但是,东西向流量——即穿越内部网络和数据中心但不越过网络边界的流量——永远不会受到这些基于云的安全检查。
一种解决方法是维护传统的数据中心防火墙,专门监控东西方向的流量。首先,这种混合安全架构增加了管理不同安全解决方案的成本和复杂性,这是企业迫切希望通过基于云的融合安全堆栈来克服的问题。
其次,跨云和内部部署安全组件缺乏统一可见性可能会导致共享环境的丢失,从而不可避免地存在安全漏洞。即使是安全信息和事件管理(SIEM)或扩展检测和响应(XDR)解决方案也无法解决为不同类型的流量维护混合安全堆栈的复杂性和运营开销。因此,企业仍然需要单一的集成安全堆栈,通过统一的控制面板管理,为传入、传出和内部流量提供无处不在的保护。
将云原生安全扩展到东西方向的流量
企业需要一种既能提供南北保护又能提供东西保护的安全解决方案,但这一切都必须通过统一的基于云的控制台进行协调。有两种方法可以实现这一点:
1.通过广域网防火墙策略
SASE和SSE等云原生安全架构可以通过最近的入网点(POP)重新路由所有内部流量,从而提供通常由数据中心防火墙提供的东西保护。与具有自己的配置和管理约束的本地防火墙不同,在SSE POP中配置的防火墙策略可以通过平台的集中管理控制台进行管理。在统一控制台中,管理员可以根据ZTNA原则创建访问策略。例如,它们可以只允许连接到公司VLAN并运行授权的Active Directory注册设备的授权用户访问托管在本地数据中心内的敏感资源。
但是,在某些情况下,企业可能需要在本地实施东西流量保护,而不将流量重定向到POP。
2.通过局域网防火墙策略
假设连接到物联网VLAN的摄像机需要访问内部服务器。
鉴于物联网摄像头容易受到恶意威胁行为者的危害,并通过远程C2服务器通过互联网进行控制,因此默认情况下应禁用摄像头的互联网或广域网访问。如果在POP中实施数据中心防火墙策略,来自禁用互联网的物联网设备的流量自然将免除此类策略。为了弥补这一差距,SASE和SSE平台可以允许管理员在本地SD-广域网设备上配置防火墙策略。
通常,企业通过安装在站点上的SD-WAN设备(也称为插座)连接到SASE或SSE POP。集中式仪表板允许管理员配置规则,以允许或阻止直接在SD-广域网设备上的内部或局域网流量,而无需通过广域网将其发送到POP。
在此方案中,如果流量与预配置的局域网防火墙策略匹配,则可以在本地实施规则。例如,管理员可以允许公司的虚拟局域网用户访问连接到打印机虚拟局域网的打印机,而拒绝访客Wi-Fi用户访问。如果流量与预定义的策略不匹配,则可以将流量转发到POP进行进一步分类。
基于云的东西向保护是必由之路
随着安全功能越来越多地转移到云上,不要忽视现场所需的控制和安全措施,这一点至关重要。
云原生保护旨在增加覆盖范围,同时降低复杂性并促进融合。在SASE和SSE架构中启用东西流量保护同样重要,保持此类平台提供的统一可见性、控制和管理也同样重要。要实现这一点,企业必须避免被新出现的威胁和添加不同的安全解决方案所迷惑。
因此,在基于云的安全范例中添加的任何内部安全措施都应维护统一的控制面板,以实现跨局域网和广域网流量的精细策略配置和端到端可见性,这是企业能够可靠地弥合云和内部部署安全之间的差距并实现可持续、适应性和面向未来的安全堆栈的唯一方法。