1同行回答
网络安全措施是用来保护应用和数据的,所以无论IaaS、PaaS和SaaS,虽然有不同的安全需求,但在网络安全保障方面,应该是一致的。
云环境下的安全态势,简而言之就是“敌暗我明”,威胁无处不在,要求安全机制无处不在。因此“零信任原则”是指导云应用安全的最佳方法论。在“零信任”的方法体系中,网络层的保障主要依靠“微隔离”:既包括云内、云间各种应用载体(虚拟机或容器)之间的微隔离,也包括终端之间的微隔离。
云内微隔离主要是为了减轻安全威胁的横向扩散,就如同巨型轮船的底层都要建成“水密隔舱”,防止一个漏洞导致的整体倾覆。在云内部署分布式防火墙可以控制东西向流量,对每个云应用的逻辑载体(虚拟机或容器)提供防火墙服务,相当于建立了彼此间的隔离网格。在这种“微网格”之间的交叉的访问要被基于“显式许可原则”的安全策略进行严格控制;在同一“微网格”内部,也要确保虚机之间只进行必须的网络通信,从而最大限度地提高了应用载体之间网络互通的安全性。
终端要连接到应用,通过VPN或新型SD-WAN进行连接,在接入阶段开始就对终端进行身份验证,而且不同隧道之间的彼此隔离也防止了危险终端对其他终端的侵扰。彼此隔离的终端对云上应用的访问还需要经过身份验证和授权,以确保不存在任何越权导致的安全漏洞。隧道接入的认证也可以和应用层的认证流程进行一定程度的整合,减少认证层级并提升使用体验。应用层的认证和授权已经不是“网络安全”的范畴了。
收起浏览354