近日,阿里雲發佈了業界首款SaaS化防火牆,一鍵開啓,無需複雜網絡接入配置,適用於所有在雲上部署了重要業務資產的客戶,特別是企業級客戶。
對於用戶來說,即開即用,操作簡單,無需傳統防火牆的鏡像安裝、路由設置等複雜基礎系統和網絡配置操作,用戶也無需關注容災、擴容或接入等問題。在系統穩定性方面,採用雙Available Zone (AZ,可用區)部署,任意一臺服務器或者任意一個AZ故障時都不會導致防火牆故障。一鍵bypass某個IP,可幫助用戶在運維時實現快速診斷。
雲防火牆是用戶上雲的第一個網絡安全基礎設施,可統一管理南北向流量(互聯網與ECS之間的流量)的訪問策略、和東西向流量(ECS之間的交互流量)的微隔離策略,並內置了威脅入侵檢測模塊(IPS),爲網絡安全提供全面防護。
1
雲防火牆同時已經成爲全網流量可視化的工具。讓各類網絡活動,不僅是互聯網到業務的網絡活動,也包括業務主動外聯的網絡活動,以及業務也業務之間的訪問清晰可見。如下圖所示,雲上各業務間的訪問關係盡在掌握。
2
因爲雲防火牆的全網流量識別、統一策略管控、入侵檢測、日誌等核心功能,不僅可以防護從互聯網到業務的訪問,同時還能控制業務到互聯網的主動外聯訪問,並對業務和業務間的訪問進行控制,所以在下面場景上格外適用:
對公網EIP的防護:
例如某遊戲行業客戶,大量EIP暴露在公網上,如果通過安全組來進行管理比較複雜,且不支持基於域名和協議的應用層訪問控制,因此可以使用雲防火牆對這些南北向的互聯網流量進行訪問統一控制,降低策略運維管理的複製性。
主動外聯的檢測和控制:
例如某政府行業用戶,除了關注從互聯網到業務的防禦,也同時關注業務主動外聯的分析,以判斷哪些主機已經處於風險狀態,並對這些失陷主機的異常行爲進行實時阻斷,規避數據外泄等潛在風險。
互聯網業務防護:
例如某金融用戶除了HTTP業務外,還有其他類型業務暴露在互聯網上。用戶需要使用入侵檢測模塊(IPS)進行防護,對入侵進行實時的攔截。
微隔離防護:
例如某電商客戶,雖然都是HTTP業務、並採用了Web應用防火牆進行防護,但期望能對不同的業務間進行安全隔離,增強整體的網絡控制能力,避免因爲某個ECS安全風險而導致整個雲上業務產生風險。
最後我們從攻擊殺傷鏈(Kill Chain) 的角度,看看雲防火牆在整個防禦過程中的價值:
3
雲防火牆是業界首款公共雲環境下的SaaS化防火牆,它統一管理互聯網到業務的南北向訪問策略和業務與業務之間的東西向微隔離策略,內置威脅入侵檢測模塊(IPS),支持全網流量可視、業務間訪問關係可視,是業務上雲的第一個網絡安全基礎設施。
此次阿里云云防火牆在國內主要地區均有上線,瞭解更多阿里云云防火牆,請戳鏈接:https://help.aliyun.com/document_detail/94218.html?spm=a2c4g.11186623.6.581.587e7be3efn9MC
原文鏈接 https://yq.aliyun.com/articles/661977?spm=a2c4e.11155435.0.0.7ac03312xIaM6N