面向工作負載的零信任安全方法,保護現代多雲數據中心

八月 26, 2020 by
Filed under: killtest 

面向工作負載的零信任安全方法,保護現代多雲數據中心

原創 思科聯天下 思科聯天下 7月24日
來自專輯
“零信任”安全
應用正在引領數據中心基礎設施不斷發展。當今的應用採用了虛擬化、容器化、微服務和工作負載移動性等多種技術,動態性極強,而且應用組件之間的通訊模式也在不斷變化。

現在,76% 的數據中心流量為東 – 西向流量,與過去的流量模式截然不同。網絡和安全運營團隊難以實施安全的控制,對於多雲數據中心,這一挑戰甚至更加嚴重。

為了有效應對這一挑戰,網絡和安全運營團隊需要更加深入地了解應用和整體工作負載保護策略,採用零信任安全方法保護數據中心的安全。

面向工作負載的零信任安全方法,可為企業化解以下幾大風險:
如果惡意攻擊者利用了應用程序的漏洞,就能通過橫向移動來攻擊各種關鍵系統。
惡意攻擊者竊取並外洩敏感數據。
內部應用和外部雲應用間迥然不同的防護方式成為網絡安全人員的盲點。
54% 的 Web 應用程序漏洞容易被惡意攻擊者利用,這意味著如果服務器應用程序未經過修復,就會暴露在已知漏洞中,惡意攻擊者正是利用這些漏洞入侵你的系統。

企業的系統在功能上不斷豐富,並根據具體的業務需求增加連接和依賴項。為了促進企業系統這種良性的增長,系統設計人員和開發人員有時會傾向於採用寬鬆、靈活的安全配置。由此產生的過度信任會被惡意攻擊者利用,然後再通過橫向移動順利訪問企業的敏感資源。解決這個問題的最佳答案是實現微分段。

實現這種微分段需要三種技術:
深入、廣泛的網絡洞察。以分佈式網絡傳感器代替傳統的中央監控系統(SPAN / TAP 或 NetFlow),從而使大規模深入可見性成為可能。
精確、實時的應用程序建模。大數據分析技術大大減少了人工記錄應用程序的工作量,從而幫助用戶及時了解流量模式及依賴關係。
應用控制策略到跨不同環境中多台設備的能力。一個統一的高級策略引擎,同時管理在多個多雲環境中的訪問控制設備,由此簡化了應用程序的可見和分析步驟。

可見性、分析、策略,三者結合,由此降低了應用程序生態系統中存在的過度信任。

思科 Tetration 可以幫助企業實現工作負載零信任安全,該平台使用無監督的機器學習、行為分析和算法方法來監控惡意活動的跡象。一旦發現惡意行為,網絡就會立即隔離相關服務器並阻止通信,以此來撤銷信任關係。
微信图片_20200826154535
它提供了一個現成的解決方案,用於準確識別數據中心中運行的應用及其依賴關係,以及不同應用層之間的底層策略。

該平台還可使用白名單策略和微分段來實施零信任模式,監控服務器上運行的進程的行為,並識別與軟件相關的漏洞和風險。

借助此方法,思科 Tetration 平台可跨多雲環境中運行的虛擬化和裸機工作負載提供多維安全方法。

優勢:
使用基於行為的應用洞見,自動執行白名單策略。
使用應用分段最大限度地減少橫向移動,實現安全的零信任模式。
通過進程行為偏差更快地識別異常。
通過快速識別常見漏洞和風險,減少數據中心內的受攻擊面。
從異構環境中收集全面的遙測數據,在幾分鐘內即可提供切實可行的洞察。
支持長期保留數據,實現深度調查、分析和故障排除。

Tags:

Comments

Tell me what you're thinking...
and oh, if you want a pic to show with your comment, go get a gravatar!





CAPTCHA 驗證圖片
*