保护云工作负载和数据免受网络威胁

保护云工作负载和数据免受网络威胁

关键字: [Amazon Web Services re:Invent 2024， 亚马逊云科技， Zscaler Zero Trust Exchange， Cloud Workloads Security， Network Traffic Visibility， Zero Trust Architecture， Data Risk Assessment， Cloud Security Posture]

导读

随着45%的网络攻击基于云端，且80%的组织在过去一年中至少经历过一次云安全事件，显然保护您的云工作负载和数据至关重要。加入这场简短演讲，了解云安全领导者Zscaler如何利用零信任和人工智能来降低云环境中的风险。探索如何构建基于零信任的分段架构的最佳实践。本次演讲由亚马逊云科技合作伙伴Zscaler为您带来。

演讲精华

以下是小编为您整理的本次演讲的精华。

在不断演进的云计算领域，工作负载和数据跨越地理边界，遍布多个区域和供应商，保护这些分布式环境的挑战已成为一个错综复杂的难题。在亚马逊云科技 re:Invent 2024大会上，来自Zscaler的代表Zoltin揭示了他们保护云工作负载和数据免受网络威胁的创新方法。

Zoltin承认，尽管Zscaler传统上被视为保护用户的云代理，但多年来他们的产品组合已经发生了转变，现在包括从网络和数据角度保护云中的工作负载和服务器。他强调，安全最终是关于保护数据，防止恶意活动渗透组织的数字资产，正如这句话所言:“最终，安全是关于保护您的数据，不让坏东西进入。”

虽然网络发挥着关键作用，但Zoltin强调它只是等式的一个方面，他说:“网络只是解决方案的一半，对吗?我们必须能够保护数据。”有些情况下，仅靠网络解决方案无法解决带外API调用和以数据为中心的威胁。令人惊讶的是，许多组织忽视了从网络角度保护工作负载的需求，尽管它可以带来变革性的好处，正如Zoltin所说:“令人惊讶的是，很多人没有意识到我们仍然需要从网络角度保护我们的工作负载。而这实际上可以从变革的角度帮助我们。”

Zscaler的产品组合专注于两个关键领域:出站安全和入站安全。后者旨在减少访问托管在亚马逊云科技、其他云提供商或本地数据中心的私有应用程序时的入站安全需求。这种方法认识到许多组织仍然有分布在多个位置的应用程序，正如Zoltin所说:“事实上，许多人仍然有应用程序分布在不同的位置，对吗?”

从历史上看，在传统数据中心或托管设施中，组织主要处理数据中心内部的东西流量和到互联网的南北流量，以及来自外部源的一些入站流量。由于物理位置有限，保护这些环境相对容易，正如Zoltin解释道:“我也可以说，保护这些数据中心比云更容易，原因之一是我们只有几个这样的位置。”

然而，云的美妙之处在于其可扩展性，使组织能够跨越多个云供应商和区域，这通常是由于收购和合并。Zoltin强调，他们合作的大型组织可能会在10个、20个或更多的亚马逊云科技区域中分布工作负载，他说:“我们合作的许多大型组织可能分布在10个、20多个区域。”每个区域不是单一的数据中心，而是一个中心，可能有数百或数千个VPC(虚拟私有云)，充当生产、开发和非生产环境的微型数据中心，正如Zoltin所描述的:“每个这样的云都可能是一个中心，一个传输网关中心，有20个VPC、50个VPC、100个VPC。因此，您可能有数百或数千个微型数据中心或VPC，可能是生产、开发、非生产环境混合在一起。”

使用传统网络概念将这些网络连接在一起可能会创建一个复杂的、完全可路由的网络，增加人为错误和意外暴露的可能性。Zoltin举了一个例子，开发人员或架构师在VPC中启动Windows桌面或Linux盒子，可能会让它一直运行并暴露给整个网络，他说:“我可能会在某个VPC中启动一个Windows桌面，我想在那里浏览互联网，或者启动一个Linux盒子，做一个0入站安全组SSH进入它，也许做一个Apache网络服务器，让它一直运行，说没什么大不了的。这是一个开发环境。但是，如果它连接到我的其他网络呢?它可能会传播到其他环境，对吗?”

