云层，例如使用 SD-WAN。对于这些云连接，企业需要解决方案，如Fortinet 安全 SD-WAN，以确保网络性能而不影响安全性。

使用平台方法保护混合云

尽管有许多好处，混合云环境增加了额外的管理复杂性层，特别是与应用程序在运动和数以百万计的终点。应用级别、整个网络和混合云环境中的安全性需要基于模块化平台方法来解决每个层。

成功的模块化安全基础设施的构建基块包括：

可见性：如果您看不到网络内部发生的情况，则无法检测、保护或解决问题。孤立的工具掩盖了这种可见性。相反，无论网络还是安全性，每个组件都必须作为单一的统一解决方案协同工作。

知识： 企业被数据淹没。利用这些数据并保证其安全的最佳方式是使用人工智能（AI）和自动化工具来收集、分析、关联和理解所有这些数据，以便对问题或攻击采取快速行动。
控制：控制要求能够随时随地采取行动，将威胁的影响降到最低。
但不要抛弃防火墙

网络防火墙是健全云策略的关键要素。它们支持安全驱动的网络，并提供广泛、集成和自动化的保护，抵御新兴和复杂的威胁，并最终为云、云和云层提供保护。

云服务器支持：企业防火墙平台必须支持网络功能虚拟化 （NFV），虚拟版本和设备版本之间具有完整的功能和管理均等性。

应用意识/控制：防火墙需要能够检查和阻止单个应用程序子组件/服务。

高级网络支持：集成了 WAN 加速性、SD-WAN互操作性 （API 级别）、IPv6 功能、基于应用的服务质量 （QoS） 和基于应用的性能路由。

外部威胁情报馈送：摄入第三方和第一方威胁情报源的能力可以大大提高阻止决策的功效。

安全WAN：防火墙需要能够在混合云和多云中实现安全、无缝和卓越的应用体验质量。理想情况下，这由网络安全平台提供支持，该平台可在部署的混合云和多云中提供一致的政策和编排。

在公有云 IaaS 实例中部署虚拟防火墙可能会导致一系列独特的挑战（扩展和高可用性），因为公有云中的路由和切换方式与传统 IP 网络存在重大差异。企业防火墙应支持以下挑战。