云革命从根本上改变了企业的运营方式。其卓越的可扩展性、敏捷性和成本效益使其成为各种规模组织的首选平台。然而,向云的转变带来了不断演变的安全威胁的新局面。数据泄露和网络攻击继续袭击组织,使得强大的云网络安全变得绝对必要。
IBM® 作为科技行业的巨头,认识到这一迫切需求,提供了一整套工具并提供无与伦比的专业知识来强化您的云环境。无论您是经验丰富的云老手还是刚开始迁移之旅的新手,全面的 IBM Cloud® 安全产品都可以帮助您保护您的数据、应用程序和云基础设施。
保护您的网络:揭开 IBM Cloud 网络安全库的面纱
IBM Cloud® 网络安全为客户提供保护其数据、应用程序和基础架构所需的工具和专业知识。这有助于确保采用深度防御方法实现端到端安全,防范云环境内部和周围不断变化的威胁形势。
IBM 云互联网服务
IBM Cloud Internet Services 由 Cloudflare 提供支持,为使用 Cloudflare 超过 165 个全球接入点 (PoP) 在 IBM Cloud 上运行业务的客户提供快速、高性能、可靠且安全的互联网服务。它发现边缘网络服务,以保护面向互联网的应用程序免受 DDoS 攻击、数据盗窃和机器人攻击。这是一种软件定义的安全解决方案,可为面向 Web 的应用程序提供安全性、弹性和性能功能。一些值得注意的安全功能如下:
DDoS 防护
分布式拒绝服务 (DDoS) 攻击可能会通过大量非法流量淹没服务器来削弱在线存在。 IBM 的 DDoS 防护服务有助于减轻这些攻击,确保网络保持可访问和运行。
网络应用安全
Web 应用程序通常是网络犯罪分子的主要目标。 IBM 提供的 Web 应用程序安全解决方案可扫描漏洞、防止 SQL 注入和跨站点脚本 (XSS) 等常见 Web 应用程序攻击,并帮助保护 Web 财产。
传输层安全
使用以下方法保护 Web 应用程序并控制传输层安全性 (TLS):
- IBM 提供的 TLS 证书:IBM Cloud 服务提供内置 TLS 证书,由 IBM 自动配置和管理。
- 自带证书 (BYOC):用户可以自带 TLS 证书并在 IBM Cloud 平台中管理它们。
- TLS 设置:用户可以根据组织允许的安全要求配置 TLS 设置的最小和最大版本以及特定密码套件。
云负载均衡
在多个服务器之间分配流量以优化性能并确保您的应用程序保持高可用性。这有助于防止攻击者可能利用的瓶颈和单点故障。
先进的安全性
IBM Cloud Internet Services 提供高级安全功能,可以根据需求更改、启用或禁用这些功能。一些例子是:
- 浏览器完整性检查 – 浏览器完整性检查会查找垃圾邮件发送者经常滥用的 HTTP 标头。它拒绝带有这些标头的流量访问您的页面。它还会阻止或挑战没有用户代理或添加非标准用户代理的访问者。这种策略通常被滥用机器人、爬虫或 API 使用。
- 机会性加密 – 通过通知浏览器您的站点可通过加密连接访问,让浏览器受益于 HTTP/2 的改进性能。
- 电子邮件混淆 – 防止来自试图访问您页面上的电子邮件地址的收割机和机器人的垃圾邮件。
- True-Client-IP 标头 – 在 True-Client-IP 标头中发送用户 IP 地址。
IBM Cloud 安全组
在复杂的云环境中,传统的网络分段可能会变得很麻烦。微分段提供了一种更精细的方法,允许用户在更精细的级别上隔离工作负载和资源,从而最大限度地减少安全漏洞的潜在影响。
在云安全领域,安全组是一组 IP 过滤规则,旨在规范对网络资源的访问。它们定义如何处理虚拟服务器实例的公共和私有接口的传入(入口)和传出(出口)流量。这些是构成云网络第一道防线的基本构建块。安全组允许用户在单个实例级别定义访问规则,从而提供精细控制。
在图 2 中,虚拟服务器实例与一组安全组关联以限制网络流量。箭头代表网络流量。