Zoltin承认，在如此分布式的环境中，很难洞察内部和外部流量模式，他说:“如果你看这样一个环境，想想有这么多区域，这么多VPC。你知道你的流量是什么样子吗?无论是内部流量还是从互联网进出的流量?从网络角度来看，很难看到实际发生了什么。”

没有神奇的工具可以解决这个挑战，这就是Zscaler提出的零信任交换(Zero Trust Exchange)解决方案的用武之地。零信任交换是一个全球安全环境，它将代理、防火墙、IPS、SSL检查、威胁检查和内联DLP等安全功能的繁重工作卸载到Zscaler的云中。客户不需要在自己的环境中运行这些安全堆栈，而是部署轻量级连接器，建立到零信任交换的内向外连接，正如Zoltin解释的那样:“想象一下所有那些安全堆栈，对吗?代理、防火墙、IPS、SSL检查、威胁检查、内联DLP。从策略检查的角度来看，所有这些都需要大量计算资源。这种繁重的计算工作不是在您自己的环境中运行的，而是发生在Zscaler的云中。您不需要这样做，您只需部署轻量级连接器，建立到Zscaler的内向外连接。”

这种架构将环境分割成隔离的岛屿，每个岛屿都有一个到零信任交换的内向外连接。工作负载，如EC2实例、在VPC模式下运行的Lambda函数或API调用，都通过零信任交换连接，从而能够使用基于属性的细粒度策略来控制环境之间的访问，而无需可路由网络，正如Zoltin所说:“它可能是一个配置为在VPC模式下运行的Lambda函数、EC2实例，或者任何尝试从互联网获取软件更新的实体。”

这个概念源于Zscaler在保护远程或本地用户方面的经验，并扩展到非人工实体，如云工作负载、设备、物联网系统和本地服务器，正如Zoltin所说:“因此，这整个概念源于能够为用户做到这一点。这就是我们17年前开始的，无论用户是远程还是在办公室，都能够保护他们，现在我们将其扩展到您的非人工实体，我们在这里关注的是云工作负载，但它也可以应用于相机系统、物联网系统、物理世界中的服务器等设备。”

Zoltin举了一个客户场景的例子，他们需要在不同环境中的工作负载之间或与本地主机之间代理访问，而无需可路由网络，他说:“或者我在数据中心里仍然有一个AS400主机，我在这些环境之间没有可路由的网络，但我想代理访问。我可以再次通过Zscaler做到这一点，而无需可路由的环境。”

Zoltin进一步讨论了微分段，它专注于保护同一VPC或子网内实例之间的通信。对于组织的核心资产，建议采用微分段，但在整个企业范围内实施可能是不可行的，尤其是对于拥有多种工作负载类型的大型亚马逊云科技客户，正如Zoltin所指出的:“如果我们回到之前的那个视觉，如果你有数千个VPC，如果你是亚马逊云科技的一个非常大的客户，你不会只有基于EC2的实例，对吗?你会有很多不同的产品。你不能在那里做真正的微分段，对吗?但对于你可以做的实例，你要关注你的核心资产，对吗?”

这种防御深度的方法结合了零信任交换的宏分段和特定VPC内关键工作负载的微分段，最小化了攻击面和在发生入侵时的影响范围，正如Zoltin解释的那样:“因此，我们试图做的是那种防御深度，整个堆栈，使用合适的供应商工具来解决合适的问题。这使您能够在特定的VPC内获得更细粒度的控制。”

虽然网络架构和Zscaler的安全堆栈旨在减少攻击面，但Zoltin承认，它们无法防止亚马逊云科技中的每一种威胁或漏洞，他说:“这能防止亚马逊云科技中的每一种威胁吗?绝对不会，对吗。有很多攻击是内联代理或防火墙无法看到的，对吗?”这就是Zscaler的数据安全态势管理(DSPM)解决方案发挥作用的地方，它扫描和分析数据，以补充网络安全。

