传统防火墙用于数据中心内部的五大缺陷;行业技术;商名网

傳統防火墻用于數據中心內部的五大缺陷

時間: 2021-09-09 20:21

字體大小：大中小

　　一(yi)日(ri)復一(yi)日(ri)，不同規模的(de)企(qi)業都面臨著網(wang)絡犯(fan)罪(zui)和(he)惡意內部人員的(de)威脅(xie)。在2020年，Verizon報告全(quan)球有(you)(you)超過3,950件被確認(ren)的(de)數據(ju)泄露事(shi)件，相比(bi)前(qian)一(yi)年幾(ji)乎(hu)翻倍。這(zhe)些數據(ju)泄露影(ying)響了幾(ji)百萬人，造成企(qi)業大量的(de)時間、金錢和(he)資(zi)源損失(shi)，并且對企(qi)業發展都有(you)(you)深遠的(de)影(ying)響。

　　傳統防火墻用于數據中心內部的五大缺陷

　　在今天快速變化(hua)的(de)世界，CISO們(men)需(xu)要一(yi)種(zhong)(zhong)能夠對(dui)持續(xu)增長的(de)動態負載與內(nei)部(bu)流量進行(xing)防(fang)御的(de)方式。傳統安(an)全解(jie)決方案已經不足以應對(dui)了(le)(le)。VMware Threat Analysis Unit新(xin)發布了(le)(le)一(yi)份威脅報告(gao)中(zhong)，著重提到了(le)(le)一(yi)種(zhong)(zhong)新(xin)的(de)方案，尤其(qi)針對(dui)邊界內(nei)進行(xing)防(fang)御。在這份報告(gao)中(zhong)，結論很明(ming)顯：即使部(bu)署了(le)(le)主要的(de)邊界防(fang)御，惡(e)意人(ren)員依然活躍在網(wang)絡中(zhong)。

　　VMware的網絡安全產品市場高級主管指出了五個內部數據中心的傳統防火墻缺陷。

　　缺陷一：邊界防火墻主要針對舊流量模式，而非新流量模式

　　大(da)部分(fen)內部防(fang)火(huo)墻是(shi)從企(qi)業的(de)邊界防(fang)火(huo)墻精簡而來(lai)，用于確(que)保南北(bei)流量安全(quan)。然而，在現代數(shu)據(ju)中(zhong)(zhong)心中(zhong)(zhong)，有大(da)量的(de)東西流量，意味著(zhu)數(shu)據(ju)中(zhong)(zhong)心內有很多(duo)平行移動的(de)情況。隨著(zhu)越來(lai)越多(duo)的(de)一體化(hua)應(ying)用被(bei)部署或(huo)者重建到(dao)分(fen)布式應(ying)用中(zhong)(zhong)，如今(jin)東西向(xiang)流量已經(jing)遠超南北(bei)向(xiang)流量。

　　太(tai)多組織犯了將自己(ji)傳統(tong)邊界防火墻(qiang)改造后保護內(nei)部網絡的錯誤。雖(sui)然這(zhe)件事(shi)看(kan)上去很吸(xi)引人，但是(shi)用(yong)邊界防火墻(qiang)監(jian)測東(dong)西流量(liang)(liang)不(bu)僅昂(ang)貴，而且還在管(guan)控(kong)大量(liang)(liang)動態負載的強度和性能上十分低效。

　　缺陷二：邊界防火墻缺少延展性

　　用邊(bian)界防(fang)火墻(qiang)監(jian)測(ce)南北流量(liang)一般不(bu)會(hui)產(chan)生性能(neng)瓶頸，因為流量(liang)規模并沒(mei)有(you)東(dong)西流量(liang)那(nei)么(me)大(da)。但是如果(guo)企業(ye)用邊(bian)界防(fang)火墻(qiang)監(jian)測(ce)所有(you)(或(huo)者大(da)部(bu)分(fen))東(dong)西流量(liang)，成(cheng)本和復雜性會(hui)幾何級(ji)增長到企業(ye)根本無法(fa)解(jie)決的地(di)步(bu)。

　　缺陷三：發卡對頭發不錯，但是對數據中心流量可不好

　　如果邊界防火(huo)請被(bei)用于監測東西流量，流量會(hui)(hui)被(bei)強制從一(yi)個中心化的(de)(de)設(she)備進出，從而導致發卡(ka)流量模式的(de)(de)產(chan)生，會(hui)(hui)造成大量的(de)(de)網(wang)絡(luo)(luo)資源使用。除了會(hui)(hui)增加延遲，無論(lun)是(shi)從網(wang)絡(luo)(luo)設(she)計還(huan)是(shi)從網(wang)絡(luo)(luo)運行層(ceng)面來看(kan)，發卡(ka)內(nei)部(bu)網(wang)絡(luo)(luo)流量還(huan)會(hui)(hui)增加網(wang)絡(luo)(luo)的(de)(de)復(fu)雜(za)性。網(wang)絡(luo)(luo)在設(she)計的(de)(de)時候必(bi)須(xu)考慮(lv)到會(hui)(hui)有額外(wai)的(de)(de)發卡(ka)流量穿過邊界防火(huo)墻。在運營層(ceng)面，安全(quan)運營團隊必(bi)須(xu)貼合網(wang)絡(luo)(luo)設(she)計，并且留意給(gei)防火(huo)墻額外(wai)流量時的(de)(de)限制。