应用程序开发人员对各个基础设施层的访问受到限制,如下所示:
- 应用程序开发人员只能通过 TCP 端口 443 (https) 访问 Web 层。
- 只有Web层实例可以访问应用层实例。
- 只有应用层实例可以访问数据库层实例。
对任何全球数据中心中需要保护的所有虚拟服务器使用安全组。
IBM Cloud 网络访问控制列表 (ACL)
IBM Cloud 网络访问控制列表 (ACL) 控制 IBM Cloud Virtual Private Cloud 中的所有传入和传出流量。 ACL是一个内置的虚拟防火墙,就像一个安全组。与安全组相反,ACL 规则控制进出子网的流量,而不是控制进出实例的流量。
访问控制列表 (ACL) 可以管理(即,它可以允许或拒绝)子网的入站和出站流量。 ACL 是无状态的,这意味着必须单独且显式地指定入站和出站规则。每个 ACL 都包含基于源 IP、源端口、目标 IP 或目标端口的规则。
在图 3 中,在 IBM Cloud VPC 中,使用网络 ACL 策略对 2 个不同的子网进行分段,并且来自互联网的入站和出站请求也受到限制。
每个 VPC 都有一个允许所有入站和出站流量的默认 ACL。您可以编辑默认 ACL 规则或创建自定义 ACL 并将其附加到您的子网。一个子网在任何时候只能附加 1 个 ACL,但 1 个 ACL 可以附加到多个子网。
这些虚拟防火墙充当看门人,根据预定义的安全策略仔细过滤传入和传出流量,防止来自互联网的不需要的流量攻击服务器并减少攻击面。
FortiGate 安全设备(防火墙)
FortiGate 安全设备 (FSA) 是一种硬件加速的高性能企业级防火墙,可作为 IBM Cloud 上的服务提供。它为企业工作负载提供强大而可靠的保护,帮助确保全面的安全性并提供对网络流量的高级管理控制——所有这些都在一个统一的平台内进行。
这是现有防火墙产品组合的最新扩展之一,可同时满足网络性能吞吐量和强大的外围安全性。一些高级功能包括:
- 高吞吐量(速度高达 10 Gbps)
- 自动配置下一代防火墙功能,如 IPS、防病毒 (AV) 和 Web 过滤。
- 公共和专用网络连接
- 能够通过单个防火墙设备将多个 VLAN 关联到单个防火墙设备
随着云服务中对高速网络的需求不断增长,保护工作负载和网络已成为重中之重。 IBM Cloud (TB2) 是唯一允许您在云中使用基于硬件的防火墙的主要云服务提供商。我们知道安全解决方案必须随着新的需求而发展并有效提供保护。
使用 IBM Cloud 构建安全的云未来
根据不同的行业法规,有不同的合规性框架,这些框架是针对 IBM Cloud 提供的特定要求量身定制的。这些框架包括:
- IBM 金融服务云® 旨在建立信任并实现透明的公共云生态系统,该生态系统具有金融机构所需的安全性、合规性和弹性功能。金融机构可以放心地将其关键任务应用程序托管在云中,并快速高效地进行交易。
- 健康保险流通与责任法案 (HIPAA) – 随着组织过渡到云,安全性是重中之重。随着云中个人信息量(包括受保护的健康信息 (PHI))的快速增长,描述如何通过身份验证、授权、审核和最终客户端访问等关键服务来保护云的安全至关重要。本指南概述了 IBM Cloud 客户端如何构建准备就绪的环境和应用程序 健康保险流通与责任法案。
更多合规计划可在此处查看。
云带来了无限的可能性,但安全性仍然是重中之重。 IBM Cloud 使您能够利用其强大的云网络安全解决方案套件创造一个安全的未来。在云中建立强大的安全基础对于任何企业都至关重要,IBM Cloud 的网络安全服务提供了保护您的环境的基本工具。当您踏上云之旅时,安全性是长期成功最重要的考虑因素之一。
立即探索 IBM Cloud 网络服务 下载保护公共云安全的 5 个主要注意事项
这篇文章有帮助吗?
是的不