保障资料中心中的资料缩小攻击面并防范威胁 - Palo Alto Networks.PDF

最佳實務 保障資料中心中的資料 縮小攻擊面並防範威脅 保護您寶貴的數位資料 針對企業與政府資料中心的攻擊，無論在數量或是複雜度上皆以驚人的速度增加。已發 表的研究中顯示這些攻擊似乎集中於三大類別： • 網路罪犯攻擊零售與商業企業，如商店、連鎖餐廳、銀行等。 • 駭客激進份子意圖毀壞敵對公司名譽或對其造成損害。 • 針對政府或商業企業的政府資助攻擊事件。 長久以來，各組織會專注於網路周邊與進出資料中心的流量 (南北向流量) ，透過檢測與 防範威脅來因應這些攻擊。許多 IT 系統管理員假定東西向流量 (亦即資料中心內系統與 應用程式間的流量) 是可以受到信任的，因此無須任何安全防護。然而，在許多已紀錄 的入侵事件中，只要攻擊者成功突破網路周邊，他們便能在網路間不被察覺地橫向移 動，進而找出其他伺服器、存取敏感資料，並將其運出網路周邊，只因為資料中心中的 內部區隔並未套用與網路周邊相同等級的安全性。 資料中心中的敏感資產存取應該利用毫不妥協的身分認證，以及以應用程式為基礎的規 則來進行規範，還必須搭配一系列的威脅檢查與防範工具 (防毒、IPS 、反間諜軟體等) ， 才能在資料中心內提供足夠的安全性。若要保護敏感資訊不受到未授權的存取或洩漏， 在全組織中採取整合式可延伸安全性架構絕對必不可少，而且不僅要保護網路周邊，還 必須保障資料中心內的資料中心邊緣及內部區隔。此方法稱為資訊安全零信任模型。 Palo Alto Networks | 最佳實務指南 1 ® 除非已經過證明，否則零信任模型 (原本由 Forrester Research 提出的名稱) 會假定所有流 提示：識別南北向 (資料中心與外 量皆為威脅。與其使用個別安全設備的組合來進行周邊防護，Forrester 建議建構一個集中 部系統間的流量) 以及東西向 (資 化的「劃分閘道」網路架構，當中將多個安全性與加密作業功能 (防火牆、IPS 、NAC 、 內容篩選、VPN 等) 合為一個在網路核心處的單一高速裝置。這使得系統管理員能將網路 料中心間的流量)  的流量，並提 劃分為多個區域，將通往高價值資產的流量從例行且較不敏感的流量處隔開，讓攻擊者 高對隱藏性東西向安全弱點的 無論是要維持潛伏、取得這些資產存取權，或是從網路吸取資料都顯得困難重重。 著重。 Palo Alto Networks® 新世代安全平台當中便包含硬體設備與虛擬設備，讓您能透過劃分 網路、將應用程式列入白名單或黑名單、使用者存取與特定內容來實施有效的零信任安 全模型，同時檢測所有流量中的威脅。 保障資料中心資料的階段性方式 無論您是最近才開始採用 Palo Alto Networks 產品，或已經使用了許多年，都需要溫習一 下使用零信任方式保