Check Point：云安全解决方案部署十大思考要素

1.高级威胁防护和深度安全保护

用户应注意威胁检测的不足，以有效保护当今复杂网络安全环境中的云资产。企业需要对已知和未知（零日）漏洞实施多层实时威胁防护。解决方案必须能够通过细粒度和深度流量检查、增强型威胁情报及沙盒（可在验证或拦截可疑流量之前对其进行隔离）提供深度安全保护。这些高级功能必须部署在南北向（传入/传出）和东西向（横向）流量通道上。

2.无边界

即使在最复杂的多云和混合（公有云/私有云/本地）环境中，解决方案也必须透明、一致地运行。统一的管理界面（有时称为“单个管理平台”）应提供唯一的云网络安全真实信息来源以及集中命令和控制台。

3.细粒度流量检查和控制

选择使用新一代防火墙 (NGFW) 功能，例如精细匹配细粒度（不仅限于基本白名单）、深度检查（以确保流量传输符合允许的端口用途）、基于 URL 地址的高级过滤功能以及端口级和应用级控制。

4.自动化
为了满足 DevOps 的速度和可扩展性要求，解决方案必须支持高度自动化，包括安全网关的编程命令和控制、CI/CD 流程的无缝集成、自动威胁响应和修复工作流及无需人工干预的动态策略更新。

5.集成和易用性

解决方案必须可以很好地与企业的配置管理堆栈搭配使用，包括支持基础设施即代码部署。此外，该解决方案还必须能够紧密集成云提供商的产品。通常，您的目标应是最大限度地减少必须单独部署和管理的单点安全解决方案的数量，从而简化运营并提高易用性。

6.可视性

解决方案的仪表盘、日志及报告应在事件发生时提供切实可行的端到端可视性。例如，日志和报告应使用易于解析的云对象名称，而非模糊的 IP 地址。如果出现安全漏洞，这种可视性对于增强的取证分析也很重要。

7.可扩展的安全远程访问

解决方案必须使用多重身份验证、端点合规性扫描及传输中数据加密等特性保护对公司的云环境的远程访问。此外，远程访问还必须能够快速扩展，以便在发生新冠肺炎疫情等突发情况时，确保任何数量的远程员工均可高效、安全办公。

8.上下文感知型安全管理

云网络安全解决方案必须能够汇总并关联整个环境（公有云和私有云及本地网络）中的信息，从而让安全策略具有上下文感知性和一致性。网络、资产或安全组配置变更应自动反映在其相关安全策略中。

9.厂商支持和行业认可

除了解决方案本身的特性和功能以外，进一步了解厂商也非常重要。该厂商是否赢得了独立行业分析公司和第三方安全测试公司的高度评价？能否满足企业的 SLA 要求？是否经过时间检验？能否提供增值服务，如网络安全咨询服务？能否帮助企业支持全球运营？是否致力于创新以提供面向未来的解决方案？其软件是否成熟且漏洞极少，是否及时提供修复程序？

10.总体拥有成本
总体拥有成本取决于一系列因素，所有这些因素均应在采购时加以考虑：许可模式的灵活性、云安全平台与现有 IT 系统的无缝集成程度和利用率、管理系统所需的人员水平和规模以及厂商的 MTTR 和可用性 SLA 等。企业需要云安全平台能够简化运营、优化工作流，并在增强安全级别的同时降低成本。

越来越多的企业与机构正迁移到云端以满足自己的业务需求。这些机构希望能够控制自己的数据和保护数据隐私、防范网络威胁，并安全地连接其云环境与传统本地网络，同时始终满足法规要求。采用可满足上述要求的云网络安全解决方案将有助于组织在越来越复杂的威胁环境中持续获得可靠保护。