針對云原生環(huán)境下的網(wǎng)絡安全策略， Palo Alto Networks（派拓網(wǎng)絡）中國區(qū)大客戶技術總監(jiān)張晨建議采取三大舉措：

第一，在云原生應用整個生命周期中具備全面的可視化能力，了解威脅形勢和所面臨的風險；

第二，在云上應用投產(chǎn)生效時，要對相關應用本身可能遭遇到的安全攻擊進行高效準確的檢測，提前建立包括與云原生相關聯(lián)的網(wǎng)絡、端點與上下游供應鏈廠家在內的安全機制；

最后，還要提升安全管理的整體效率，使企業(yè)IT管理部門能夠在一個平臺上對整個云原生的生命周期進行全方位的安全策略管理，取代傳統(tǒng)單人管理多個缺乏關聯(lián)性的產(chǎn)品，最大程度地提高安全效率，同時優(yōu)化總體擁有成本。

這就是Palo Alto Networks（派拓網(wǎng)絡）應對網(wǎng)絡安全趨勢變化下零信任網(wǎng)絡訪問（ZTNA）的指導思想。

零信任網(wǎng)絡訪問（ZTNA）指導思想

張晨表示，所謂“零信任”，就是不信任網(wǎng)絡上的任何一個元素，把安全策略帶入到每一個細節(jié)。但是，什么是真正的零信任接入的網(wǎng)絡，什么樣的方案才是最適合自己的？選擇成熟的零信任解決方案需要規(guī)避哪些誤區(qū)？

“真正零信任網(wǎng)絡接入的架構應該具備最小權限的訪問原則，具備持續(xù)不斷的身份校驗和安全檢查能力，并且在提供數(shù)據(jù)保護的項目中覆蓋所有的數(shù)據(jù)類型和應用類型，以零信任的指導思想來保護整個網(wǎng)絡?！睆埑拷榻B了Palo Alto Networks（派拓網(wǎng)絡）幫助客戶構建零信任網(wǎng)絡的五個步驟：

首先，定義保護對象與范疇（Define the protect surface），幫助客戶進行有效的梳理，給企業(yè)最重要的應用打上標簽；

其次，在梳理之后對應用業(yè)務流程分解（Map the transaction flows），并通過技術手段幫助客戶查看與這些應用相關的所有通信數(shù)據(jù)流、服務器架構中是否存在安全隱患，包括配置和網(wǎng)絡流量中是否攜帶惡意代碼、攻擊等；

第三，建立基于保護區(qū)域構建隔離網(wǎng)絡（Architect a Zero Trust network）；

第四，根據(jù)這些情況幫助客戶針對不同業(yè)務網(wǎng)絡有的放矢部署相應的零信任策略（Create Zero Trust policy）；

第五，實現(xiàn)有效率的監(jiān)控及運維（Monitor and maintain）。

基于Palo Alto Networks（派拓網(wǎng)絡）的豐富的研發(fā)經(jīng)驗與成功實踐，張晨認為，構建零信任網(wǎng)絡并不是非常復雜的大工程，只需按照業(yè)務的優(yōu)先級別和重要性逐步開展工作，這個在很多客戶應用中也得到了驗證。

Palo Alto Networks（派拓網(wǎng)絡）下一代網(wǎng)絡安全平臺

Palo Alto Networks（派拓網(wǎng)絡）云原生安全防護平臺Prisma Cloud 3.0是一個高度集中化、具備高智能的網(wǎng)絡安全平臺，它由網(wǎng)絡安全、云安全和終端安全三個主要部分組成；從客戶一開始的軟件開發(fā)階段就內置完善的安全策略，所有信息都匯總到自動化安全運營平臺上進行統(tǒng)一的監(jiān)控和管理以及智能化編排，對所有安全事件都集成到統(tǒng)一的數(shù)據(jù)分析單元通過人工智能和機器學習技術進行自動化分析，幫助客戶改變大量以人工低效的方式做的安全運營，滿足客戶在云原生應用下全生命周期的的整體安全體驗，實現(xiàn)網(wǎng)絡安全轉型、提供全方位的云原生安全，最終徹底改變安全運營。

