选择正确的云安全解决方案的七个指导性原则

最近我有幸与 Palo Alto Networks 全球公有云安全防护解决方案工程高级总监 Allan Kristensen 进行交谈，Allan Kristensen 拥有 15 年以上组建高效解决方案工程 (SE) 团队的经验。

在我与 Allan 的对话中，提到了 7 个必要的原则，能够指导您评估并选择适当的云安全防护产品，用于包含 AWS和Azure 在内的多云环境中。

原则一：多云支持 - 至少要支持 AWS 和 Azure

根据我们的经验，超过四分之三的客户拥有多云策略——可能最初没有，但一定会逐渐形成。考虑到这一点，选择一个能够在云中扩展，并真正集成了多云支持的解决方案尤为重要，这种解决方案包含集中的方法，能够无缝地统一现在和未来云环境的可视性。

原则二：完全基于 SaaS 且由 API 驱动 - 不含代理

完全基于 API 的 SaaS 解决方案是您高效管理具有动态、分散本质的云环境的唯一方法。我们的经验表明，客户尝试利用代理或基于代理的端点产品会引入严重的摩擦，最终产生安全防护盲点。

原则三：持续地检测资源

您无法保护看不到的事物。选择一种能够持续监控并动态检测云资源（包括虚拟机、数据库实例、存储桶、用户、访问密钥、安全组、网络、网关、快照等）的解决方案非常重要。

原则四：自动资源监控

同样重要的一点是，您的解决方案能够自动应用强大的安全策略并快速修复错误的配置，从而保证遵守企业定义的安全策略。这些功能必须覆盖云环境中所有重要的风险因素，其中包括：

配置检查能够帮助检测并警告配置不够严密的安全组，这些安全组可能会允许所有端口上来自所有 IP 地址的入站流量。

原则五：关联大量数据

对多个不同的数据集进行持续的情境化，对于深入了解安全状况非常关键。只有在您完全了解安全配置文件以及风险后，您才能快速地修复问题。

原则六：修复虽好，自动修复更佳。

要减少风险暴露的窗口，具有多种修复选项（引导式和自动化）尤为重要。例如，假设系统识别到与敏感工作负载有关，并且公开可访问的网络安全组，则自动限制其访问的能力十分重要。编写满足指定需求的自定义修复规则的能力同样关键。

原则七：集成

最后，利用开放的平台非常重要，您可以利用该平台向现有工具和工作流发送云警报，其中涉及 SIEM、SOAR、票证系统、协作工具等。

Related Blogs