網絡安全基礎設施融合:你的策略是什么?
對于企業網絡安全問題,單一產品已經不能滿足需要。對于更多的要求,我們需要將網絡安全軟件以及設備進行融合。迫于數據中心管理費用和能耗縮減的壓力,企業開始打算融合網絡安全基礎設施來渡過難關。供應商們也正在根據這種情況進行產品調整,其范圍囊括了從開放式機架上的多廠商軟件,到將安全性融合到網絡基礎設備組件上。
Cisco公司的防火墻服務模塊(FWSM),就是可加載在Catalyst 6500機架交換機中的刀片,這樣企業就可以直接在核心網絡中部署安全設備。Enterasys網絡已把這些安全技術直接寫進了整個的交換機文件中。
“這是防火墻服務模塊的優勢,” Santa Clara大學通訊與安全部門的網絡管理員Todd Schmitzer說。“無論如何,機架是必須存在的,而這個防火墻服務模塊就像插在機架中的刀片。”
網絡安全硬件和軟件供應商也將許多網絡安全技術——包括防火墻,入侵檢測以及VPN技術——融合到了一個設備中。Juniper是通過其ISG集成安全網關和SRX系列服務網關來實現的。而Cisco則是研發出了自適應安全設備5500系列。其他供應商,如Check Point、Fortinet以及SonicWall則在幾年前就開始致力于防火墻、IDS/IPS、反病毒程序、反垃圾郵件、內容過濾以及其他用于 統一威脅管理 (UTM)設備中的技術。所有這些措施都可以通過減少企業在數據中心內部署的物理安全設備數量,來有效縮減IT管理費用和能源消耗。
把網絡安全軟件融合到一個大型機架中
Fiserv Inc.,一家資產達41億美元的金融服務科技公司,為數千家金融公司處理在線銀行交易服務,在防火墻技術升級后,對其重要的網絡安全基礎設施做部分合并,Fiserv信息安全總監Rich Isenberg說。
七年前,因Fiserv公司快速的網絡擴張,使得遺留的Check Point防火墻成為了其發展的瓶頸。
“當時,我們正處于高峰期,” Isenberg說。“我們公司的防火墻設施成為了網絡中的一個關鍵節點。我們使用了Nokia設備來運行Check Point防火墻,但無法滿足我們的流量需求,我們不得不增加設備來保證系統性能。”
Isenberg當時的想法是寧愿讓更多的Check Point 防火墻加載在更多的Nokia IP設備上,Isenberg還租了一個獨立的實驗室,用于比較從各種網絡安全硬件與軟件供應商那里購買的產品。實驗結果是,在Crossbeam的網絡安全機架硬件上運行Check Point的防火墻軟件,是最能滿足Fiserv公司IT環境需求的。Crossbeam制造的一系列吞吐量為5到40Gbps的4-, 7- 以及 14-刀片模塊機架,則用于運行多種第三方網絡安全產品。
“最初我們只把Crossbeam當做加固防火墻硬件的一種方法,” Isenberg說。“最終,我們融合了數據中心中核心平臺上的防火墻和入侵檢測設備。我們把數據中心中的物理防火墻和入侵檢測設備的數量從23臺減少到了7臺。在隨后的幾年,我們還在Crossbeam硬件中增加了數據庫防火墻和 web應用防火墻”。
Isenberg表示,在這四年中,融合網絡安全設施管理費用的縮減,對收回在Crossbeam機架上的投資是有一定幫助的。
“這使得我們能夠以較低的毛利率獲得較高的系統可用性和穩定性,”他說。“自從我們削減了實際使用的設備數量(網絡安全硬件和軟件設備),我們所需要的操作人員數量也隨之減少了。不用再為這50多個硬件做50多次的設備升級了,現在我們只需要做七到八次就可以了。在相同水平內,我們不需要擴大規模就可以讓業務實現不斷增長。同時還降低了許可數量和維護費用。”
安全基礎設施融合:趨于多供應商模式
由于大多數網絡安全設施供應商以封閉式平臺硬件設備的方式供應其產品,多廠商方式就變的非常棘手。盡管如此,還是有辦法將來自各廠商的多種網絡安全軟件產品融合至一個單一硬件上的,比如Crossbeam機架或是IBM、HP、Dell 或 HP的多用途刀片服務器機架。
“Crossbeam允許我們選擇最佳的安全產品,并運行在相同的設備中。如果我們需要入侵防御刀片,我們可以載入一個IBM的安全網絡IPS。我們可以在下一個刀片上載入Sourcefire。在另外的刀片上載入來自Imperva的web應用防火墻,數據庫防火墻。”
這種機架部署方式同樣可以支持Fiserv按其需求增加其網絡安全設施的性能。
“如果機柜中沒有多余的位置,而你又想增加系統性能,你可以將Check Point防火墻部署在一個刀片上。”他說。“只需要在機架中再放一個刀片,網絡無需大的改變就可以擴展到所需的性能,不需要重新布線、不需要添加額外硬件。而且所有這些都在同一個背板上,所以你無需顧慮tap端口和span端口,不需要考慮把這些流量路由到其他位置。”
當企業要把網絡安全軟件產品融合到其他第三方硬件上時,他們需要確保這些軟件和硬件供應商彼此能夠較好地合作,或者網絡安全設施管理人員能夠處理復雜的問題。例如,Crossbeam已經與Check Point、 McAfee確定了市場合作伙伴關系。而在標準服務器中部署Check Point防火墻就是另外一回事了。
“你可以在銷售服務器及安裝軟件的地方,買到這些產品” Santa Clara大學Schmitzer說。“雖然我不反對這么做,但部分決策都要考慮系統復雜性。部署時的復雜性是什么,是否包括各種產品間的兼容性?你是否真的愿意在一個關于安全的解決方案中涉及到兩個不同的供應商?一旦出了問題,到底誰該負責?所以說,相比兩個供應商來說,我們更贊成只選擇一個供應商做全部的事。”
雖然現在Schmitzer的防火墻基礎設施里,包括了Catalyst 6500核心網絡中的Cisco FWSM,以及邊界網絡中的Palo Alto網絡防火墻,但其十多年前部署的遺留防火墻卻帶來了如何同時管理網絡安全硬件和軟件供應商的問題。當時他為Nokia IP設備購買了Check Point防火墻,由于這兩家廠商存在著合作伙伴關系,所以有些效果。
【編輯推薦】
