re:Invent 2023 | 组织如何使用亚马逊云科技和 Palo Alto Networks 保护应用程序安全

关键字: [Amazon Web Services re:Invent 2023, Palo Alto Networks, Cloud Security, Network Security, Threat Prevention, 亚马逊云科技, Palo Alto Networks]

本文字数: 2000, 阅读完需: 10 分钟

视频

如视频不能正常播放，请前往bilibili观看本视频。>> https://www.bilibili.com/video/BV1aM411d7fz

导读

在本论坛中，了解 BP、Avalon Healthcare、Putnam 和 Bristol-Myers Squibb 等组织如何使用 Palo Alto Networks 的云防火墙和安全解决方案增强其亚马逊云科技云应用程序的安全性。在其他组织分享其决策过程、遇到的挑战以及云安全的未来，计划时，从他们那里获得有价值的见解。本讲座由亚马逊云科技合作伙伴 Palo Alto Networks 为您带来。

演讲精华

以下是小编为您整理的本次演讲的精华，共1700字，阅读时间大约是8分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

在2022年re:Invent的亚马逊云科技赞助环节中，Palo Alto Networks的高级副总裁Rich Campania欢迎观众参加关于“领先组织如何保护其云应用程序”的专题讨论。他与来自不同行业的四位尊贵演讲者共同参加了此次活动，包括医疗保健、制药、金融服务和石油天然气领域的专家。

专家们来自不同的组织和行业，包括医疗保健、制药、金融服务和石油天然气。作为Palo Alto下一代防火墙产品管理的高级副总裁，Rich很高兴能与这四位专家一起参加活动。他将介绍每位专家将分享的他们独特的云旅程细节和自我介绍。

为了设定讨论的背景，Rich强调了在整个专题讨论中将涉及的一些重要安全趋势。首先，他强调攻击者每年都在变得越来越狡猾。最近，许多以前只有资金充足的国家级行为者才能使用的工具现在已经被各种级别的对手轻易获取。即使是新手级别的坏人也可以使用这些规避攻击的工具。这意味着试图保护自己免受攻击的组织现在可以创建以前无法想象的高度针对性的独特威胁。安全环境变得越来越难以管理。

与此同时，Rich解释说，我们也正在通过使安全架构过于复杂来损害我们自己。随着从内部数据中心和办公室位置到远程云工作者的转变，新的安全功能以不连贯的方式添加。它们通常不能很好地一起工作，从而进一步使安全堆栈变得更加复杂。加上训练有素的网络安全专业人士的严重短缺，这使得很难跟上攻击者的步伐。一方面，攻击变得更加狡猾；另一方面，安全变得更复杂。这在向云的迁移中尤为重要。

Rich详细说明，观众中的许多安全专业人员已被赋予确保云安全的任务。有两个主要关注领域：

在整个云计算应用的生命周期中，从开发人员编码到生产部署，保护应用本身的发展是关键。在应用部署之后，还需要保护云环境内的通信。在过去的十年里，Palo Alto Networks一直在开发针对这两个关键使用场景的平台。一是Prisma Cloud，一个云原生应用程序保护平台（CNAPP），与开发和DevOps工具集成以保护应用程序生命周期；二是Strata，一个云网络安全平台，用于保护进入、离开或穿越云环境的通信。尽管Prisma Cloud关注的是应用本身的保护，但今天的会议将重点介绍Strata以及在云环境中部署网络安全的方法。

Rich总结了云网络安全的三种主要部署选项：虚拟机防火墙，适用于希望在本地数据中心和私有云中实现一致性的组织；容器化防火墙，适合需要集成到Kubernetes和容器环境的组织；以及云原生防火墙，作为托管服务直接从云提供商（如Amazon Web Services）提供。这些选项使得组织可以根据自己的需求选择合适的云网络安全解决方案。

