公有云防火墙是部署在公有云中的虚拟网络安全设备。一般来说，公有云防火墙往往提供类似于硬件防火墙的功能。然而，在混合云部署中，公有云防火墙在可扩展性、可用性和可延伸性方面比本地设备具有显著优势。这些设备通常也称为“虚拟防火墙”，在这些环境中使用时称为“公有云防火墙”。

对于公有云防火墙的需求

基于云的应用安全是客户和云服务提供商 (CSP) 之间的共同责任。CSP 保护运行其服务的基础设施 - 硬件、软件、网络和设施。然而，使用这些服务的企业负责操作系统、平台、访问控制、数据、知识产权、源代码以及提供商基础设施上面向客户的内容的安全（参见图 1）。许多 CSP 提供防火墙作为可选服务，但是用户仍然负责防火墙策略配置和威胁监视。

图 1：基于云的环境的共享安全模型

随着各公司将现有应用从数据中心迁移到云，他们通常会继续使用本地防火墙来保护基于云的资产。这种配置的优点是用户熟悉且效果经过证实，但是它很难扩展且成本很高，需要大量的硬件和软件资本支出以及安装、维护和升级本地设备的开销。此外，许多公司不愿意投资于确保防火墙高可用性所需的冗余。而且，全球化企业发现将内部安全性扩展到分散在世界各地的应用不切实际。

公有云防火墙的优势

公有云防火墙解决了本地防火墙的局限性等问题。这些虚拟防火墙在 CSP 的基础设施上运行，具有很高的可用性，因为它们利用了 CSP 在冗余电源和供暖、通风和空调 (HVAC) 以及网络服务和自动备份系统方面的投资，以防止在站点发生故障时丢失数据。 

随着企业的云使用率增长，公有云防火墙通过添加虚拟实例而方便地扩展，无需硬件安装或维护。即使是挤占带宽的威胁 - 如分布式拒绝服务 (DDoS) 攻击，使用公有云防火墙也可以快速有效地缓解。

与本地防火墙不同，公有云防火墙部署在其保护的资产附近。这样配置避免了与从区域到数据中心的回传流量相关联的带宽消耗，并且可以减少或消除 CSP 对跨越地区边界的流量收取的费用。得益于大多数主流 CSP 之间的互联协议，即使是 CSP 的边界也不会构成障碍。

公有云防火墙的工作方式

与本地防火墙一样，公有云防火墙识别和控制应用，通过基于用户的策略授予访问权限，并防止已知和未知威胁进入网络边界。公有云防火墙提供了跨整个多云环境的应用可视性，帮助企业对安全策略和程序做出更明智的决策。自动化和集中化管理使开发人员能够在应用开发生命周期中嵌入新一代安全方案，确保安全功能能够跟上云原生开发策略和 DevOps 原则，例如持续集成和持续交付 (CI/CD)。 

鉴于高级威胁日益复杂，边界破坏难以避免。如今的网络威胁通常会危害单个工作站或用户，然后在网络中横向移动，并在移动时获得访问权限，从而使无论在何处的任务关键应用和数据都面临风险。顶级公有云防火墙支持分段和微分段策略，将关键应用和数据隔离在安全分段中，以阻止威胁的横向移动并简化合规性。

当公有云防火墙的设计和配置与提供商的原生安全解决方案协同工作时，才能发挥最佳效果，没有缺口。对于一个企业来说，最佳实践是从网络安全供应商处购买公有云防火墙，这些网络安全供应商与企业打算采用的 CSP 联合开发解决方案。

用例

本讨论表明，公有云防火墙具有极高通用性。以下是一些典型用例： 

• 保护任务关键型应用与数据：公有云防火墙能够以零信任原则作为控制访问的方式，将关键应用与数据隔离到安全的分段中。基于区域的策略架构使企业能够基于应用和用户构建访问控制策略，从而保护虚拟机之间的东西向流量。
• 将安全性扩展到分支机构：各企业部署公有云防火墙以将安全性扩展到分支机构。如前所述，公有云防火墙的虚拟特性使得它们几乎可以部署在世界上任何地方，这对于全球化企业来说是一个特别有吸引力的特性。
• 安全的软件定义环境：公有云防火墙可以保护软件定义的环境，包括软件定义的网络和广域网（SDN 和 SD-WAN）。企业可以确保整个企业的一致网络安全，隔离销售点和其他关键系统，并保护 SD-WAN 上的实时流量流动。
• 保护私有云资产：公有云防火墙还可以满足私有云的安全需求，私有云是由单个企业使用的按需计算环境。在这些环境中，虚拟防火墙有助于最大限度地投资于高度虚拟化的环境，并减少耗时的手动资源调配。

有关公有云防火墙的更多信息，请访问我们的网站。