安全雲端存取:為何選擇 Palo Alto Networks

Jul 06, 2019
1 minutes
... views

This post is also available in: English (英語) Nederlands (荷蘭語) Français (法語) Deutsch (德語) Italiano (義大利語) 日本語 (日語) 한국어 (韓語) Español (西班牙語)

Apttus 根植於雲端。我們為客戶提供 AI 驅動的 SaaS 產品,包括報價到現金、合約管理、數位商務和供應商關係管理等解決方案。全面採用雲端的方法幫助我們為全球 700 多家客戶提供更優質的服務。

我們選擇全面運用雲端,充分發揮雲端 (主要是 Azure,也包括 AWS) 提供的優勢。不過,在全球運作時,我們需要設法確保對雲端基礎結構和應用程式進行的存取安全無虞。

有哪些需要解決的業務和安全問題?

在部署 Palo Alto Networks VM-Series 虛擬化新世代防火牆之前,我們面臨兩個關鍵的安全挑戰。

缺乏集中的雲端存取管理

我們建立 pod,這是建立服務和執行解決方案所需的雲端資源集合。對於每個 pod,我們部署虛擬機器 (VM) 作為跳轉主機,讓營運團隊能夠存取 pod。如今,我們有超過 100 個 pod,存取每個 pod 需要許多時間和資源。已有的存取管理模型無法提供可視性或控制,而且非常佔用資源。這會浪費大量的時間,對企業而言,浪費時間就是浪費金錢。

緩慢、不安全且非常浪費的雲端存取模型

我們強制集中使用 VPN 存取雲端資源。使用者和員工必須先連線到我們的公司,才能使用單一登入 (SSO)。接著,他們即可從公司連線到數據中心。我們的團隊成員來自全球各地,在印度和其他許多國家/地區都有使用者和分支機構,因此這會導致系統延遲和連線速度緩慢。

Palo Alto Networks VM-Series:雲端資源的分散式存取閘道

舊的做法已毫無作用。因此,我們首先制定開發架構的計劃,在這個架構中,營運團隊不需要透過公司進行數據路由,每個 pod 也不需要跳轉主機。Palo Alto Networks VM-Series 是這個全新安全設計的核心。我們在 VM-Series 虛擬化新世代防火牆部署 GlobalProtect 訂閱作為存取閘道,並使用 Panorama 作為集中的安全管理工具。由於 VM-Series 直接連線到 Azure AD 集中進行使用者終止,因此我們現在能夠管理存取,並使用單一身分來源。此外,我們獲得精細的可視性和控制能力,還能對 pod 進行相互區隔和隔離。

收益有哪些?我們先來談談成果

自從在雲端中部署 Palo Alto Networks VM-Series 以來,我們已經節省大量用來確認和解決客戶問題的時間。我們基於 3 個原因選擇 Palo Alto Networks:

  1. Palo Alto Networks VM-Series 能夠與 Azure AD 進行原生整合。 我們能夠使用 Azure AD SSO 集中控制所有使用者的上線/離線,包括活動和稽核記錄。
  2. 透過 Panorama 集中管理防火牆的能力也讓我們受益良多。對於保持最新的設定狀態和所有防火牆軟體版本而言,管理所有防火牆極為重要。
  3. VM-Series 可透過基礎結構即程式碼 (IaC) 部署。  我們能夠使用程式編輯的方式,在幾分鐘內將 VM-Series 與其他基礎架構元件部署在雲端中。因此,我們可以在所有地區採用同樣的做法。

下面是我的一些主要想法和建議:

  1. 建立安全措施,將營運工作與 IT 區分開:如果不這麼做,可能會犧牲雲端提供的敏捷性效益。
  2. 您可以在雲端中擴展安全措施。運用 Azure AD 之類的雲端原生服務,很容易就能擴展安全措施。您可以在雲端中輕鬆驗證使用者,完全不需要連線回內部部署。
  3. 選擇可以作為 IaC 進行管理的安全產品。使用基礎結構即程式碼的 Palo Alto Networks 產品幫助我們取得極大的成功。我們實現了高度安全性和低延遲,並縮短了為客戶支援提供解決方案的時間。

Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.