網絡防火墻已走到盡頭?
網絡防火墻是否已經走到了盡頭?當筆者在幾年前參加TechEd會議時聽到有專家談論“DMZ的末日”,該話題吸引了很多人參與,并且激起了大家的很多爭論,大家都在討論是否仍然存在對防火墻的需求。在當時,大家對于為什么在企業需要多個防火墻具有抵觸情緒并且反對這種做法。當時的想法是,對存儲在網絡中信息的訪問控制最有效的方法就是在信息和想要訪問信息的人之間放置多個“障礙”。
當時還是2004年,自那以后,計算環境已經發生了很大變化,科技領域的變化速度比其他領域都要迅猛。隨后爭論的問題不僅是企業需要多少防火墻和DMZ區域,還包括企業應該使用哪種類型的防火墻。企業是否應該使用高通量狀態數據包檢測,還是只是防火墻?你是否需要應用程序層檢查?目的是否是同時控制內部和外部訪問?是否需要網絡級別的日志記錄和報告?哪個供應商擁有最安全的防火墻?對于所有防火墻設備,你是否應該選擇相同的供應商?還是應該選擇不同的供應商?
云計算改變了一切
現在是2011年,而以上的討論早已“讓位”給當時幾乎沒法設想的東西:關于云安全的考慮。業界很多人都預測2011年將是云的一年。隨著越來越多的企業將很多的信息和很多應用程序轉移到云計算,云供應商提供的安全水平成為熱門話題。企業在將他們的數據委托給企業網絡外的人之前,企業需要問清楚以下問題:
數據存儲在哪里?
是否進行了磁盤加密?
什么是數據持續性的性質?
對數據進行了哪些訪問控制?
云應用程序進行了哪些安全測試?
云應用程序多久進行一次更新?
使用了怎樣的取證方法?是否部署了有效的事件響應計劃?
幾乎對于所有云供應商而言,都很難回答清楚以上問題。微軟、亞馬遜、谷歌和IBM對于云安全措施的細節都沒有完全透明化,不過這也很合情理,因為攻擊者越少知道他們的安全策略,攻擊者就越難滲透這些控制。然而,如果你深度挖掘,你可以找到一些關于他們采取的安全策略的信息,并且你會發現關于云安全討論的有趣事實:關于使用了哪些防火墻或者是否在云數據庫中心使用了防火墻等問題的答案。
你不禁想知道為什么是這樣的情況?尤其是在經過數十年針對防火墻以及防火墻在網絡中發揮的多個關鍵作用問題的討論后。也許是因為“隨時隨地訪問網絡”理念的升溫,企業希望員工能夠在他們需要的時候通過任何設備從任何地點在任何時間訪問數據,而IT安全專家則意識到他們的防火墻實際作用已經越來越小,而頂多是使用防火墻通過防止授權流量訪問互聯網來減少內網整體流量。
云計算和分布式數據可以放在多個地點和多種設備上的性質讓我們意識到在可預見的未來,安全的“成功道路”很可能不是基于防火墻的策略。在20世界第二個十年開始時,數據的高度移動本質意味著,采用基于防火墻的方法來進行數據保護絕對是虧本生意。數據需要在其位置進行保護。
DMZ真的有好處嗎?
