Palo Alto Networks(派拓网络)-助力金融服务机构实现云端安全(派拓001)

“十四五”规划建议提出要“发展数字经济,推进数字产业化和产业数字化,推动数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群”。很显然,数字经济已成为拉动经济增长的重要引擎,金融行业数字化转型亦“箭在弦上”。

随着信息技术的快速发展,金融服务机构的安全防御技术也在发生着根本性转变。基于边界、流量或规则的传统检测方式已经无法应对新型或未知威胁,如何从技术上解决当前金融行业面临的安全问题,如何提高金融行业整个网络系统及应用的安全检测性能……金融行业的网络安全布局亟待加速。

感知时代使命,探索智力支持,Palo Alto Networks(派拓网络)近日诚邀行业精英大咖一起共赴“数字化金融行业创新技术沙龙”,纵论金融行业网络安全发展之道,探讨企业数字转型之策。

本文整理沙龙现场的精彩观点,与您共飨。

零信任安全架构及在HVV中的实践

疫情常态化的当下,我们仍需严防死守,不能松懈。其实防范疫情与防御威胁两者之间有相似之处,如“应检尽检、不漏一个”的防疫措施也能很好地体现零信任理念;为了防止疫情扩散所实施的“封城政策”则与网络安全加固异曲同工,都是将边界作为阻断危机的首道防线。

“零信任”*早雏形源于2004年成立的耶利哥论坛(Jericho Forum ),2010年“零信任”概念由时任市场研究机构Forrester的研究员John Kindervag正式提出,John后来加入Palo Alto Networks任面向客户的CTO (Field CTO)。零信任要解决的是缺省或者隐式信任带来的信息系统弱点问题。 传统网络安全架构中,默认内网是安全的,网络安全重点在边界防御,因此在边界部署大量安全产品如防火墙、DDoS, WAF, IDS/ IPS、网闸等设备对网络边界进行防护,而对企业内网安全则重视度不够,一旦网络边界防护被突破,攻击者可以在内网畅行无阻,因为内网主机和用户默认全部“可信”。随着业务需求和技术的演进,内部员工、业务合作伙伴甚至供应商都有访问企业数据的需求,在这种情况下,传统的安全边界变得模糊,外网和内网已经不再泾渭分明,行业迫切需要一种颠覆性的思维和方法来重新定义网络安全,“零信任安全”应运而生。

“零信任安全”引导安全体系架构从网络中心化走向身份中心化,从默认信任走向确信的信任,从静态检查走向持续监控,其本质是“从不信任、永远验证!”(Never Trust,Always Verify!)。

正是基于零信任理念,我们对HVV行动进行了总结,以下经验与大家分享:

01

梳理和熟悉经常被命中的威胁攻击签名,如扫描工具,IoT漏洞扫描等

02

关注各种安全公众号,快速自定义新披露漏洞的签名;内网NGFW开启端口扫描检测

03

传统防护思路注重南北向头重脚轻,用户缺少一个有效的安全架构指引

04

NGFW在HVV的优势:7层应用识别、高检测率低误报率、开放灵活的API

为敏捷开发而生的容器安全

云原生作为一个概念集合,既包含微服务、容器,也包含更多的管理方法,如持续交付、DevOps和重组等。随着微服务的广泛采用,微服务容器化趋势愈加明显,在为DevOps团队带来敏捷性的同时,也给后端管理带了负面影响,对信息系统的安全性和业务的连续性提出了挑战。
图片

在这样的背景下,Palo Alto Networks 推出Prisma Cloud Compute 容器安全解决方案。该方案可有效应对微服务容器化趋势带来的诸多不便,及时发现新版本应用中的安全漏洞和隐患,实现更透明、更快速、更自动化的应用迭代和交付。此外,该容器解决方案能够实时监测和扫描各种风险,满足企业对合规和风控的要求,其可执行如下功能:

CI/CD

集成

● 支持原生安全插件集成

● 在开发每个环节把控合规性和漏洞管理的安全质量要求

● 支持主机,容器镜像,Serverless等多个环境的安全检测和修复

漏洞管理

● 针对主机,镜像,容器,Serverless,发现并减轻漏洞威胁

● 保住阻止不满足企业合规要求的漏洞镜像部署

● 超过30+专业智能情报库,提供权威的安全漏洞评估

容器的可视化与微隔离

● 通过云原生防火墙,隔离容器应用边界

● 通过与内核的交互,自动学习容器与容器之间的通信模型

● 一目了然的展示容器环境内部的通信流状况

Runtime 保护

● 通过机器学习,自动建立安全基线准入模型

● 基于模型安全和威胁基线自动事件检测和触发保护

● 持续对环境中的容器和主机提供安全取证记录

合规性

● 支持CIS, PCI-DSS, HIPAA, GDPR, NIST SP 800-190, and FISMA等多种合规标准安全加固

● 支持跨不同区域和账号的集中发现和监控云原生相关容器服务

● 支持 OpenSCAP, PowerShell, and Bash scripts等多种查询方式

攻击面管理及安全运维自动化

软件定义网络的普及,带来的是攻击面的不断扩大,而攻击种类与规模的不断增加,加之以受管理服务器在数量上的日益增多,使得人工运维捉襟见肘,自动化运维开始走上历史舞台。

