了解思科
购买渠道
了解思科
购买渠道

安全

多云环境安全

多云环境安全:架构和终极指南

了解面向 AWS、Azure、GCP 和 OCI 的多云网络安全架构。了解详细信息。

申请演示 查看产品导览

    什么是多云环境安全?

    多云环境安全是云安全解决方案,能够跨多个云平台提供全方位数据保护,为 AWS、Azure、Google 云平台 (GCP) 和 Oracle Cloud Infrastructure (OCI) 等私有云和公共云保驾护航。 组织可使用多云环境安全来保护所有云平台及其各种功能。

    解决方案

    Cisco Multicloud Defense

    在公共云或私有云中简化安全并实现多维保护,从而阻止入站攻击、横向移动和数据泄露。

    查看产品导览

    为什么多云环境安全如此重要? 

    在发展迅速的现代化组织中,敏捷性和灵活性对于企业取得成功至关重要,在这种趋势下,采用多云环境已成为必然。虽然多云环境可以为组织带来诸多好处,但同时也加剧了复杂性,导致安全漏洞层出不穷且组织效率低下,因此组织很难充分实现云经济的全部优势。

    要充分利用云经济的优势,组织需要制定多云环境安全策略。本文介绍了多云环境安全的架构、要求、挑战以及最佳实践,旨在帮助处于云之旅各个阶段的组织优化多云策略,顺利完成云之旅。

    多云环境无处不在,而安全保护却左支右绌

    近几年来,越来越多的企业开始采用多云环境。在思科委托编写的 2022 年混合云趋势报告中,82% 的 IT 主管称已采用混合云,58% 的组织使用两到三个基础设施即服务 (IaaS) 云1。Gartner 报告称,到 2023 年,所有企业工作负载中的 40% 部署在云基础设施和平台服务中,这一比率高于 2020 年的 20%2。毫无疑问,组织已认可多云环境带来的各项好处。大部分组织已大幅投资于多云环境来支持实施其数字化转型和其他措施,更有许多组织计划追加投资来进一步支持其数字化业务。 

    不过,许多组织仍然难以在多云环境中取得成功。例如,根据 HashiCorp3 在 2021 年对中型组织的调查,仅半数组织称多云环境帮助他们实现了业务目标。 

    在与客户的交流中,许多客户将成本管理、监管和可视性视为采用和部署多云环境所面临的常见障碍,但其中最重要的一项阻碍因素始终是安全性。在 2023 年 Valtix 调查中,51% 的 IT 主管同意或非常同意由于安全复杂性,其公司不希望扩展到更多的云环境。 

    这些挑战背后的一项原因是,组织希望将数据中心或本地安全框架轻松扩展到云端。不过,要解决与多云环境相关的安全复杂性,您需要调整策略,采用云优先的方法来适应动态环境。 

    本文推荐的安全模式可帮助您按照云和自身企业的发展速度,不断向前推进多云旅程。

    图 1. 用于满足不同云服务提供商的安全要求的工具

    多云环境安全的挑战

    多云环境给组织增加了更多层的风险。这些风险可源自大量挑战,包括:

    云威胁

    正如本地环境会面临威胁一样,多云环境同样面临威胁。鉴于影响组织云环境的威胁种类繁多,无怪乎 73% 的组织非常或极为担忧云安全。其中一些威胁包括:

    • 僵尸网络
    • 零日漏洞攻击
    • 加密货币挖矿活动
    • 恶意软件
    • 恶意内部人员
    • 勒索软件和威胁的横向移动

    数据丢失和泄露

    受关注度最高的是数据泄露和丢失的风险。根据 2023 年 IBM 数据泄露损失报告4,全球数据泄露造成的平均损失为 445 万美元。包括云环境在内的其他数据点表明,82% 的泄露事件涉及存储在云端的数据,39% 的泄露事件跨越多个环境。跨越多个环境的泄露事件也造成了 475 万美元的巨大损失,高于平均值,因此防数据丢失和防范横向移动在任何多云环境策略中都是重中之重。

    复杂性

    在了解云威胁态势的同时,组织还需要应对大量多云环境安全挑战,包括:

    • 责任共担模式带来的复杂性以及灰色地带和变化
    • 云独有的风险,如可视性与可控性降低
    • 云的固有开放模式,这需要额外注意
    • 各种云环境之间不一致的架构和基础设施
    • 人才短缺和合规性等其他问题

