- 企業(yè)推廣分銷B2B平臺(tái)
- 累計(jì)為企業(yè)宣傳展示1.2億次以上
- 分銷模式,讓每個(gè)人都愿意幫您做生意
- 30多萬(wàn)銷售員注冊(cè),快速對(duì)接銷售渠道
一日復(fù)一日,不同規(guī)模的企業(yè)都面臨著網(wǎng)絡(luò)犯罪和惡意內(nèi)部人員的威脅。在2020年,Verizon報(bào)告全球有超過(guò)3,950件被確認(rèn)的數(shù)據(jù)泄露事件,相比前一年幾乎翻倍。這些數(shù)據(jù)泄露影響了幾百萬(wàn)人,造成企業(yè)大量的時(shí)間、金錢和資源損失,并且對(duì)企業(yè)發(fā)展都有深遠(yuǎn)的影響。
傳統(tǒng)防火墻用于數(shù)據(jù)中心內(nèi)部的五大缺陷
在今天快速變化的世界,CISO們需要一種能夠?qū)Τ掷m(xù)增長(zhǎng)的動(dòng)態(tài)負(fù)載與內(nèi)部流量進(jìn)行防御的方式。傳統(tǒng)安全解決方案已經(jīng)不足以應(yīng)對(duì)了。VMware Threat Analysis Unit新發(fā)布了一份威脅報(bào)告中,著重提到了一種新的方案,尤其針對(duì)邊界內(nèi)進(jìn)行防御。在這份報(bào)告中,結(jié)論很明顯:即使部署了主要的邊界防御,惡意人員依然活躍在網(wǎng)絡(luò)中。
VMware的網(wǎng)絡(luò)安全產(chǎn)品市場(chǎng)高級(jí)主管指出了五個(gè)內(nèi)部數(shù)據(jù)中心的傳統(tǒng)防火墻缺陷。
缺陷一:邊界防火墻主要針對(duì)舊流量模式,而非新流量模式
大部分內(nèi)部防火墻是從企業(yè)的邊界防火墻精簡(jiǎn)而來(lái),用于確保南北流量安全。然而,在現(xiàn)代數(shù)據(jù)中心中,有大量的東西流量,意味著數(shù)據(jù)中心內(nèi)有很多平行移動(dòng)的情況。隨著越來(lái)越多的一體化應(yīng)用被部署或者重建到分布式應(yīng)用中,如今東西向流量已經(jīng)遠(yuǎn)超南北向流量。
太多組織犯了將自己傳統(tǒng)邊界防火墻改造后保護(hù)內(nèi)部網(wǎng)絡(luò)的錯(cuò)誤。雖然這件事看上去很吸引人,但是用邊界防火墻監(jiān)測(cè)東西流量不僅昂貴,而且還在管控大量動(dòng)態(tài)負(fù)載的強(qiáng)度和性能上十分低效。
缺陷二:邊界防火墻缺少延展性
用邊界防火墻監(jiān)測(cè)南北流量一般不會(huì)產(chǎn)生性能瓶頸,因?yàn)榱髁恳?guī)模并沒(méi)有東西流量那么大。但是如果企業(yè)用邊界防火墻監(jiān)測(cè)所有(或者大部分)東西流量,成本和復(fù)雜性會(huì)幾何級(jí)增長(zhǎng)到企業(yè)根本無(wú)法解決的地步。
缺陷三:發(fā)卡對(duì)頭發(fā)不錯(cuò),但是對(duì)數(shù)據(jù)中心流量可不好
如果邊界防火請(qǐng)被用于監(jiān)測(cè)東西流量,流量會(huì)被強(qiáng)制從一個(gè)中心化的設(shè)備進(jìn)出,從而導(dǎo)致發(fā)卡流量模式的產(chǎn)生,會(huì)造成大量的網(wǎng)絡(luò)資源使用。除了會(huì)增加延遲,無(wú)論是從網(wǎng)絡(luò)設(shè)計(jì)還是從網(wǎng)絡(luò)運(yùn)行層面來(lái)看,發(fā)卡內(nèi)部網(wǎng)絡(luò)流量還會(huì)增加網(wǎng)絡(luò)的復(fù)雜性。網(wǎng)絡(luò)在設(shè)計(jì)的時(shí)候必須考慮到會(huì)有額外的發(fā)卡流量穿過(guò)邊界防火墻。在運(yùn)營(yíng)層面,安全運(yùn)營(yíng)團(tuán)隊(duì)必須貼合網(wǎng)絡(luò)設(shè)計(jì),并且留意給防火墻額外流量時(shí)的限制。
缺陷四:邊界防火墻不提供清晰的可視化能力
監(jiān)測(cè)東西流量并貫徹顆粒度策略要求到負(fù)載等級(jí)的可視化能力。標(biāo)準(zhǔn)的邊界防火墻沒(méi)有對(duì)負(fù)載交互的高可視化能力,也沒(méi)有微隔離服務(wù)建造現(xiàn)代化的分布式應(yīng)用。缺乏應(yīng)用流的可視化能力會(huì)讓創(chuàng)建和執(zhí)行負(fù)載或者單獨(dú)流量等級(jí)的規(guī)則極度困難。
缺陷五:我有安全策略了,但應(yīng)用在哪?