　　缺陷四：邊界防火墻不提供清晰的可視化能力

　　監測東西(xi)流量并貫徹顆粒度策略要(yao)求(qiu)到(dao)負載(zai)等(deng)級(ji)的可視(shi)化(hua)(hua)能力。標準(zhun)的邊界防火墻沒有對負載(zai)交互的高(gao)可視(shi)化(hua)(hua)能力，也沒有微(wei)隔離服(fu)務建造現代化(hua)(hua)的分(fen)布(bu)式應(ying)(ying)用。缺乏應(ying)(ying)用流的可視(shi)化(hua)(hua)能力會讓創(chuang)建和執行負載(zai)或者(zhe)單獨流量等(deng)級(ji)的規則(ze)極度困(kun)難。

　　缺陷五：我有安全策略了，但應用在哪?

　　傳統的(de)(de)防(fang)(fang)火墻(qiang)(qiang)管理界面被(bei)設計(ji)于管理幾十個分離的(de)(de)防(fang)(fang)火墻(qiang)(qiang)，但并不是設計(ji)支持(chi)帶有自(zi)動化配置(zhi)安全策略的(de)(de)負載靈活能力。因(yin)此，當邊(bian)界防(fang)(fang)火墻(qiang)(qiang)被(bei)用(yong)作內部防(fang)(fang)火墻(qiang)(qiang)的(de)(de)時(shi)候，網絡和安全運營人員必須在一個新(xin)(xin)的(de)(de)工作負載創(chuang)建(jian)的(de)(de)時(shi)候，手動建(jian)立新(xin)(xin)的(de)(de)安全策略;并且當一個負載被(bei)移(yi)除(chu)或者停(ting)用(yong)的(de)(de)時(shi)候，修改這(zhe)些策略。

　　用零信任重新思考內(nei)部數據中心安全

　　在(zai)這些缺(que)陷(xian)的情況下，現在(zai)是時候重新(xin)思考內部數據中心安全，并(bing)且(qie)開(kai)始(shi)應用(yong)零信任安全了(le)。如果傳統的邊界防火墻(qiang)(qiang)不(bu)適合，或者無法有效地成為(wei)內部防火墻(qiang)(qiang)，那哪(na)種解決方案是最適合監測(ce)東西流量(liang)?基于(yu)上(shang)述的缺(que)陷(xian)，組織應該開(kai)始(shi)考量(liang)防火墻(qiang)(qiang)的支持(chi)以下能力：

　　分布(bu)式(shi)和顆粒度執行安全策(ce)略(lve)。

　　可延展性以及吞吐量，在不影(ying)響性能的情況下處理大流量。

　　對網(wang)絡和服務(wu)器架構低(di)影響。

　　應用內可視化。

　　負(fu)載移動性(xing)與自動化(hua)策略管理(li)。

　　一個邊(bian)界防(fang)(fang)火墻(qiang)要滿足這些(xie)要求，無(wu)法避免地(di)會有極高(gao)的成(cheng)本和復雜性，還可(ke)(ke)能會發生(sheng)大(da)量(liang)(liang)的安全失(shi)效事件(jian)(jian)。但是(shi)，一個分(fen)布(bu)式(shi)的軟(ruan)件(jian)(jian)定義方(fang)案是(shi)部(bu)署(shu)內(nei)部(bu)防(fang)(fang)火墻(qiang)監測東西流量(liang)(liang)的最(zui)有效方(fang)式(shi)，一個正確的軟(ruan)件(jian)(jian)定義內(nei)部(bu)防(fang)(fang)火墻(qiang)方(fang)案可(ke)(ke)以可(ke)(ke)延展地(di)、低成(cheng)本地(di)、高(gao)效地(di)保(bao)護成(cheng)千上萬的工作負(fu)載，橫跨數(shu)千個應用(yong);同時在數(shu)據中(zhong)心(xin)啟(qi)用(yong)零信任模型，可(ke)(ke)以幫(bang)助企業更進一步實現(xian)整體的零信任安全框架(jia)。

　　點評

　　當外(wai)部的(de)邊(bian)界逐漸模(mo)糊以(yi)后(hou)，威脅在內(nei)部的(de)橫向(xiang)移動就更需要(yao)注意(yi)，以(yi)便能夠第一時間(jian)發現攻(gong)擊(ji)并將攻(gong)擊(ji)限(xian)制在有(you)限(xian)范圍內(nei)。因此(ci)，數據(ju)中心內(nei)部的(de)防護需要(yao)應對大量的(de)東西向(xiang)流(liu)量，在復雜的(de)內(nei)部環境中獲得(de)可視化(hua)能力。這需要(yao)基于零信任構(gou)建網絡，并使用(yong)微(wei)隔離對網絡分區進(jin)行管(guan)理(li)。

相關熱點

熱圖推薦