（文/赵法彬）随着企业纷纷上云和数字化转型推进，网络攻击面不断扩大，企业面临着前所未有的攻击与威胁。Palo Alto Networks（派拓网络）中国区大客户技术总监张晨女士认为，安全是第一要务，企业必须采取积极主动的网络安全策略。

安全是第一要务

张晨表示，随着数字化的转型，以及过去两三年疫情的需要，混合办公越来越多，并且IT的架构也在进行很大的转型，在这个转型过程中，很多企业的负责人都认为安全是非常重要的。企业在数字化转型过程中打破了原有的物理边界，这让企业暴出了越来越多的攻击面，企业原来传统的网络架构和以物理边界为核心的网络安全架构已经远远跟不上现在的需求了，因此，企业需要关注安全如何能够平滑的过渡到新型IT架构中。

那么，影响网络安全的关键趋势有哪些呢？张晨分析说，第一，上云已经成为一个不可逆转的主流趋势，越来越多的企业认为，采用云解决方案能够大幅降低成本，并且让企业IT架构进行非常弹性的伸缩，采用云上的应用和成熟的商业云服务，已经成为主流。但是，在上云之后，云安全事件年同比增长188%。因此，云上的安全如何管理，而且上云之后要应用很多云原生的技术，如何对它们进行无缝的安全管理，已经成为影响安全事件的重要主体。第二，工作性质发生根本改变。新冠疫情在全球爆发三年以来，远程办公与混合办公得到快速发展，并且很快被人们接受与广泛应用。但是，这种工作模式快速灵活的切换给IT支撑的架构安全带来极大挑战，及在快速切换下，安全如何无缝集成进去？整个社会和群体办公模式的多样性，也是网络安全很关键的主体，61%企业表示正努力确保混合办公的安全。第三，威胁形势持续升级，53%企业转向人工智能以实现更有效的威胁检测。因此，对于安全威胁，如何以更加智能、高效、准确的方式及时地检测到，并且进行处置，也是网络安全很关键的主体。

应用程序正在跨多云和混合云环境中部署。张晨解释说，原来部署在物理服务器上的应用，为了业务发展和敏捷性往云上环境迁移，还有大量应用本身在云原生的环境下进行开发、测试、发布和使用，在这种环境下如何在开发过程中，就对应用的镜像和开发环境进行安全检测和必要安全配置的检查，以防人为配置错误带来的安全隐患，这是必须重视的。并且，很多应用程序本身是在跨多云、混合的环境下进行开发、使用和部署的，这给我们原来在应用安全上的安全策略和规划带来很大变化。

张晨表示，保护云原生应用程序面临以下挑战：第一，新的云原生架构广泛普及，云正在推动应用程序现代化和新架构的快速转型。因为很多开源的厂家都会开发云原生的架构，很多行业的客户对云原生应用的采用也非常广泛，因为它的便捷性、敏捷性以及成本。第二，DevOps推动不断变化的状态，云服务是动态的，通常会快速增加和减少。因为云上开发的服务可以做到需要用这个环境就把这个容器环境启用起来，不需要就关掉，节省大量云上资源开销，本身开发应用环境的资源会快速的增加减少，随着需求的变化而随时变化，这也是云原生环境下的一大特点。第三，安全建设可能会滞后，在云创新的快速发展中，安全可能会变得滞后。云原生环境的设计和架构的规划并不是为了安全考虑，更多是如何以最低的资源开销，以最便捷的开发环境资源，获取最大的应用发布成果，所以本身并不是从安全的机制去考虑，在整个云原生应用全生命周期中有很多安全漏洞和短板，安全机制相对滞后，我们有越来越多的企业客户会寻求在整个云原生应用环境中对安全进行前置。

云原生的网络安全

企业在云原生环境下的网络安全策略应该采取什么样的战略转型？张晨回答说，第一，在云原生应用整个生命周期中有全面的可视化能力，这个应用从一开始开发到镜像发布之后，配置上有哪些问题，我们必须有可视化的能力。第二，对于云上应用一旦投产使用生效的时候，我们要对这个应用本身会遭遇到的安全攻击同样进行高效准确的检测，这个里面包括和云原生相关联的网络、端点和上下游供应链厂家都应该有相应的机制。第三，我们应该提升安全管理的整体效率，要使企业IT管理部门能够在一个平台上对整个云原生的生命周期进行全方位的安全策略管理，而不是一个人管理很多不同的产品，产品之间又没有关联性，这样安全效率就很差了。

零信任本身就是要把安全策略带入到每一个细节当中，不去信任网络上任何一个元素。那么，企业如何构建零信任网络呢？张晨回答说，派拓网络用五个步骤帮助客户构建零信任的网络。一是定义保护对象与范畴。我们会帮助客户进行有效的梳理，包括梳理哪些应用对企业来讲最重要。二是掌握通讯与数据流（应用业务流程分解）。我们要在梳理完之后进行数据和应用分级，并通过技术手段帮助客户查看跟这些重要应用相关的所有通信数据流、服务器架构中是否存在安全隐患。三是基于保护区域构建隔离网络，四是建立零信任安全管理政策。帮助客户有的放矢的针对不同业务网络来部署相应的零信任策略。五是有效率的监控及运维。总之，构建零信任网络并不是非常复杂的大工程，需要按照业务的优先级别和重要性一步步开展起来的。

Palo Alto Networks下一代网络安全平台助力企业数字化变革之路。张晨介绍说，派拓网络的整个下一代网络安全平台是高度集中化的，具备高智能的网络安全平台，主要有网络安全、云安全和终端安全三个主要组成部分，在上面有相应的自动化安全运营的构建，会把网络云原生环境下以及端点安全等所有信息都汇总到自动化安全运营平台上进行统一的监控和管理，以及智能化的编排，最大程度地降低人工参与的部分，把大量重复性的安全处置的事件交给自动化运营的平台做。张晨强调，支撑这些进行高效并且智能化地安全运营操作的就是我们遍布全球的安全运营情报网络，正因为有了对于安全威胁实时跟踪的安全追踪网络，才能让我们前端的事件处置变得高效和准确。

张晨表示，派拓网络在云原生的功能会满足客户整个云原生应用下全生命周期的安全需求，帮助客户从一开始的软件开发阶段就把安全策略内置进去，保证客户在云原生环境下的整体安全体验。通过人工智能和机器学习技术，我们会把很多安全事件都集成到统一的数据分析单元里进行分析，这样从客户的网络、云环境、终端和主机上能够全面看到在这个企业IT架构下的整体安全运营情况，以及进行自动化的安全处置。

张晨说，派拓网络的云原生平台Prisma Cloud 3.0是通过一个平台针对应用整个安全生命周期里的全方位安全需求，从云原生代码开发的环境、上云之后的安全威胁态势感知，以及云原生应用在运行过程中等等和网络相关的所有安全需求，都会囊括在CNAPP平台里进行提供，所以客户是在一个高度集成且能够覆盖全生命周期的环境下使用派拓网络的Prisma Cloud解决方案，这也是目前业界唯一一个能够进行云原生应用全生命周期覆盖的统一平台。这个平台涵盖的是应用产生和上线、发布、使用整个全生命周期，它是一个整合的平台，不需要管理员管理多个不同的产品；另外，它能够通过代理的方式帮助客户把在云上的应用资源进行全面可视化的管理，大大简化了管理员对云原生应用环境下的工作负载。

总之，企业必须采取积极主动的网络安全策略，才能了解威胁形势和所面临的风险，才能预防、检测和有效应对基于各种载体的威胁，包括网络、云、端点和软件供应链，才能最大程度地提高安全效率，同时优化总体拥有成本。