Apttus 根植於雲端。我們為客戶提供 AI 驅動的 SaaS 產品,包括報價到現金、合約管理、數位商務和供應商關係管理等解決方案。全面採用雲端的方法幫助我們為全球 700 多家客戶提供更優質的服務。
我們選擇全面運用雲端,充分發揮雲端 (主要是 Azure,也包括 AWS) 提供的優勢。不過,在全球運作時,我們需要設法確保對雲端基礎結構和應用程式進行的存取安全無虞。
有哪些需要解決的業務和安全問題?
在部署 Palo Alto Networks VM-Series 虛擬化新世代防火牆之前,我們面臨兩個關鍵的安全挑戰。
缺乏集中的雲端存取管理
我們建立 pod,這是建立服務和執行解決方案所需的雲端資源集合。對於每個 pod,我們部署虛擬機器 (VM) 作為跳轉主機,讓營運團隊能夠存取 pod。如今,我們有超過 100 個 pod,存取每個 pod 需要許多時間和資源。已有的存取管理模型無法提供可視性或控制,而且非常佔用資源。這會浪費大量的時間,對企業而言,浪費時間就是浪費金錢。
緩慢、不安全且非常浪費的雲端存取模型
我們強制集中使用 VPN 存取雲端資源。使用者和員工必須先連線到我們的公司,才能使用單一登入 (SSO)。接著,他們即可從公司連線到數據中心。我們的團隊成員來自全球各地,在印度和其他許多國家/地區都有使用者和分支機構,因此這會導致系統延遲和連線速度緩慢。
Palo Alto Networks VM-Series:雲端資源的分散式存取閘道
舊的做法已毫無作用。因此,我們首先制定開發架構的計劃,在這個架構中,營運團隊不需要透過公司進行數據路由,每個 pod 也不需要跳轉主機。Palo Alto Networks VM-Series 是這個全新安全設計的核心。我們在 VM-Series 虛擬化新世代防火牆部署 GlobalProtect 訂閱作為存取閘道,並使用 Panorama 作為集中的安全管理工具。由於 VM-Series 直接連線到 Azure AD 集中進行使用者終止,因此我們現在能夠管理存取,並使用單一身分來源。此外,我們獲得精細的可視性和控制能力,還能對 pod 進行相互區隔和隔離。
收益有哪些?我們先來談談成果
自從在雲端中部署 Palo Alto Networks VM-Series 以來,我們已經節省大量用來確認和解決客戶問題的時間。我們基於 3 個原因選擇 Palo Alto Networks:
- Palo Alto Networks VM-Series 能夠與 Azure AD 進行原生整合。 我們能夠使用 Azure AD SSO 集中控制所有使用者的上線/離線,包括活動和稽核記錄。
- 透過 Panorama 集中管理防火牆的能力也讓我們受益良多。對於保持最新的設定狀態和所有防火牆軟體版本而言,管理所有防火牆極為重要。
- VM-Series 可透過基礎結構即程式碼 (IaC) 部署。 我們能夠使用程式編輯的方式,在幾分鐘內將 VM-Series 與其他基礎架構元件部署在雲端中。因此,我們可以在所有地區採用同樣的做法。
下面是我的一些主要想法和建議:
- 建立安全措施,將營運工作與 IT 區分開:如果不這麼做,可能會犧牲雲端提供的敏捷性效益。
- 您可以在雲端中擴展安全措施。運用 Azure AD 之類的雲端原生服務,很容易就能擴展安全措施。您可以在雲端中輕鬆驗證使用者,完全不需要連線回內部部署。
- 選擇可以作為 IaC 進行管理的安全產品。使用基礎結構即程式碼的 Palo Alto Networks 產品幫助我們取得極大的成功。我們實現了高度安全性和低延遲,並縮短了為客戶支援提供解決方案的時間。