公有雲防火牆是在公有雲中部署的虛擬網路安全裝置。一般而言，公有雲防火牆都會提供與硬體防火牆相似的功能。不過，在混合雲部署中，就可擴充性、可用性和可擴展性而言，公有雲防火牆具有比內部部署裝置更明顯的優勢。通常也稱為「虛擬防火牆」的這些裝置在上述環境中使用時，稱為「公有雲防火牆」。

對公有雲防火牆的需求

雲端應用程式的安全性是客戶與雲端服務供應商 (CSP) 之間的共擔責任。CSP 保護執行服務的基礎結構 (硬體、軟體、網路和設施)。不過，使用這些服務的企業必須負責保護供應商基礎結構上的作業系統、平台、存取控制、數據、智慧財產、原始程式碼和面向客戶的內容 (見圖 1)。許多 CSP 提供防火牆做為選用服務，不過使用者仍然必須負責設定防火牆政策和監控威脅。

圖 1：雲端式環境的共擔責任安全模式

隨著公司將現有應用程式從數據中心轉移到雲端，這些公司經常持續使用內部部署防火牆保護雲端上的資產。這項設定的優點是熟悉度和經過驗證的效用，不過擴展規模相當困難，而且所費不貲，需要大量的硬體和軟體資本支出，以及安裝、維護和升級內部部署裝置的開銷。此外，許多公司不願意進行額外投資來確保防火牆高可用性所需的備援。另一方面，全球企業發現將內部安全性擴展到分散世界各地的應用程式相當不切實際。

公有雲防火牆的優勢

公有雲防火牆可以解決內部部署防火牆等等的侷限性。這些虛擬防火牆在 CSP 的基礎結構上運作，具有很高的可用性，因為這些防火牆利用 CSP 在備用電源和暖通與空調系統 (HVAC) 以及網路服務和自動備份系統方面的投資，藉以防止網站故障時發生的數據遺失。 

隨著企業逐漸採用雲端，公有雲防火牆可以透過新增虛擬執行個體輕鬆擴展，完全不需要進行硬體安裝或維護。甚至可以使用公有雲防火牆快速有效地緩解頻寬耗用威脅，例如分佈式拒絕服務 (DDoS) 攻擊。

不同於內部部署防火牆，公有雲防火牆部署在受保護的資產附近。這項設定避免與從該區域到數據中心的回傳流量有關的頻寬耗用，而且可以減少或消除 CSP 對於跨越區域邊界的流量所收取的費用。由於大多數主要 CSP 之間的互連協議，即使是 CSP 的周邊也不會構成障礙。

公有雲防火牆如何運作

和內部部署防火牆一樣，公有雲防火牆可以識別和控制應用程式、透過基於使用者的政策授予存取權限，並防止已知和未知威脅進入網路周邊。公有雲防火牆可在整個多雲端環境中提供應用程式可視性，藉此協助企業對於安全性政策和程序做出更明智的決策。自動化和集中管理有助於開發人員將新世代安全性嵌入於應用程式開發生命週期中，藉此確保安全功能可以與雲端原生開發策略和 DevOps 原則 (例如持續整合和持續交付 (CI/CD)) 保持同步。 

有鑑於進階威脅的複雜度愈來愈高，周邊入侵已成為無法避免的情況。現今的網路威脅通常會先入侵個別的工作站或使用者，然後在網路上橫向移動，在移動時獲得存取權限，使任務關鍵應用程式和數據陷入險境。頂級公有雲防火牆支援區隔和微區隔策略，將關鍵應用程式和數據隔離在安全區隔中，藉以阻止威脅的橫向移動並簡化合規性。

在設計和設定為與供應商的原生安全解決方案配合使用時，公有雲端防火牆的運作效果最好，完全沒有落差。對於企業來說，最佳實務是向網路安全廠商購買公有雲防火牆，這些廠商與企業想要使用的 CSP 共同開發解決方案。

使用案例

正如這次討論所示，公有雲防火牆功能極為多樣化。以下是一些典型的使用案例： 

• 保護任務關鍵應用程式與數據：公有雲防火牆採用零信任原則做為控制存取的方式，將關鍵應用程式和數據隔離在安全區隔中。基於區域的政策架構可讓企業依據應用程式和使用者建立存取控制政策，藉此保護虛擬機器之間的東西向流量。
• 將安全性擴展到分公司：企業部署公有雲防火牆，將安全性擴展到分公司。如前文所述，虛擬性質的公有雲防火牆相當適合部署到世界各地，這一點對於全球企業而言特別有吸引力。
• 安全的軟體定義環境：公有雲防火牆可以保護軟體定義環境，包括軟體定義網路和廣域網路 (SDN 和 SD-WAN)。企業可以確保整個企業內一致的網路安全性、隔離銷售點和其他關鍵系統，並保護 SD-WAN 上的即時流量。
• 保護私有雲資產：公有雲防火牆也可以滿足私有雲的安全需求，私有雲是單一企業使用的隨需運算環境。在這些環境中，虛擬防火牆有助於在高度虛擬化的環境中達到最大的投資效益，並減少費時的手動佈建。

如需公有雲防火牆的詳細資訊，請造訪我們的網站。