傳統(tǒng)的防火墻管理界面被設(shè)計(jì)于管理幾十個(gè)分離的防火墻,但并不是設(shè)計(jì)支持帶有自動(dòng)化配置安全策略的負(fù)載靈活能力。因此,當(dāng)邊界防火墻被用作內(nèi)部防火墻的時(shí)候,網(wǎng)絡(luò)和安全運(yùn)營(yíng)人員必須在一個(gè)新的工作負(fù)載創(chuàng)建的時(shí)候,手動(dòng)建立新的安全策略;并且當(dāng)一個(gè)負(fù)載被移除或者停用的時(shí)候,修改這些策略。
用零信任重新思考內(nèi)部數(shù)據(jù)中心安全
在這些缺陷的情況下,現(xiàn)在是時(shí)候重新思考內(nèi)部數(shù)據(jù)中心安全,并且開(kāi)始應(yīng)用零信任安全了。如果傳統(tǒng)的邊界防火墻不適合,或者無(wú)法有效地成為內(nèi)部防火墻,那哪種解決方案是最適合監(jiān)測(cè)東西流量?基于上述的缺陷,組織應(yīng)該開(kāi)始考量防火墻的支持以下能力:
分布式和顆粒度執(zhí)行安全策略。
可延展性以及吞吐量,在不影響性能的情況下處理大流量。
對(duì)網(wǎng)絡(luò)和服務(wù)器架構(gòu)低影響。
應(yīng)用內(nèi)可視化。
負(fù)載移動(dòng)性與自動(dòng)化策略管理。
一個(gè)邊界防火墻要滿足這些要求,無(wú)法避免地會(huì)有極高的成本和復(fù)雜性,還可能會(huì)發(fā)生大量的安全失效事件。但是,一個(gè)分布式的軟件定義方案是部署內(nèi)部防火墻監(jiān)測(cè)東西流量的最有效方式,一個(gè)正確的軟件定義內(nèi)部防火墻方案可以可延展地、低成本地、高效地保護(hù)成千上萬(wàn)的工作負(fù)載,橫跨數(shù)千個(gè)應(yīng)用;同時(shí)在數(shù)據(jù)中心啟用零信任模型,可以幫助企業(yè)更進(jìn)一步實(shí)現(xiàn)整體的零信任安全框架。
點(diǎn)評(píng)
當(dāng)外部的邊界逐漸模糊以后,威脅在內(nèi)部的橫向移動(dòng)就更需要注意,以便能夠第一時(shí)間發(fā)現(xiàn)攻擊并將攻擊限制在有限范圍內(nèi)。因此,數(shù)據(jù)中心內(nèi)部的防護(hù)需要應(yīng)對(duì)大量的東西向流量,在復(fù)雜的內(nèi)部環(huán)境中獲得可視化能力。這需要基于零信任構(gòu)建網(wǎng)絡(luò),并使用微隔離對(duì)網(wǎng)絡(luò)分區(qū)進(jìn)行管理。