2025年信息技术基础设施与网络安全手册.docxVIP

2025年信息技术基础设施与网络安全手册

第1章

1.1混合云架构下的安全边界重构

在2025年的混合云环境中，安全边界已从传统的“防火墙+网关”转变为基于零信任模型的动态信任边界。企业需部署云原生防火墙（CNF）与零信任网关（ZTG），对内部流量与外部流量实施分级分类策略。例如，通过配置云安全组（CloudSecurityGroups）与网络边界防火墙（NBF）联动，将生产环境流量限制在最小必要端口（如443端口），并启用IPS特征库（如基于Snort的实时威胁检测），确保即使内部服务器被攻破，攻击者也无法横向移动。针对混合云特有的数据孤岛问题，必须实施数据分类分级控制策略。利用数据标签（DataTags）将敏感数据（如PII、核心商业机密）与一般数据（如日志、备份文件）物理或逻辑隔离。具体操作包括在混合云控制器（HCC）上配置数据访问策略（DAP），禁止非授权账号访问生产数据库，并启用数据加密传输（TLS1.3+）与静态数据加密（SDE），确保数据在传输与静止状态下均符合GDPR及等保2.0最新要求。

混合云环境下的身份认证面临身份碎片化挑战，需建立统一的认证中心（CASB）与多因素认证（MFA）体系。2025年的最佳实践是强制所有访问核心系统的用户启用硬件密钥（HSM）或生物特征验证，并部署多因子认证（MFA）网关（如Du