    其中许多方面需要精细的专业知识,不仅包括云网络和安全,还包括每个云提供商的产品和服务、架构、自动化以及安全工具,这些要求构成了各种挑战。 

    责任共担模式:复杂、模糊、僵化

    公共云的安全责任共担模式让安全团队需要随时保持警惕。提供商通常会提供指导,但实际上,您不能完全依赖他们,责任界限有时会很模糊。考虑到云提供商服务中最近发生的漏洞攻击,这一点尤其如此,最终用户需要在等待修复漏洞期间防范网络攻击。 

    在传统的服务外包模式中,您的提供商会与您的团队合作来明确确定界限。但在云端并非如此。 

    随着提供商不断推出各种更新和新服务,整个形势变得越来越具挑战性。他们推出大量服务、每年提供数百项新功能并不时进行更新。开发人员迫切需要使用这些服务,因为他们需要解决特定问题或添加新的功能。快速的变革可帮助简化开发人员的工作,但却让安全团队的工作更为困难。

    这导致安全团队需要跟上步伐,尝试确定每项变革的影响,周而复始,永不休止。您部署的每个云都存在这种挑战,问题如滚雪球般迅速加剧。 

    图 2. 责任共担模式

    其他挑战

    独特的云安全风险

    可视性与可控性降低是常见问题,在受访的网络安全专业人员中,53% 和 46% 的人分别将缺乏可视性与可控性视为其采用多云环境的首要障碍 3. 其他风险包括不安全的 API 以及缺乏跨多云环境的集中视图。 

    人才缺口

    网络安全行业数年来一直存在人才短缺问题,最新数据表明,在 2020 年,全球安全员工缺口为 310 万人 5. 提供商特定安全工作要求安全员工对每个云的配置拥有深入的专业知识,这进一步加剧了人才问题。

    策略实施

    对单个云和应用架构的可控性发生变化,导致无法在环境中统一实施策略,导致保护程度参差不齐,安全状态欠佳。

    在云中构筑分层防御

    虽然云架构和安全方法与本地部署不同,但多层安全原则仍然适用。没有一体通用的完全之策可以应对一切威胁媒介和各种攻击。在构筑多层安全时,应考虑以下功能:

    • 洞察所有云中的各项资产(应用、API、工作负载等)以及安全监控,并且能查看安全监控是否正常运行
    • 云网络安全功能,如防火墙、防数据丢失 (DLP)、网络分段和入侵检测/入侵防御系统(云 IDS/IPS)
    • 通过 Web 应用防火墙(云 WAF)和恶意 IP 阻止功能防范 Web 威胁
    • 在整个应用生命周期(开发、测试、生产)和各类应用(通用、敏感、合规)中使用情景感知安全功能
    • 将这些安全层从数据中心向外扩展或在架构的基础上附加安全层保护,这些做法不仅效率低下,还会带来新的问题,例如如何在多云环境中协调和自动执行工具操作。 

    相反,以云原生方式提供网络和安全的解决方案则优点很多,包括:

    • 提供敏捷性、可扩展性和弹性等优势
    • 与云应用无缝协作
    • 支持持续发现新的应用和基础设施以及基于应用情景的自动策略

    实施主动防御

    云漏洞是安全团队面临的最大挑战之一。因此,这些团队将大量时间用于修补漏洞。但仅管理漏洞无法避免零日威胁。当供应商知晓新威胁并创建修补程序时,可能为时已晚。 

    就像本地部署一样,多云环境需要融合主动防御和被动防御,两者缺一不可。通过主动防御,可以阻止攻击、防范未经授权访问资产,并抵御新出现的威胁。主动防御的目的是在多个位置打破攻击杀伤链,避免防御措施中的单点故障。例如,要阻止已侵入服务器的攻击者、恶意内部人员或勒索软件攻击,最终的有效手段是将所有出站流量限制在已知类别的站点、域和 URL 的范围内。 

    对多云环境安全解决方案的要求

    虽然不同类别的多云环境安全解决方案有着不同的功能,但都遵循一组共同标准,例如简化部署和管理。在评估供应商的多云环境安全解决方案时,请考虑以下要点:

