針對云原生環(huán)境下的網(wǎng)絡(luò)安全策略， Palo Alto Networks（派拓網(wǎng)絡(luò)）中國區(qū)大客戶技術(shù)總監(jiān)張晨建議采取三大舉措：

第一，在云原生應(yīng)用整個生命周期中具備全面的可視化能力，了解威脅形勢和所面臨的風(fēng)險；

第二，在云上應(yīng)用投產(chǎn)生效時，要對相關(guān)應(yīng)用本身可能遭遇到的安全攻擊進(jìn)行高效準(zhǔn)確的檢測，提前建立包括與云原生相關(guān)聯(lián)的網(wǎng)絡(luò)、端點(diǎn)與上下游供應(yīng)鏈廠家在內(nèi)的安全機(jī)制；

最后，還要提升安全管理的整體效率，使企業(yè)IT管理部門能夠在一個平臺上對整個云原生的生命周期進(jìn)行全方位的安全策略管理，取代傳統(tǒng)單人管理多個缺乏關(guān)聯(lián)性的產(chǎn)品，最大程度地提高安全效率，同時優(yōu)化總體擁有成本。

這就是Palo Alto Networks（派拓網(wǎng)絡(luò)）應(yīng)對網(wǎng)絡(luò)安全趨勢變化下零信任網(wǎng)絡(luò)訪問（ZTNA）的指導(dǎo)思想。

零信任網(wǎng)絡(luò)訪問（ZTNA）指導(dǎo)思想

張晨表示，所謂“零信任”，就是不信任網(wǎng)絡(luò)上的任何一個元素，把安全策略帶入到每一個細(xì)節(jié)。但是，什么是真正的零信任接入的網(wǎng)絡(luò)，什么樣的方案才是最適合自己的？選擇成熟的零信任解決方案需要規(guī)避哪些誤區(qū)？

“真正零信任網(wǎng)絡(luò)接入的架構(gòu)應(yīng)該具備最小權(quán)限的訪問原則，具備持續(xù)不斷的身份校驗和安全檢查能力，并且在提供數(shù)據(jù)保護(hù)的項目中覆蓋所有的數(shù)據(jù)類型和應(yīng)用類型，以零信任的指導(dǎo)思想來保護(hù)整個網(wǎng)絡(luò)?！睆埑拷榻B了Palo Alto Networks（派拓網(wǎng)絡(luò)）幫助客戶構(gòu)建零信任網(wǎng)絡(luò)的五個步驟：

首先，定義保護(hù)對象與范疇（Define the protect surface），幫助客戶進(jìn)行有效的梳理，給企業(yè)最重要的應(yīng)用打上標(biāo)簽；

其次，在梳理之后對應(yīng)用業(yè)務(wù)流程分解（Map the transaction flows），并通過技術(shù)手段幫助客戶查看與這些應(yīng)用相關(guān)的所有通信數(shù)據(jù)流、服務(wù)器架構(gòu)中是否存在安全隱患，包括配置和網(wǎng)絡(luò)流量中是否攜帶惡意代碼、攻擊等；

第三，建立基于保護(hù)區(qū)域構(gòu)建隔離網(wǎng)絡(luò)（Architect a Zero Trust network）；

第四，根據(jù)這些情況幫助客戶針對不同業(yè)務(wù)網(wǎng)絡(luò)有的放矢部署相應(yīng)的零信任策略（Create Zero Trust policy）；

第五，實(shí)現(xiàn)有效率的監(jiān)控及運(yùn)維（Monitor and maintain）。

基于Palo Alto Networks（派拓網(wǎng)絡(luò)）的豐富的研發(fā)經(jīng)驗與成功實(shí)踐，張晨認(rèn)為，構(gòu)建零信任網(wǎng)絡(luò)并不是非常復(fù)雜的大工程，只需按照業(yè)務(wù)的優(yōu)先級別和重要性逐步開展工作，這個在很多客戶應(yīng)用中也得到了驗證。

Palo Alto Networks（派拓網(wǎng)絡(luò)）下一代網(wǎng)絡(luò)安全平臺

Palo Alto Networks（派拓網(wǎng)絡(luò)）云原生安全防護(hù)平臺Prisma Cloud 3.0是一個高度集中化、具備高智能的網(wǎng)絡(luò)安全平臺，它由網(wǎng)絡(luò)安全、云安全和終端安全三個主要部分組成；從客戶一開始的軟件開發(fā)階段就內(nèi)置完善的安全策略，所有信息都匯總到自動化安全運(yùn)營平臺上進(jìn)行統(tǒng)一的監(jiān)控和管理以及智能化編排，對所有安全事件都集成到統(tǒng)一的數(shù)據(jù)分析單元通過人工智能和機(jī)器學(xué)習(xí)技術(shù)進(jìn)行自動化分析，幫助客戶改變大量以人工低效的方式做的安全運(yùn)營，滿足客戶在云原生應(yīng)用下全生命周期的的整體安全體驗，實(shí)現(xiàn)網(wǎng)絡(luò)安全轉(zhuǎn)型、提供全方位的云原生安全，最終徹底改變安全運(yùn)營。