内容一:

外部威胁攻击面管理

随着全球云计算市场的不断扩大,攻击面也在不断扩大。根据ESET 2020年第四季度威胁报告,主要云提供商的远程桌面协议(RDP)暴露增加了27%,而2020年*季度到第四季度 RDP攻击则暴增了768%。

Palo Alto Networks Cortex Xpanse可对攻击面进行有效管理,包括:

发现Discover

不断对整个互联网建立索引,发现所有连接的设备和暴露的服务。

评估Evaluate

受监督机器学习引擎的高精度归因和*风险识别。

缓解Mitigate

利用现有流程和平台自动执行策略驱动的修复。

具有如下特性:

■ 无需部署*软件与硬件

■ 从外部评估企业暴露在Internet上的资产的风险

■ 实时评估暴露在Internet的资产的风险

■ 为CISO及安全团队提供已知和未知资产的可见性

■ 缩短MTTI时间

内容二:

安全自动化编排与响应

Palo Alto Networks 安全编排、自动化与响应平台Cortex™ XSOAR可执行如下功能:

编排

Orchestration

● 剧本、手册、工作流

● 按逻辑组织的操作计划

● 在集中的位置控制、激活安全产品堆栈

自动化

Automation

● 自动化脚本

● 可扩展产品集成

● 剧本任务的机器执行

响应

Response

● 案例管理

● 分析和报告

● 交流与协作

图片
图片

下一代数据中心安全架构

云的部署和广泛使用是数字化转型的必选项。根据Flexera《2019年云报告》,平均每个组织使用了3.4个云平台(包括私有云和公有云)并尝试增加额外的1.5个新的云平台,这意味着每个组织同时要管理并安全地使用近5个不同的云环境。

多云环境以及混合云环境常常给安全带来挑战,包括:缺乏可视化和有效控制,无法实现一致性的管理和安*力,缺乏灵活的扩展能力安全资源池和自动化安*力。在种种安全压力下,组织要限制横向移动,有效减少攻击面,同时阻断由内向外的C2连接,*实践就是采用微分段方式。

如何确保混合云连接的安全性?

——通过SASE服务实现混合云安全连接

■ Prisma Access 是一种基于云的基础设施服务,提供了网络即服务功能和安全即服务功能

■ 作为一个覆盖全球的SASE服务,客户不需要自己构建全球范围的安全基础设施,通过Prisma Access 就能够将一致的安全策略扩展到所有的节点,包括本地数据中心、公有云、SaaS、互联网以及包括远程用户之间的所有流量

如何实现公有云网络安全?

——借助Palo Alto Networks NGFW可实现公有云安全。

通过VM-Series实现南北向流量保护
图片

通过VM-Series实现东西向流量保护
图片

公有云统一安全VPC和灵活流量调度
图片

公有云流量镜像和旁路侦听
图片

如何实现公有云网络安全?

——借助Palo Alto Networks NGFW可实现公有云安全。

VM-Series在ESXi平台上部署的*实践
图片

VM-Series在NSX-T平台上部署的*实践
图片

Openstack环境中NGFW的HA部署
图片

与Nutanix实现端到端集成
图片

助力Cisco ACI实现业务与网络的解耦合
图片

金融发展,安全为先

Palo Alto Networks(派拓网络)作为全球网络安全*,在金融安全领域已树立多个标杆性案例,具备丰富的产品解决方案与项目实践经验,将不断夯实自身优势基础,持续发力云端安全研究,以实际行动赋能金融数字化转型建设,为全球客户的数字化经济高质量发展贡献更多力量。

IT 解决方案  ———————————————————————–

零信任”*早雏形源于2004年成立的耶利哥论坛(Jericho Forum ),2010年“零信任”概念由时任市场研究机构Forrester的研究员John Kindervag正式提出,John后来加入Palo Alto Networks任面向客户的CTO (Field CTO)。零信任要解决的是缺省或者隐式信任带来的信息系统弱点问题。 传统网络安全架构中,默认内网是安全的,网络安全重点在边界防御,因此在边界部署大量安全产品如防火墙、DDoS, WAF, IDS/ IPS、网闸等设备对网络边界进行防护,而对企业内网安全则重视度不够,一旦网络边界防护被突破,攻击者可以在内网畅行无阻,因为内网主机和用户默认全部“可信”。随着业务需求和技术的演进,内部员工、业务合作伙伴甚至供应商都有访问企业数据的需求,在这种情况下,传统的安全边界变得模糊,外网和内网已经不再泾渭分明,行业迫切需要一种颠覆性的思维和方法来重新定义网络安全,“零信任安全”应运而生。

“零信任安全”引导安全体系架构从网络中心化走向身份中心化,从默认信任走向确信的信任,从静态检查走向持续监控,其本质是“从不信任、永远验证!”(Never Trust,Always Verify!)

产品:

Prisma Cloud Compute,Cortex™ XSOAR,Prisma Access

 

成都科汇科技有限公司(IT解决方案商

地址:四川省成都市武侯区人民南路四段一号时代数码大厦18楼A5

电话咨询热线:400-028-1235

QQ咨询热线: 1325383361

24小时咨询热线:180 8195 0517(微信同号)

返回顶部