韦布（Jesse Webb）来自Avalon医疗保健解决方案公司，担任安全和技术的资深副总裁，负责所有基础设施、网络安全和技术支持。自成立以来，Avalon公司已经发展了10年，但没有运营过实体数据中心或服务器。作为一家小型医疗保健初创公司，他们从一开始就开始采用领先的实践，如零信任分段和HITRUST等合规框架。尽管他们的超分段环境提供了安全性，但运营管理如此多的防火墙变得越来越复杂。通过迁移到Palo Alto的虚拟防火墙，现在是云原生防火墙，实现了可扩展性，并简化了管理。韦布总结说，亚马逊云科技使他们的小公司能够以大型企业的安全成熟度运行。

接下来是英国石油公司（BP）的Polina Ks Delia。与Avalon不同，BP已经有100多年的历史，但在过去几年里也开始迁移到云端。现在，他们通过亚马逊云科技和其他云服务提供商实行多云策略，利用80%的云服务。展望未来，他们正在探索下一阶段的技术发展，包括容器化和面向服务的架构。

马克·曾克（Mark Zenk）来自百时美施贵宝公司，分享了他们如何在8-10年前全面投入云端的经历。他们在9个亚马逊云科技区域拥有庞大的环境，通过网状配置相互对等连接。马克的团队负责亚马逊云科技、Azure和GCP中的网络和基础设施组件。尽管他们最初没有在通道网关中构建检查功能，但他们意识到了添加此功能的重要性。将Palo Alto的虚拟防火墙与亚马逊云科技通道网关集成使他们能够在不牺牲可用性的情况下实现可扩展的威胁预防。现在，他们在每个地区都有一致的检查架构。

马克还强调了Panorama，Palo Alto的中央管理平台。它使他们能够通过一对Panorama设备简化跨地区和云的数千个防火墙规则的管理工作。总的来说，他们的架构在其简单性方面非常优雅——VPC只有一个路由，将所有流量发送到检查VPC，然后允许其通过。

Finally, Felix Asare, an executive from Putnam Investments, elaborated on their journey of moving from traditional internal data centers to the cloud. As part of their digital transformation plan, they are shutting down remaining data centers to fully embrace the cloud.

As a financial services company managing nearly $200 billion in assets, security is crucial to avoid disruptions and maintain customer trust. Felix's team evaluated various suppliers and chose Palo Alto Networks due to their reputation, innovation capabilities, and the ability to provide consistent strategies both internally and in the cloud.

When asked what they wanted to protect in the cloud, Polina explained that BP needed advanced features such as application layer filtering, SSL decryption, and threat prevention, which were not available natively in Amazon Web Services' firewall. The cloud firewall from Palo Alto met their needs in terms of security, operational management, and scalability.

Felix emphasized the importance of zero trust, sandboxing capabilities, and tracking user activity on cloud-based applications and infrastructure. The key priority was ease of use, scalability, and automation to prevent interference with their small team.

Jesse stressed that, due to its birth in the cloud, Avalon could seamlessly integrate security into its personnel, culture, processes, and technologies from the start. This was crucial for gaining the trust of healthcare providers for their business growth requiring protected health data. If starting from scratch, he would have focused more on automation and infrastructure as code for scalability.

In discussing friction points, Felix acknowledged that security teams often were the last to know about new resources in the cloud. His team was committed to changing the culture by positioning security as a driver of business speed rather than a barrier. It was essential but challenging to get development and infrastructure teams to adopt security principles.

For deployment options, Mark personally managed the firewall for VM series to ensure stability and control and waited for upgrades to avoid interruptions. Felix chose Prisma Cloud because it was easy for his small team to use. Polina utilized cloud-native firewalls because they didn't require specialized skills to manage.

Jesse was migrating from VM series to cloud-native firewalls. Infrastructure as code functionality would allow them to manage policies across regions seamlessly. A final feature was required before a full production migration.

