什麼是虛擬環境?
在計算中,虛擬機器是電腦系統的模擬。虛擬機器運作所在的虛擬環境或管理程式所組成的軟體抽象化了完成模擬所需的實體資源,例如中央處理器、記憶體、磁碟和網路。虛擬機器的一種類型是虛擬防火牆。
虛擬防火牆是保護虛擬化網路環境安全的理想解決方案。虛擬防火牆的三個潛在用例包括:
- 公有雲端部署:組織越來越多地利用公有雲端部署,使用 AWS、GCP 和 Azure 等服務來儲存和處理關鍵資料。虛擬防火牆是組織抵禦網路威脅並滿足這些環境中的合規性要求的能力的重要組成部分。
- 私有雲部署:虛擬防火牆也可以成為私有雲環境中的有價值的工具。它們通常包括自動配置、可擴充性以及動態物件和策略管理等功能,可簡化私有雲端的安全性。
- 分公司和軟體定義環境:隨著軟體定義網路(SDN)和軟體定義廣域網路的發展,企業網路日益優化和虛擬化。虛擬防火牆可以輕鬆部署在具有內建管理程式軟體的軟體定義廣域網路設備上,以協助將安全性轉移到網路邊緣。
為什麼需要虛擬防火牆
虛擬防火牆旨在提供許多與傳統實體防火牆設備相同的保護,但作為雲端原生解決方案。這使他們能夠滿足幾種安全需求:
- 南北流量檢查:基於雲端的資源部署在傳統企業網路邊界之外,並且可以直接從公共互聯網存取。部署虛擬防火牆設備來檢查和過濾這些基於雲端的資源的傳入和傳出流量對於保護它們免受損害和潛在的資料外洩至關重要。
- 東西向流量檢查:即使組織控制對其基於雲端的資源的訪問,對組織環境內東西向資料流的檢查也是網路安全的一個重要方面。能夠存取組織網路的網路犯罪分子通常會橫向移動以獲取敏感資源並實現其最終目標。隨著雲端中部署的敏感資料和功能的數量不斷增加,對這些東西向流量執行內容檢查和安全性策略實施對於保護基於雲端的資源非常重要,因此虛擬防火牆至關重要。
- 部署位置:越來越多的組織基礎架構部署在虛擬化環境中,例如雲端。使用實體防火牆設備保護這些環境通常不是一個可行的選擇,因為這些設備無法現場部署,並且透過總部網路路由流量進行安全檢查也不是一個可行的選擇。雲端或虛擬防火牆使組織能夠以專為其部署環境設計並非常適合其部署環境的外形規格部署相同等級的安全性。
- 靈活性和可擴展性:虛擬防火牆通常作為雲端環境中的安全解決方案進行部署。組織通常因其內建的靈活性和可擴展性而使用雲,因此雲端資安也需要能夠適應不斷變化的需求。因此,虛擬防火牆的部署使用(可能透過防火牆即服務(FWaaS) 提供按需存取保護)是保護這些基於雲端的環境的理想解決方案,特別是能夠自動化常見的、供應和配置步驟。
虛擬防火牆的工作原理
虛擬防火牆通常部署為基於雲端的環境中的虛擬機器或透過 FWaaS 產品部署。這使組織能夠在安全性方面利用雲端的靈活性和可擴展性。
與任何防火牆一樣,虛擬或雲端防火牆需要能夠檢查進入和離開其受保護網路的流量。虛擬防火牆有幾個選項可以實現此目的:
- 橋接模式:虛擬防火牆可以像實體防火牆一樣部署,直接位於流量路徑。這可讓它檢查並允許或阻止任何嘗試進入或離開橋接橋上的虛擬環境的流量。
- 雲端原生應用程式開發界面:許多雲端服務提供應用程式開發界面,例如 AWS VPC 流量鏡像,它提供對組織雲端部署的流量的可見性。虛擬防火牆還可以利用此虛擬網路分路器對進入和離開受保護虛擬環境的流量進行檢查。
這種可見性使雲端防火牆能夠應用其整合安全策略和任何內建安全功能,例如可疑內容的沙盒分析。根據部署和配置設置,防火牆還可以配置為阻止嘗試的攻擊或產生警報。
不同類型的虛擬防火牆可能具有附加功能,使其非常適合保護基於雲端的環境。例如,Check Point 對動態物件的使用使得安全性策略的定義方式允許每個閘道器使用該策略以不同的方式解析某些值。這使得定義一般安全性策略成為可能,這些策略在組織的整個 IT 基礎架構中一致執行,並且具有特定值(例如 IP 位址),這些值是根據防火牆與雲端應用程式標籤的整合而設定的。
使用 Check Point 保護雲端
虛擬防火牆充當組織雲端網路安全策略的基礎。它對虛擬化環境中的所有流量執行流量檢查和安全性原則強制執行。
若要詳細了解虛擬防火牆為您的雲端環境帶來的潛在優勢,請與我們聯絡。我們也歡迎您要求示範,以了解 Check Point CloudGuard 的實際應用。
反映意見