在過去的幾年里,IT現(xiàn)代化已經(jīng)成為美國聯(lián)邦政府機(jī)構(gòu)的一個關(guān)注焦點(diǎn),其中許多政府機(jī)構(gòu)仍然依賴于傳統(tǒng)基礎(chǔ)設(shè)施。事實(shí)上,80%的IT預(yù)算用于這些老舊系統(tǒng)的運(yùn)營和維護(hù)。為了提高生產(chǎn)力并最大程度地降低傳統(tǒng)IT系統(tǒng)帶來的風(fēng)險(xiǎn),美國聯(lián)邦機(jī)構(gòu)已開始部署軟件即服務(wù)應(yīng)用程序和物聯(lián)網(wǎng)設(shè)備,以將關(guān)鍵工作負(fù)載移至云平臺中。
但是,這種遷移說起來容易做起來難,尤其是在安全性方面。
網(wǎng)絡(luò)和IT現(xiàn)代化通常會導(dǎo)致廣泛而復(fù)雜的環(huán)境。政府機(jī)構(gòu)已開始使用由各種云計(jì)算提供商支持的應(yīng)用程序,以允許從其總部和分支機(jī)構(gòu)位置訪問分布式數(shù)據(jù)和工作負(fù)載。同時(shí),政府機(jī)構(gòu)IT團(tuán)隊(duì)正在將其現(xiàn)有的物理數(shù)據(jù)中心重新連接到這些云計(jì)算提供商。其結(jié)果是構(gòu)成了一個復(fù)雜的、混合的、地理上分散的網(wǎng)絡(luò)環(huán)境,幾乎不可能實(shí)現(xiàn)安全性和端到端可見性。
保護(hù)政府網(wǎng)絡(luò)中的云計(jì)算部署
深入的安全對于美國聯(lián)邦機(jī)構(gòu)的網(wǎng)絡(luò)至關(guān)重要,特別是那些存放關(guān)于美國公民、情報(bào)和國家安全事項(xiàng)的高度敏感信息的網(wǎng)絡(luò)。這一問題變得更加重要,因?yàn)槊绹畽C(jī)構(gòu)網(wǎng)絡(luò)已成為黑客和激進(jìn)國家經(jīng)常攻擊的目標(biāo),這些組織企圖破壞國家層面的業(yè)務(wù)、關(guān)鍵基礎(chǔ)設(shè)施和經(jīng)濟(jì)或獲取其國家機(jī)密。
沒有適當(dāng)?shù)陌踩WC,美國聯(lián)邦政府機(jī)構(gòu)將無法完全采用云計(jì)算,無法實(shí)現(xiàn)現(xiàn)代網(wǎng)絡(luò)所需的速度和適應(yīng)性。
因此,為了在政府環(huán)境中實(shí)現(xiàn)云計(jì)算的采用和現(xiàn)代化,IT團(tuán)隊(duì)必須將安全性置于現(xiàn)代化的基礎(chǔ)上,而不是事后添加的內(nèi)容。這就需要一種由安全驅(qū)動的網(wǎng)絡(luò)策略,該策略從針對云采用的每個階段的安全優(yōu)先第一的方法開始。然后,它涉及緊密集成網(wǎng)絡(luò)和安全功能,允許安全性隨著網(wǎng)絡(luò)規(guī)模的變化而動態(tài)調(diào)整,而不是對變化做出反應(yīng),并創(chuàng)建可以利用的暫時(shí)性間隙。
通過安全性驅(qū)動的網(wǎng)絡(luò)使美國聯(lián)邦政府機(jī)構(gòu)IT現(xiàn)代化
在以往,網(wǎng)絡(luò)開發(fā)首先是構(gòu)建基礎(chǔ)設(shè)施,然后部署點(diǎn)安全解決方案,如防火墻或電子郵件網(wǎng)關(guān),以保護(hù)網(wǎng)絡(luò)的特定部分。通過安全驅(qū)動的網(wǎng)絡(luò),安全基礎(chǔ)設(shè)施與網(wǎng)絡(luò)基礎(chǔ)設(shè)施一起開發(fā),安全性有助于確定網(wǎng)絡(luò)設(shè)計(jì)和功能。這樣,對網(wǎng)絡(luò)、工作流和其他資源的更改會自動導(dǎo)致對安全工具和協(xié)議的更新。
使用安全性驅(qū)動的網(wǎng)絡(luò)來加速跨美國聯(lián)邦機(jī)構(gòu)網(wǎng)絡(luò)的云部署將要求利益相關(guān)者:
·將安全性視為網(wǎng)絡(luò)更新的必要條件。
·確定特定的數(shù)據(jù)流和涉及的資源,并記錄環(huán)境之間移動的所有內(nèi)容。
·確定工作負(fù)載的基準(zhǔn)性能要求。
