傳統防火墻用于數據中心內部的五大缺陷
發(fā)布時(shí)間:2021-11-03 14:07
來(lái)源:數世咨詢(xún)
閱讀:0
作者:星云
欄目: 服務(wù)器
歡迎投稿:712375056
VMware的網(wǎng)絡(luò )安全產(chǎn)品市場(chǎng)高級主管DhruvJain指出了五個(gè)內部數據中心的傳統防火墻缺陷�。
一日復一日����,不同規模的企業(yè)都面臨著(zhù)網(wǎng)絡(luò )犯罪和惡意內部人員的威脅�。在2020年��,Verizon報告全球有超過(guò)3,950件被確認的數據泄露事件�����,相比前一年幾乎翻倍��。這些數據泄露影響了幾百萬(wàn)人��,造成企業(yè)大量的時(shí)間���、金錢(qián)和資源損失����,并且對企業(yè)發(fā)展都有深遠的影響�����。
在今天快速變化的世界���,CISO們需要一種能夠對持續增長(cháng)的動(dòng)態(tài)負載與內部流量進(jìn)行防御的方式�����。傳統安全解決方案已經(jīng)不足以應對了���。VMware Threat Analysis Unit新發(fā)布了一份威脅報告中�,著(zhù)重提到了一種新的方案��,尤其針對邊界內進(jìn)行防御���。在這份報告中�,結論很明顯:即使部署了主要的邊界防御�,惡意人員依然活躍在網(wǎng)絡(luò )中����。
VMware的網(wǎng)絡(luò )安全產(chǎn)品市場(chǎng)高級主管DhruvJain指出了五個(gè)內部的傳統缺陷�����。
缺陷一:邊界防火墻主要針對舊流量模式�,而非新流量模式
大部分內部防火墻是從企業(yè)的邊界防火墻精簡(jiǎn)而來(lái)���,用于確保南北流量安全��。然而�����,在現代數據中心中�����,有大量的東西流量��,意味著(zhù)數據中心內有很多平行移動(dòng)的情況�。隨著(zhù)越來(lái)越多的一體化應用被部署或者重建到分布式應用中��,如今東西向流量已經(jīng)遠超南北向流量�����。
太多組織犯了將自己傳統邊界防火墻改造后保護內部網(wǎng)絡(luò )的錯誤�����。雖然這件事看上去很吸引人�����,但是用邊界防火墻監測東西流量不僅昂貴�����,而且還在管控大量動(dòng)態(tài)負載的強度和性能上十分低效����。
缺陷二:邊界防火墻缺少延展性
用邊界防火墻監測南北流量一般不會(huì )產(chǎn)生性能瓶頸�����,因為流量規模并沒(méi)有東西流量那么大��。但是如果企業(yè)用邊界防火墻監測所有(或者大部分)東西流量�����,成本和復雜性會(huì )幾何級增長(cháng)到企業(yè)根本無(wú)法解決的地步���。
缺陷三:發(fā)卡對頭發(fā)不錯��,但是對數據中心流量可不好
如果邊界防火請被用于監測東西流量�����,流量會(huì )被強制從一個(gè)中心化的設備進(jìn)出�,從而導致發(fā)卡流量模式的產(chǎn)生�����,會(huì )造成大量的網(wǎng)絡(luò )資源使用��。除了會(huì )增加延遲�,無(wú)論是從網(wǎng)絡(luò )設計還是從網(wǎng)絡(luò )運行層面來(lái)看�����,發(fā)卡內部網(wǎng)絡(luò )流量還會(huì )增加網(wǎng)絡(luò )的復雜性��。網(wǎng)絡(luò )在設計的時(shí)候必須考慮到會(huì )有額外的發(fā)卡流量穿過(guò)邊界防火墻����。在運營(yíng)層面����,安全運營(yíng)團隊必須貼合網(wǎng)絡(luò )設計��,并且留意給防火墻額外流量時(shí)的限制����。
缺陷四:邊界防火墻不提供清晰的可視化能力
監測東西流量并貫徹顆粒度策略要求到負載等級的可視化能力�����。標準的邊界防火墻沒(méi)有對負載交互的高可視化能力����,也沒(méi)有微隔離服務(wù)建造現代化的分布式應用�。缺乏應用流的可視化能力會(huì )讓創(chuàng )建和執行負載或者單獨流量等級的規則極度困難�。
缺陷五:我有安全策略了�,但應用在哪?
傳統的防火墻管理界面被設計于管理幾十個(gè)分離的防火墻��,但并不是設計支持帶有自動(dòng)化配置安全策略的負載靈活能力����。因此���,當邊界防火墻被用作內部防火墻的時(shí)候�,網(wǎng)絡(luò )和安全運營(yíng)人員必須在一個(gè)新的工作負載創(chuàng )建的時(shí)候���,手動(dòng)建立新的安全策略;并且當一個(gè)負載被移除或者停用的時(shí)候��,修改這些策略��。
用零信任重新思考內部數據中心安全
在這些缺陷的情況下����,現在是時(shí)候重新思考內部數據中心安全�����,并且開(kāi)始應用零信任安全了��。如果傳統的邊界防火墻不適合��,或者無(wú)法有效地成為內部防火墻�����,那哪種解決方案是最適合監測東西流量?基于上述的缺陷��,組織應該開(kāi)始考量防火墻的支持以下能力:
-
分布式和顆粒度執行安全策略����。
-
可延展性以及吞吐量�,在不影響性能的情況下處理大流量�����。
-
對網(wǎng)絡(luò )和服務(wù)器架構低影響�����。
-
應用內可視化�。
-
負載移動(dòng)性與自動(dòng)化策略管理�。
一個(gè)邊界防火墻要滿(mǎn)足這些要求�,無(wú)法避免地會(huì )有極高的成本和復雜性���,還可能會(huì )發(fā)生大量的安全失效事件���。但是��,一個(gè)分布式的軟件定義方案是部署內部防火墻監測東西流量的最有效方式����,一個(gè)正確的軟件定義內部防火墻方案可以可延展地��、低成本地����、高效地保護成千上萬(wàn)的工作負載��,橫跨數千個(gè)應用;同時(shí)在數據中心啟用零信任模型�,可以幫助企業(yè)更進(jìn)一步實(shí)現整體的零信任安全框架�����。
點(diǎn)評
當外部的邊界逐漸模糊以后�����,威脅在內部的橫向移動(dòng)就更需要注意�����,以便能夠第一時(shí)間發(fā)現攻擊并將攻擊限制在有限范圍內����。因此�����,數據中心內部的防護需要應對大量的東西向流量�����,在復雜的內部環(huán)境中獲得可視化能力�����。這需要基于零信任構建網(wǎng)絡(luò )��,并使用微隔離對網(wǎng)絡(luò )分區進(jìn)行管理�����。
原文地址:https://mp.weixin.qq.com/s?__biz=MzkxNzA3MTgyNg==&mid=2247490393&idx=1&sn=23873130297ba6d3ebd0eef9c7947e3d&chksm=c14769e4f630e0f2dc1cb3d8ff91e85783de1faec120f91ba9e8785f1ca55f2b4cf5c856d823&mpshare=1&s
