Suchen
公有雲防火牆是在公有雲中部署的虛擬網路安全裝置。一般而言,公有雲防火牆都會提供與硬體防火牆相似的功能。不過,在混合雲部署中,就可擴充性、可用性和可擴展性而言,公有雲防火牆具有比內部部署裝置更明顯的優勢。通常也稱為「虛擬防火牆」的這些裝置在上述環境中使用時,稱為「公有雲防火牆」。
對公有雲防火牆的需求
雲端應用程式的安全性是客戶與雲端服務供應商 (CSP) 之間的共擔責任。CSP 保護執行服務的基礎結構 (硬體、軟體、網路和設施)。不過,使用這些服務的企業必須負責保護供應商基礎結構上的作業系統、平台、存取控制、數據、智慧財產、原始程式碼和面向客戶的內容 (見圖 1)。許多 CSP 提供防火牆做為選用服務,不過使用者仍然必須負責設定防火牆政策和監控威脅。
圖 1:雲端式環境的共擔責任安全模式
隨著公司將現有應用程式從數據中心轉移到雲端,這些公司經常持續使用內部部署防火牆保護雲端上的資產。這項設定的優點是熟悉度和經過驗證的效用,不過擴展規模相當困難,而且所費不貲,需要大量的硬體和軟體資本支出,以及安裝、維護和升級內部部署裝置的開銷。此外,許多公司不願意進行額外投資來確保防火牆高可用性所需的備援。另一方面,全球企業發現將內部安全性擴展到分散世界各地的應用程式相當不切實際。
公有雲防火牆的優勢
公有雲防火牆可以解決內部部署防火牆等等的侷限性。這些虛擬防火牆在 CSP 的基礎結構上運作,具有很高的可用性,因為這些防火牆利用 CSP 在備用電源和暖通與空調系統 (HVAC) 以及網路服務和自動備份系統方面的投資,藉以防止網站故障時發生的數據遺失。
隨著企業逐漸採用雲端,公有雲防火牆可以透過新增虛擬執行個體輕鬆擴展,完全不需要進行硬體安裝或維護。甚至可以使用公有雲防火牆快速有效地緩解頻寬耗用威脅,例如分佈式拒絕服務 (DDoS) 攻擊。
不同於內部部署防火牆,公有雲防火牆部署在受保護的資產附近。這項設定避免與從該區域到數據中心的回傳流量有關的頻寬耗用,而且可以減少或消除 CSP 對於跨越區域邊界的流量所收取的費用。由於大多數主要 CSP 之間的互連協議,即使是 CSP 的周邊也不會構成障礙。
公有雲防火牆如何運作
和內部部署防火牆一樣,公有雲防火牆可以識別和控制應用程式、透過基於使用者的政策授予存取權限,並防止已知和未知威脅進入網路周邊。公有雲防火牆可在整個多雲端環境中提供應用程式可視性,藉此協助企業對於安全性政策和程序做出更明智的決策。自動化和集中管理有助於開發人員將新世代安全性嵌入於應用程式開發生命週期中,藉此確保安全功能可以與雲端原生開發策略和 DevOps 原則 (例如持續整合和持續交付 (CI/CD)) 保持同步。
有鑑於進階威脅的複雜度愈來愈高,周邊入侵已成為無法避免的情況。現今的網路威脅通常會先入侵個別的工作站或使用者,然後在網路上橫向移動,在移動時獲得存取權限,使任務關鍵應用程式和數據陷入險境。頂級公有雲防火牆支援區隔和微區隔策略,將關鍵應用程式和數據隔離在安全區隔中,藉以阻止威脅的橫向移動並簡化合規性。
在設計和設定為與供應商的原生安全解決方案配合使用時,公有雲端防火牆的運作效果最好,完全沒有落差。對於企業來說,最佳實務是向網路安全廠商購買公有雲防火牆,這些廠商與企業想要使用的 CSP 共同開發解決方案。
使用案例
正如這次討論所示,公有雲防火牆功能極為多樣化。以下是一些典型的使用案例:
如需公有雲防火牆的詳細資訊,請造訪我們的網站。
世界各地的組織正在將其雲端和虛擬化計畫擴大到傳統數據中心和公有雲部署 之外。新的計畫包括將安全性作為 NFV 元件或更為完整的多租戶解決方案。
透過由 Palo Alto Networks® 提供支援的 Prisma Cloud,各組織可維持合規性、監管安全性並在公有雲運算環境中啟用安全作業。
Prisma™ Cloud (原為 RedLock) 是一種安全與合規性服務,能動態探索雲端資源的變化,並持續關聯原始且孤立的數據來源,包括使用者活動、資源設定、網路流量、 威脅情報和弱點回饋,藉以完整檢視公有雲的風險。透過 Prisma 創新且以機器學習驅 動的方式,各組織得以快速排定風險的優先處理順序,在維持敏捷開發的同時還能有效 履行共擔責任模式中的職責。
Prisma™ Cloud (原為 RedLock) 是一種安全與合規性服務,能探索雲端資源的變化,並持續關聯原始且孤立的數據來源,包括使用者活動、資源 設定、網路流量、威脅情報和弱點回饋,藉以完整檢視公有雲的風險。透過 Prisma 創新且以機器學習驅動的方式,各組織得以快速排定風險的優先處 理順序,在維持敏捷開發的同時還能有效履行共擔責任模式中的職責。
Amazon Web Services (AWS) 推動現今資料中心的演 化,讓您可以迅速以全球規模開發、部署與管理新的 應用程式。AWS 專用 VM-Series 讓您能夠以新世代防 火牆與威脅防護功能保護 AWS 內的應用程式與資料。
DevSecOps refers to the concept of making software security a core part of the overall software delivery process.