·設(shè)置云計(jì)算和本地環(huán)境的安全要求以及數(shù)據(jù)和設(shè)備類型的要求。
·考慮在這些分布式環(huán)境中協(xié)調(diào)安全性時(shí)可能出現(xiàn)的任何問題。
安全驅(qū)動網(wǎng)絡(luò)的工具
安全性驅(qū)動的網(wǎng)絡(luò)需要多種類型的安全性,這些安全性可以跨越公共云或私有云中不同的形式規(guī)模和網(wǎng)絡(luò)環(huán)境,其中包括虛擬機(jī)、軟件和代理、云容器、應(yīng)用程序編程接口,以將安全性擴(kuò)展到應(yīng)用程序中。即使網(wǎng)絡(luò)中的邊緣設(shè)施數(shù)量不斷增長,這種方法也可以確保邊緣策略的安全性,此外,必須集成這些功能和解決方案,以便美國聯(lián)邦機(jī)構(gòu)IT團(tuán)隊(duì)甚至可以在混合網(wǎng)絡(luò)中跨設(shè)備協(xié)調(diào)策略。
然而,大多數(shù)數(shù)據(jù)中心防火墻的設(shè)計(jì)并不能滿足連接分布式數(shù)據(jù)中心(尤其是跨不同云平臺部署的數(shù)據(jù)中心)所需的性能、容量和轉(zhuǎn)換要求。支持現(xiàn)代化工作的有效安全解決方案必須能夠在所有云計(jì)算網(wǎng)絡(luò)、分支辦公室、連接設(shè)備和傳統(tǒng)數(shù)據(jù)中心中以本機(jī)方式和一致方式運(yùn)行。
為了滿足美國聯(lián)邦機(jī)構(gòu)和類似行業(yè)轉(zhuǎn)型的需求,下一代防火墻(NGFW)旨在支持安全性驅(qū)動的網(wǎng)絡(luò),以加速云采用的方式,同時(shí)最大程度地減少將數(shù)據(jù)中心連接到云端時(shí)遇到的障礙。
·美國聯(lián)邦機(jī)構(gòu)要求始終保持高速性能。即使數(shù)據(jù)在各種云平臺之間移動也是如此。傳統(tǒng)的安全解決方案通常會降低運(yùn)營速度,這是不可行的。利用定制安全處理單元(SPU)的新型下一代防火墻(NGFW)可以確保跨環(huán)境傳輸?shù)臄?shù)據(jù)保持安全,同時(shí)以滿足運(yùn)營和安全要求的數(shù)字速度提供加密VPN、訪問控制、漏洞預(yù)防解決方案等。
·檢查加密流量對性能有很大影響,因?yàn)樵S多防火墻都面臨著快速解密、檢查和重新加密通信量以應(yīng)對當(dāng)前性能需求的挑戰(zhàn)。但是,不檢查加密的流量可能會導(dǎo)致惡意內(nèi)容未被檢測到而通過防火墻。這些集成的SPU(專門設(shè)計(jì)用來卸載安全功能的專用ASIC芯片)也可以在不妨礙安全性能或減緩請求實(shí)現(xiàn)的情況下檢查加密流量。這些都不容妥協(xié)。
·代理商還可以使用這些下一代防火墻(NGFW)通過基于意圖的細(xì)分,安全地加速其向云平臺的遷移。這使IT團(tuán)隊(duì)可以智能地分割資產(chǎn)和網(wǎng)絡(luò),而不管它們是在本地還是在云中運(yùn)行,從而保護(hù)每個單獨(dú)的網(wǎng)絡(luò)生態(tài)系統(tǒng),同時(shí)還減少了潛在的攻擊面。
·由于在美國聯(lián)邦機(jī)構(gòu)網(wǎng)絡(luò)上部署了大量的設(shè)備和應(yīng)用程序,因此必須及時(shí)管理任何補(bǔ)丁程序和更新。否則,網(wǎng)絡(luò)攻擊者可以利用這些漏洞作為侵入網(wǎng)絡(luò)的入口。
總結(jié)
當(dāng)美國聯(lián)邦機(jī)構(gòu)試圖通過使用混合云和多云環(huán)境使其數(shù)字基礎(chǔ)設(shè)施實(shí)現(xiàn)現(xiàn)代化時(shí),必須確保這種新的基礎(chǔ)設(shè)施不會造成安全協(xié)議方面的漏洞,而這些漏洞可能會使他們?nèi)菀资艿焦?。通過使用先進(jìn)的下一代防火墻,利用安全性驅(qū)動的網(wǎng)絡(luò)方法,IT團(tuán)隊(duì)可以在其整個分布式網(wǎng)絡(luò)中建立單一的、緊密的安全策略。這反過來又加速了數(shù)據(jù)在云平臺的移動,從而將傳統(tǒng)IT帶來的風(fēng)險(xiǎn)和成本降到最低,并確??绶植际江h(huán)境一致地更新安全策略。