Prisma Cloud 3.0包括5大功能模塊，從云原生代碼開發(fā)的環(huán)境、云上安全威脅態(tài)勢感知、云原生應用運行過程中、云網(wǎng)絡安全以及云身份安全在內的所有安全需求，在一個高度集成且能夠覆蓋全生命周期的環(huán)境下為客戶提供支持，這是目前業(yè)界唯一一個能夠進行云原生應用全生命周期覆蓋的統(tǒng)一平臺。

作為一個整合的平臺，Prisma Cloud 3.0無需管理多個不同的產(chǎn)品，通過代理的方式幫助客戶對云上的應用資源進行全面可視化的管理，大大簡化了云原生應用環(huán)境下的工作負載。

支撐這些進行高效并且智能化的安全運營操作的是Palo Alto Networks（派拓網(wǎng)絡）遍布全球的安全運營情報網(wǎng)絡。

正因為有了對于安全威脅實時跟蹤的安全追蹤網(wǎng)絡，才能讓前端的事件處置變得高效和準確。

Palo Alto Networks（派拓網(wǎng)絡）贏得了業(yè)界知名的第三方評估機構的高度評價，目前全球企業(yè)用戶已經(jīng)超過2000家，保護資產(chǎn)超過40億美元，受保護工作負載超過200萬個，每周處理云相關事件約7000。企業(yè)客戶正在不斷擴展自己在云原生環(huán)境下資源負載的使用，選擇Palo Alto Networks（派拓網(wǎng)絡）的云原生解決方案對應用環(huán)境進行保護。

不斷深化的主流云生態(tài)合作

很多客戶會選擇主流的云服務商來保證上云的體驗。

公有云廠商通常提供的是使用過程中在線的時效性、本身的連通性等，保證云上基礎設施的業(yè)務連續(xù)性，但對企業(yè)在云上運行的應用安全，其職責應由企業(yè)自己承擔，尤其是大量的應用運行在跨云環(huán)境，導致不少企業(yè)客戶在選擇云廠商的時候忽視了安全問題，或者遇到安全問題的時候手足無措。

Palo Alto Networks（派拓網(wǎng)絡）和亞馬遜云科技、Azure、阿里等都有非常深入的合作，與亞馬遜云科技建立了全面戰(zhàn)略合作伙伴的關系，通過了其在安全、容器、DevOps、網(wǎng)絡等方面的能力認證，實現(xiàn)了對亞馬遜云科技的云上資源的監(jiān)控能力、計算能力的全面集成，為共同的中國以及全球客戶提供集成和擴展的Prisma Cloud平臺支持。

作為專業(yè)的第三方安全廠商，Palo Alto Networks（派拓網(wǎng)絡）對云原生應用全生命周期的安全需求和安全能力都有覆蓋。這也是Palo Alto Networks（派拓網(wǎng)絡）這樣專業(yè)且跨多云環(huán)境的云原生解決方案供應商受到大量企業(yè)青睞的原因。

護航客戶數(shù)字化轉型

對云原生應用采用比較多的是金融業(yè)和制造業(yè)客戶，尤其像大型銀行，他們在容器化的環(huán)境中會整個把門戶類的關鍵性業(yè)務都接入到云原生的容器化平臺里，對安全的需求更加強烈。

隨著新技術的不斷發(fā)展，各行各業(yè)擁抱云、走向云、加速數(shù)字化轉型過程中的困擾和疑惑始終不斷。作為網(wǎng)絡安全特別是云原生安全領域的領頭羊，Palo Alto Networks（派拓網(wǎng)絡）一直在為幫助客戶加速數(shù)字化轉型的進程而努力。

在本地，Palo Alto Networks（派拓網(wǎng)絡）秉持的是“在中國、為中國”理念。

xiesc