    持续可视性

    要检测数据泄露等恶意活动,需要将云资产信息和威胁情报与对所有流量的全面可视性相结合,包括洞察传入和传出互联网的流量、东西向流量以及流向平台即服务 (PaaS) 的流量。 

    全面性

    具有一系列全面强大功能的解决方案可减少或消除对多个单点产品的需求,让您能够整合您的云安全保护。请考虑动态策略执行、网络分段、网络保护(云防火墙)和 Web 保护等关键功能。 

    主动防御功能

    如果您的安全部署只能被动应对威胁,而不能主动阻止,那么您的团队就会始终落后于攻击者至少一步。过去,主动防御需要基于代理的解决方案。现在,使用无代理方式,组织可以实现主动防御,减少部署和维护挑战。 

    云可扩展性

    业务要求和环境在不断变化,安全部署需要能够根据这些变化快速横向和纵向扩展。多云环境安全解决方案应能根据需求自动扩展安全部署、发现在生产环境中实施的新资产并应用基于情景的策略,这可省去大量繁复工作,让您的团队不必总是担心要在多个云、区域和账户中操作工具。多云环境安全解决方案应能根据需求自动扩展安全部署、发现在生产环境中实施的新资产并应用基于情景的策略,丝毫无需手动干预,让您的团队不必总是担心需要在多个云、区域和账户中手动操作工具。 

    部署起来轻松快速

    对于已然极为复杂的多云环境,云安全解决方案应能化繁为简,但许多供应商的产品难以部署在公共云基础设施中,实施起来费时费力。请考虑卓有成效、可快速实施并在环境中原生运行的一站式解决方案。使用此种解决方案,无需管理员手动调整环境,即可通过云中的 API“了解”环境。 

    单一策略框架

    利用涵盖不同云的集中式控制平面,可通过一个控制平台统一实施安全策略,从而简化多云管理并减轻复杂性。为此,安全解决方案应提供用于分离控制平面和数据平面的抽象层。 

    图 3. 确保多云网络安全的 Cisco Multicloud Defense 整体性方法

    使用 Cisco Multicloud Defense 实现统一简化的多云网络安全性

    使用 Cisco Multicloud Defense,在多云环境中部署和管理安全不再如此复杂。它采用“即服务”的形式,将 AWS、Azure、GCP 和 OCI 的安全控制统一到单一控制平面,让多云环境化繁为简。 

    Cisco Multicloud Defense 具有以下特点:

    • 通过高级安全控制功能(包括防火墙、WAF、DLP 和 IDS/IPS)提供分层主动防御
    • 部署仅需 5 分钟,无需构建额外基础设施
    • 可持续、动态、实时查看所有云应用和基础设施
    • 提供单一动态策略框架,可在多云环境中统一自动实施策略
    • 灵活开放的平台,将威胁情报源与第三方解决方案集成,例如安全信息和事件管理 (SIEM) 以及安全协调和自动化响应 (SOAR)。

    如今,IT 和 DevOps 团队能够快速行动以支持数字化转型以及其他措施,使企业保持竞争优势。Cisco Multicloud Defense 可帮助您的团队利用技能娴熟的现有团队成员充分实现云经济的各项优势,而在安全方面不打任何折扣。 

    图 3. 确保多云网络安全的 Cisco Multicloud Defense 整体性方法

    轻松掌控多云环境

    在发展迅速的现代化企业环境中,敏捷性对于企业成功至关重要,在这种趋势下,采用多云环境已成为必然。如果不了解多云环境的一系列挑战和要求,就难以解决您在云之旅中遇到的种种障碍和风险。要克服这些阻碍,您需要转变策略,采用云优先思维模式,实施能够在设计层面上尽量降低复杂性与风险的安全解决方案,让您的组织轻松掌控瞬息万变的多云环境。 

    有疑问?想要了解 Cisco Multicloud Defense 实际用例?请观看我们的产品导览、申请演示或亲身免费试用。 

    参考资料

    1. 2022 年全球混合云趋势报告。451 Research 和 Cisco Systems,2022
    2. 2022 年 Gartner 工作负载与网络安全 Hype Cycle™
    3. 2021 年 HashiCorp 云策略状况调查
    4. 2023 年 IBM 数据泄露损失报告
    5. 2020 年 ISC2 网络安全从业人员研究