在对比亚马逊云科技的本地网络防火墙与Palo Alto时，Felix强调了它们在自动化和简化策略管理方面的差异。据Jesse观察，尽管亚马逊云科技的防火墙提供了基本的连接性，但在安全性方面，Palo Alto超越了亚马逊云科技，并能与其本地系统集成。

Mark表示，由于Palo Alto的高级特性和功能，舍弃亚马逊云科技的本地选项是值得的。他更喜欢使用第三方解决方案，以减少在出现故障时指责供应商的可能性。然而，由于他们的合作伙伴关系和与亚马逊云科技的无缝集成，Palo Alto成为了一个例外。

在未来的规划中，Jesse致力于基础设施即代码，并计划在多个地区使用云防火墙来管理跨地区的策略。Polina希望能将Palo Alto应用于其他云服务提供商，而不仅仅是亚马逊云科技。她对将Prisma Cloud与网络安全更紧密地结合以获得额外价值表示兴趣。

Mark正在进行IPv6试点以应对随着其环境扩展而出现的IP地址限制。他还计划升级到PAN-OS 11.1以获得最新的功能并保持稳定性。

Felix计划关闭他的最后一个内部数据中心，以完全拥抱云。他希望探索Prisma Cloud在保护部署到云中的代码和配置方面的功能。

总的来说，Mark回顾了Palo Alto在过去11年中提供的主导性的云和软件防火墙解决方案。客户得益于其灵活的部署模式、与亚马逊云科技的集成、来自服务100,000多个组织的海量威胁情报以及从内部部署到云的连续策略管理。尽管Prisma Cloud保护应用程序生命周期，但Strata还保护通信以实现全面的云安全。

下面是一些演讲现场的精彩瞬间：

领导者们探讨了正在重塑安全格局的关键趋势，以及为何组织仍在大量投资于安全领域。

他们在强调帕洛阿尔托网络（Palo Alto Networks）作为优秀合作伙伴的重要性方面发挥了关键作用，后者通过其Panorama中央管理平台帮助简化了在亚马逊云科技（Amazon Web Services）和内部环境中的连接。

自成立以来，亚马逊云科技便将安全融入其企业文化，使公司能够在赢得客户信任的同时顺利启动新业务。

亚马逊云科技基础设施的高级功能已整合至其基础架构中，使得在新安全功能被轻松启用且不导致服务中断的情况下得以实现。

亚马逊云科技的基础设施完全自动化且安全可靠，每个应用程序都有属于自己的可以立即启动的虚拟专用网络（VPC）。

领导者们分享了他们如何在开发环境中早期采用亚马逊云科技的Cloud NextGen防火墙以利用云原生功能，随后将其更广泛地应用于整个基础设施。

为了便于与会者提问，小组讨论提前10分钟结束。

总结

本次演讲主要探讨了领先企业如何运用Palo Alto Networks的解决方案来保护其云应用程序。首先，演讲概述了一些关键的安全趋势，如日益复杂的网络威胁和纷繁复杂、分散的安全架构。来自不同行业的与会者们详细讲述了自己从「生于云」到将内部部署数据中心迁移至云端的过程。

一个核心主题便是Palo Alto Networks的平台如何满足两大关键云安全需求：保护应用生命周期和安全通信。例如，Prisma Cloud和Strata等产品帮助企业实现了零信任、威胁预防和统一管理。客户们强调了一系列优势，如强大的安全功能、易用性、可扩展性与与亚马逊云科技服务的集成等。他们还分享了许多经验教训，涉及自动化、基础设施即代码、安全和开发团队间的协作以及在新功能与稳定性间取得平衡的方法。

展望未来，企业需要关注的一些重点包括多云管理、IPv6过渡、整合网络与云安全以及逐步淘汰内部部署数据中心。灵活性、自动化及充分利用服务提供商在管理服务方面的专业能力将成为未来发展的关键。

演讲原文

https://blog.csdn.net/just2gooo/article/details/134819695

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处，一键获取亚马逊云科技全球最新产品/服务资讯！

点击此处，一键获取亚马逊云科技中国区最新产品/服务资讯！

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及 31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12 个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。