當你考慮在大多數環境部署DMZ的問題時,你不得不承認,它們只會讓網絡安全基礎架構變得更加復雜,并且增加防火墻管理員的工作。DMZ被用來分離面向互聯網設備與企業內網,也許這種方法存在一定的安全優勢,但是問題是,前端防火墻允許對聲稱“不安全的”服務的訪問,而后端防火墻允許這種相同的流量接入內網。這種配置的實際安全優勢是什么?你可以說,“垃圾流量”從面向互聯網設備卸下了,但是這些防火墻真的可以“保護”網絡嗎?答案是在大多數情況下它們不能保護,并且所有的防火墻基礎設施最終結果就是讓整個網絡安全管理更加復雜,以及增加業務整體成本。
此外,對數據安全采取的基于網絡的防火墻方法忽略了一個關鍵事實:大多數重大的安全泄漏事故都是由于內部人員共計。最近的維基百科安全災難就是因為內部人員共計,并且研究表明,很多最重大和損失最打的網絡破壞事件都是因為內部人員攻擊。
RSA在2009年的報告表示,內部人員是比攻擊者更大的威脅。
并且2010年Verizon數據泄漏報告顯示,內部人員泄漏事故正在上升。
在網絡邊緣的DMZ和網絡防火墻在阻止這些讓企業處于最大危險之中的高威脅的攻擊方面毫無作為。
出站訪問控制
出站訪問控制如何呢?網絡防火墻是否有所作為?出站訪問控制方面,網絡防火墻主要有以下表現:
它們可以防止接近零日攻擊
它們可以通過執行URL過濾和網絡反惡意軟件檢測來減少互聯網的“攻擊面”
它們可以進行出站SSL檢查所以惡意軟件無法隱藏在SSL通道來向互聯網的控制器發送企業信息
但是,在出站訪問控制方面,防火墻面臨的挑戰就是并不是所有訪問企業數據的設備都符合企業網絡訪問政策。當然,當員工的筆記本在內網中,一切都很好,并且他們的互聯網訪問被鎖定,很安全。但是,如果員工出差了,筆記本連接到企業網絡訪問控制不能控制的網絡呢?然后該員工又回到內網,又將他在外部網絡的東西分享到內網。在這種情況下(這對于大多數公司都很常見),企業出站訪問控制防火墻無法控制這種問題。
解決方案是什么?
因為云計算的出現,越來越多的設備開始可以訪問數據,數據可以放置的地點也越來越多,企業應該將重點放在保護數據本身而不是網絡防火墻上。同時,企業需要部署更先進的方法來進行訪問控制以及數據訪問報告。另外,需要將保護文件本身作為機制部署,那樣只有授權人員才可以訪問數據,無論文件保存在哪里。
ACL需要變得更加靈活和更加全面,比起我們現在使用的基于用戶/組的方法。你需要以一種更加現實的方式來評估用戶,包括以下標準:
用戶是員工還是承包商?
如果是員工,是專職還是兼職?
用戶是特定項目組成員嗎?
用戶是否被分配到某個安全分類?
用戶是否暫停或者離開?
這些標準和其他用戶特征比用戶屬于哪個“組群”更有價值,并且你應該能夠設置訪問政策以滿足實際需要。
上面所述是良好的開始,但是初步評估和授權只是剛開始。當數據從原地址轉移出去后,必須對其進行安全保護,不管數據被轉移到哪里。這也是為什么權限管理服務(RMS)重要的原因,事實上,如果權限管理被應用到維基百科穩當,很有可能就不會發生那樣的災難。
防火墻是否會退出歷史舞臺?
在這一點上,你一定會覺得奇怪:防火墻會怎么發展?我們是否應該摒棄防火墻?是不是浪費了花費在學習防火墻上的時間呢?事實上,防火墻并不會退出歷史穩態,但是像其他引領你成功的安全方法一樣,防火墻安全技術需要更加貼近信息保存的地點。現代計算機處理器的力量有能力在每個客戶端系統裝上復雜的防火墻,事實上,這正是Windows 7和Windows Server 2008及以上版本的系統中具有高級安全性能的Windows防火墻的概念。利用windows過濾平臺(WFP),這些基于主機的防火墻能夠執行高級防火墻只能,并且能夠在客戶端和主機間進行端到端加密。事實上,在消除對網絡防火墻的要求方面,在所有內網啟用Ipsec有很長的路要走。并且隨著Ipv6開始逐漸擴大范圍,相信我們將看到對網絡防火墻投資的回升。
你覺得呢?這是否是網絡防火墻的末日?防火墻管理員是否應該重新裝點他們的簡歷或者重新學習更重要的技術,例如身份和房屋控制管理?或者網絡防火墻將永遠存在?
【編輯推薦】
