但是，東西向流量——即穿越內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)中心但不越過網(wǎng)絡(luò)邊界的流量——永遠(yuǎn)不會(huì)受到這些基于云的安全檢查。

一種解決方法是維護(hù)傳統(tǒng)的數(shù)據(jù)中心防火墻，專門監(jiān)控東西方向的流量。首先，這種混合安全架構(gòu)增加了管理不同安全解決方案的成本和復(fù)雜性，這是企業(yè)迫切希望通過基于云的融合安全堆棧來克服的問題。

其次，跨云和內(nèi)部部署安全組件缺乏統(tǒng)一可見性可能會(huì)導(dǎo)致共享環(huán)境的丟失，從而不可避免地存在安全漏洞。即使是安全信息和事件管理(SIEM)或擴(kuò)展檢測(cè)和響應(yīng)(XDR)解決方案也無法解決為不同類型的流量維護(hù)混合安全堆棧的復(fù)雜性和運(yùn)營開銷。因此，企業(yè)仍然需要單一的集成安全堆棧，通過統(tǒng)一的控制面板管理，為傳入、傳出和內(nèi)部流量提供無處不在的保護(hù)。

將云原生安全擴(kuò)展到東西方向的流量

企業(yè)需要一種既能提供南北保護(hù)又能提供東西保護(hù)的安全解決方案，但這一切都必須通過統(tǒng)一的基于云的控制臺(tái)進(jìn)行協(xié)調(diào)。有兩種方法可以實(shí)現(xiàn)這一點(diǎn)：

1.通過廣域網(wǎng)防火墻策略

SASE和SSE等云原生安全架構(gòu)可以通過最近的入網(wǎng)點(diǎn)(POP)重新路由所有內(nèi)部流量，從而提供通常由數(shù)據(jù)中心防火墻提供的東西保護(hù)。與具有自己的配置和管理約束的本地防火墻不同，在SSE POP中配置的防火墻策略可以通過平臺(tái)的集中管理控制臺(tái)進(jìn)行管理。在統(tǒng)一控制臺(tái)中，管理員可以根據(jù)ZTNA原則創(chuàng)建訪問策略。例如，它們可以只允許連接到公司VLAN并運(yùn)行授權(quán)的Active Directory注冊(cè)設(shè)備的授權(quán)用戶訪問托管在本地?cái)?shù)據(jù)中心內(nèi)的敏感資源。

但是，在某些情況下，企業(yè)可能需要在本地實(shí)施東西流量保護(hù)，而不將流量重定向到POP。

2.通過局域網(wǎng)防火墻策略

假設(shè)連接到物聯(lián)網(wǎng)VLAN的攝像機(jī)需要訪問內(nèi)部服務(wù)器。

鑒于物聯(lián)網(wǎng)攝像頭容易受到惡意威脅行為者的危害，并通過遠(yuǎn)程C2服務(wù)器通過互聯(lián)網(wǎng)進(jìn)行控制，因此默認(rèn)情況下應(yīng)禁用攝像頭的互聯(lián)網(wǎng)或廣域網(wǎng)訪問。如果在POP中實(shí)施數(shù)據(jù)中心防火墻策略，來自禁用互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備的流量自然將免除此類策略。為了彌補(bǔ)這一差距，SASE和SSE平臺(tái)可以允許管理員在本地SD-廣域網(wǎng)設(shè)備上配置防火墻策略。

通常，企業(yè)通過安裝在站點(diǎn)上的SD-WAN設(shè)備(也稱為插座)連接到SASE或SSE POP。集中式儀表板允許管理員配置規(guī)則，以允許或阻止直接在SD-廣域網(wǎng)設(shè)備上的內(nèi)部或局域網(wǎng)流量，而無需通過廣域網(wǎng)將其發(fā)送到POP。

在此方案中，如果流量與預(yù)配置的局域網(wǎng)防火墻策略匹配，則可以在本地實(shí)施規(guī)則。例如，管理員可以允許公司的虛擬局域網(wǎng)用戶訪問連接到打印機(jī)虛擬局域網(wǎng)的打印機(jī)，而拒絕訪客Wi-Fi用戶訪問。如果流量與預(yù)定義的策略不匹配，則可以將流量轉(zhuǎn)發(fā)到POP進(jìn)行進(jìn)一步分類。

基于云的東西向保護(hù)是必由之路

隨著安全功能越來越多地轉(zhuǎn)移到云上，不要忽視現(xiàn)場(chǎng)所需的控制和安全措施，這一點(diǎn)至關(guān)重要。

云原生保護(hù)旨在增加覆蓋范圍，同時(shí)降低復(fù)雜性并促進(jìn)融合。在SASE和SSE架構(gòu)中啟用東西流量保護(hù)同樣重要，保持此類平臺(tái)提供的統(tǒng)一可見性、控制和管理也同樣重要。要實(shí)現(xiàn)這一點(diǎn)，企業(yè)必須避免被新出現(xiàn)的威脅和添加不同的安全解決方案所迷惑。

因此，在基于云的安全范例中添加的任何內(nèi)部安全措施都應(yīng)維護(hù)統(tǒng)一的控制面板，以實(shí)現(xiàn)跨局域網(wǎng)和廣域網(wǎng)流量的精細(xì)策略配置和端到端可見性，這是企業(yè)能夠可靠地彌合云和內(nèi)部部署安全之間的差距并實(shí)現(xiàn)可持續(xù)、適應(yīng)性和面向未來的安全堆棧的唯一方法。