Zscaler的内联网络DLP(数据泄露防护)可以阻止敏感数据被上传或通过电子邮件发送出去，但无法检测通过S3存储桶或非Zscaler客户访问的文件共享共享的数据。DSPM解决方案解决了这一缺陷，可以在各种亚马逊云科技数据存储(如S3、EBS、RDS和DynamoDB)中发现和分类敏感数据。它分析权限和身份，根据公共互联网暴露、敏感数据类型和访问权限等因素，提供暴露风险的上下文。正如Zoltin所描述的，“一旦我们确定了数据，就可以映射和跟踪风险。为了节省时间，我将在这里显示屏幕截图。该风险是通过将我所说的这些因素结合起来得到的。我将在这里中间使用激光指示器，在这里我们有一个S3存储桶，但在左侧呢?我想你们中的许多人可能使用过具有图形交互的工具，我们可以看到谁有权访问该存储。这是谜题的一部分，但在这个数据存储或对象存储中，我有凭证、财务记录、人事记录，这是不好的。在某些情况下，它可能暴露在公共互联网上。”

预定义的策略有助于优先处理最关键的警报，该解决方案提供人性化的解释和补救建议，正如Zoltin所提到的，“当然，我在这里想特别展示的是，在我看来最重要的是预定义的策略。重点是我们试图让您可以直接获得最佳警报或最关键的警报，以确保重要的事情不会被噪音淹没。任何供应商在这方面都不完美，我认为对于任何产品都是如此，但告诉您环境中出了什么问题是一回事，但补救风险才是最重要的部分。能够在这里告诉您最重要的部分。在我看来，有两个部分，第一个是确定所有不同级别的风险，以及人性化的描述，这样您就不需要成为专家就能理解问题所在。它会告诉您，例如，此存储桶可能暴露在互联网上并具有完全控制权限，这可能不是一件好事，并解释原因。然后它会给出一个示例，比如这可能是一个JSON响应，告诉您可以使用的策略。”

Zoltin强调，虽然内联网络和离线数据扫描是互补的，但Zscaler的统一平台集成了这两个方面，以保护、简化和转换客户的环境，无论是用户、网络还是云，正如他所说，“归根结底，即使有内联网络和离线扫描，所有这些都集成在一个统一的平台中。这两者实际上是非常互补的，很难只做其中一个。Zscaler的终极目标是保护、简化和转换客户的环境，无论是用户、网络还是云。这就是我们的目标。”

下面是一些演讲现场的精彩瞬间：

Zscaler能够制定细粒度策略，在不同环境之间代理应用程序连接，无需可路由网络，从而增强安全性和控制力。

Zscaler讨论了宏观和微观分段对于保护云环境的重要性，强调了在VPC和实例内部及其之间需要细粒度安全控制。

Zscaler的内联Web数据泄露防护可以防止敏感数据被上传或与外部共享，即使是非Zscaler客户访问共享文件也是如此。

演讲者演示了如何通过映射和跟踪存储在可能暴露于公共互联网的S3存储桶中的敏感数据来识别和缓解风险。

亚马逊云科技首席执行官Adam Selipsky强调不仅要识别安全风险，还要提供可操作的补救步骤以有效解决这些风险。

Zscaler的使命是通过集成内联网络和带外扫描的统一平台，保护、简化和转换客户的用户、网络和云。

总结

在工作负载和数据面临日益增长的网络威胁的世界里，Zscaler提供了一种全面的方法来保护亚马逊云科技环境的安全。他们的零信任交换解决方案通过隐藏连接可见性和控制对应用程序而非网络连接的访问，实现了宏观和微观网络分段。同时，他们的数据安全态势管理(DSPM)解决方案可以发现、分类和评估存储在亚马逊云科技中的敏感数据的风险，优先处理最关键的警报并提供补救建议。

这种网络安全和数据保护相结合的方法旨在简化和转变企业的云安全。通过在同一平台上统一管理用户、工作负载和数据，Zscaler旨在减少攻击面和在发生入侵时的影响范围，同时提供对复杂云环境的更大可见性和控制。

凭借这种整体战略，Zscaler希望成为企业在亚马逊云科技云中保护工作负载和数据的不可或缺的合作伙伴，简化安全管理并促进有弹性的数字化转型。

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者。提供200多类广泛而深入的云服务，服务全球245个国家和地区的数百万客户。做为全球生成式AI前行者，亚马逊云科技正在携手广泛的客户和合作伙伴，缔造可见的商业价值 – 汇集全球40余款大模型，亚马逊云科技为10万家全球企业提供AI及机器学习服务，守护3/4中国企业出海。