Prisma Cloud 3.0包括5大功能模塊，從云原生代碼開發(fā)的環(huán)境、云上安全威脅態(tài)勢感知、云原生應(yīng)用運(yùn)行過程中、云網(wǎng)絡(luò)安全以及云身份安全在內(nèi)的所有安全需求，在一個高度集成且能夠覆蓋全生命周期的環(huán)境下為客戶提供支持，這是目前業(yè)界唯一一個能夠進(jìn)行云原生應(yīng)用全生命周期覆蓋的統(tǒng)一平臺。

作為一個整合的平臺，Prisma Cloud 3.0無需管理多個不同的產(chǎn)品，通過代理的方式幫助客戶對云上的應(yīng)用資源進(jìn)行全面可視化的管理，大大簡化了云原生應(yīng)用環(huán)境下的工作負(fù)載。

支撐這些進(jìn)行高效并且智能化的安全運(yùn)營操作的是Palo Alto Networks（派拓網(wǎng)絡(luò)）遍布全球的安全運(yùn)營情報網(wǎng)絡(luò)。

正因為有了對于安全威脅實(shí)時跟蹤的安全追蹤網(wǎng)絡(luò)，才能讓前端的事件處置變得高效和準(zhǔn)確。

Palo Alto Networks（派拓網(wǎng)絡(luò)）贏得了業(yè)界知名的第三方評估機(jī)構(gòu)的高度評價，目前全球企業(yè)用戶已經(jīng)超過2000家，保護(hù)資產(chǎn)超過40億美元，受保護(hù)工作負(fù)載超過200萬個，每周處理云相關(guān)事件約7000。企業(yè)客戶正在不斷擴(kuò)展自己在云原生環(huán)境下資源負(fù)載的使用，選擇Palo Alto Networks（派拓網(wǎng)絡(luò)）的云原生解決方案對應(yīng)用環(huán)境進(jìn)行保護(hù)。

不斷深化的主流云生態(tài)合作

很多客戶會選擇主流的云服務(wù)商來保證上云的體驗。

公有云廠商通常提供的是使用過程中在線的時效性、本身的連通性等，保證云上基礎(chǔ)設(shè)施的業(yè)務(wù)連續(xù)性，但對企業(yè)在云上運(yùn)行的應(yīng)用安全，其職責(zé)應(yīng)由企業(yè)自己承擔(dān)，尤其是大量的應(yīng)用運(yùn)行在跨云環(huán)境，導(dǎo)致不少企業(yè)客戶在選擇云廠商的時候忽視了安全問題，或者遇到安全問題的時候手足無措。

Palo Alto Networks（派拓網(wǎng)絡(luò)）和亞馬遜云科技、Azure、阿里等都有非常深入的合作，與亞馬遜云科技建立了全面戰(zhàn)略合作伙伴的關(guān)系，通過了其在安全、容器、DevOps、網(wǎng)絡(luò)等方面的能力認(rèn)證，實(shí)現(xiàn)了對亞馬遜云科技的云上資源的監(jiān)控能力、計算能力的全面集成，為共同的中國以及全球客戶提供集成和擴(kuò)展的Prisma Cloud平臺支持。

作為專業(yè)的第三方安全廠商，Palo Alto Networks（派拓網(wǎng)絡(luò)）對云原生應(yīng)用全生命周期的安全需求和安全能力都有覆蓋。這也是Palo Alto Networks（派拓網(wǎng)絡(luò)）這樣專業(yè)且跨多云環(huán)境的云原生解決方案供應(yīng)商受到大量企業(yè)青睞的原因。

護(hù)航客戶數(shù)字化轉(zhuǎn)型

對云原生應(yīng)用采用比較多的是金融業(yè)和制造業(yè)客戶，尤其像大型銀行，他們在容器化的環(huán)境中會整個把門戶類的關(guān)鍵性業(yè)務(wù)都接入到云原生的容器化平臺里，對安全的需求更加強(qiáng)烈。

隨著新技術(shù)的不斷發(fā)展，各行各業(yè)擁抱云、走向云、加速數(shù)字化轉(zhuǎn)型過程中的困擾和疑惑始終不斷。作為網(wǎng)絡(luò)安全特別是云原生安全領(lǐng)域的領(lǐng)頭羊，Palo Alto Networks（派拓網(wǎng)絡(luò)）一直在為幫助客戶加速數(shù)字化轉(zhuǎn)型的進(jìn)程而努力。

在本地，Palo Alto Networks（派拓網(wǎng)絡(luò)）秉持的是“在中國、為中國”理念。

xiesc