是时候改变云原生环境下的网络安全策略了

今天，云原生的构架已经非常普及，并且有相当数量的企业应用程序，是在跨多云、混合的环境下开发、使用和部署。与此同时，我们也进入了一个全新的混合办公时代，如何能将安全架构无缝集成在需要快速切换的IT架构中，这都是一个极大的挑战。

“云原生环境的设计和架构的规划更多是如何以最低的资源开销，以最便捷的开发环境资源，获取最大的应用发布成果。所以，不可避免在云原生应用全生命周期中有很多安全漏洞和短板，安全机制相对滞后，所以我们有越来越多的企业客户会寻求在整个云原生应用环境中对安全进行前置。”Palo Alto Networks（派拓网络）中国区大客户技术总监张晨总结云原生带来的挑战时如此说。

Palo Alto Networks（派拓网络）中国区大客户技术总监张晨

整体来看，云原生环境下的应用主要呈现出以下几个特点：一，为了业务发展和敏捷性，原来部署在物理服务器上的应用正在往云上环境迁移，同时也有大量应用本身在云原生的环境开发、测试、发布和使用，这就需要对应用的镜像和开发环境进行安全检测，以防人为配置错误带来的安全隐患。有些比较敏感的行业虽然使用私有云，但是在私有云环境下，由于它的规模性，已经成为一种行业云，这种混合模式下，既有大量云原生环境下的应用，也有部署在物理服务器上的应用迁移到云原生，这都让安全策略和规划发生变化。

那么在云原生环境下，我们的网络安全策略是否也需要转型？答案是肯定的，Palo Alto Networks（派拓网络）对此的建议是：

第一，在云原生应用生命周期中要有全面的可视化能力。企业的应用程序从开发到镜像发布之后，要通过可视化去自动监测配置可能会出现的问题。

第二，云上应用一旦投产使用，要对应用本身会遭遇到的安全攻击同样进行高效准确的检测，这其中包括和云原生相关联的网络、端点和上下游供应链厂家都应该有相应的机制。

最后，应该提升安全管理的整体效率，使企业IT管理部门能够在一个平台上对云原生的生命周期进行全方位的安全策略管理，改变一个人要管理很多不同的产品，且产品之间并没有关联性这一局面。

五个步骤部署零信任安全架构

零信任网络应该说是一个在业界被广泛认证的，也是当前最为有效的解决云原生等环境下安全问题的策略。但是一个现实的问题是，并不是所有企业都具备在混合架构下去部署零信任网络架构，并且又能与现有的IT架构无缝集成的能力。

“实际上构建零信任网络并不是非常复杂的大工程，我们在很多客户的应用中也得到了验证，那就是按照业务的优先级别和重要性一步步开展起来。”张晨如此谈零信任安全网络的部署。

派拓网络用五个步骤帮助客户构建零信任的网络：一、定义保护对象与范畴；二、掌握通讯与数据流，也就是应用业务流程分解；三、基于保护区域构建隔离网络；四、建立零信任安全管理政策；五、有效率的监控及运维。

具体而言，派拓网络可以帮助客户对应用进行有效的梳理，包括梳理哪些应用对企业来讲最重要。在梳理之后进行数据和应用分级，并通过技术手段帮助客户查看与重要应用相关的所有通信数据流、服务器架构中是否存在安全隐患，这其中包括配置和网络流量中携带的恶意代码、攻击等。最后再根据以上情况帮助客户有的放矢的针对不同业务网络来部署相应的零信任策略。

高度集中化的网络安全平台是关键

要构建和部署零信任网络，这里就不得不提派拓网络的下一代网络安全平台。它是一个高度集中化的，具备高智能的网络安全平台。由网络安全、云安全和终端安全三个主要部分组成。在上面有相应的自动化安全运营的构建，能够把网络云原生环境下以及端点安全等所有信息都汇总到自动化安全运营平台上进行统一的监控和管理，以及智能化的编排，最大程度降低人工参与的部分，把大量重复性的安全处置的事件交给自动化运营的平台去处理。

而支撑这些进行高效并且智能化的安全运营操作的正是派拓网络遍布全球的安全运营情报网络。正因为有了对于安全威胁实时跟踪的安全追踪网络，才能让前端的事件处置变得高效和准确。

另外，派拓网络的云原生的功能也能够满足客户在云原生应用下全生命周期的安全需求，帮助客户在软件开发阶段就把安全策略内置进去，保证客户在云原生环境下的整体安全体验。

除此之外，派拓网络还能够帮助客户改变大量以人工低效的方式做的安全运营。通过人工智能和机器学习技术，派拓网络已经把很多安全事件都集成到统一的数据分析单元里进行分析，企业IT人员就能够从网络、云环境、终端和主机上全面看到IT架构下的整体安全运营情况，以及进行自动化的安全处置。

派拓网络的云原生平台Prisma Cloud 3.0就是这样一个能够进行云原生应用全生命周期覆盖的统一平台。这个平台涵盖了应用产生和上线、发布、使用整个全生命周期。因为它是一个整合的平台，所以不需要管理员管理多个不同的产品。另外，它能够通过代理的方式帮助客户把在云上的应用资源进行全面可视化的管理，大大简化了管理员对云原生应用环境下的工作负载。

目前，派拓网络的这个云原生平台在业界很有名的第三方评估机构都获得了很高的评价。派拓网络在全球云原生环境中的企业用户数已经超过两千，在云原生上的负载数还在不断增多，这也说明有大量的企业客户正在不断扩展自己在云原生环境下资源负载的使用，同时有越来越多的客户选择派拓网络的云原生解决方案，对他们的应用环境进行保护。