USG6000:“零信任網絡”中“網絡隔離網關”的最佳選擇
2013年12月,業(yè)界頂尖咨詢機構Forrester發(fā)布報告,提出”零信任網絡”的概念,并定義了新的安全產品類別“網絡隔離網關”。Forrester羅列了21項標準來定義“網絡隔離網關”,并對業(yè)界15家主流廠商的產品進行了評估。其中,華為作為唯一被提到的中國廠商,憑借USG6000下一代防火墻產品,滿足20項標準定義,功能覆蓋度排名TOP3。
時代在變化,安全需要演進
自2000年以來,企業(yè)的ICT環(huán)境發(fā)生了巨大的變化,在BYOD、社交網絡、云計算等新技術讓企業(yè)業(yè)務更自由、更高效,更便捷的同時,也帶來了邊界愈發(fā)模糊、身份魚龍混雜、數據泄露等新的安全挑戰(zhàn)。這對對安全設備的防護能力提出了更高的要求。
傳統(tǒng)的安全架構通常是零散的、亡羊補牢式的,在防護效果、可管理性和降低TCO等各方面都無法滿足當前的安全需要。2013年12月,業(yè)界頂尖的咨詢機構Forrester Research發(fā)布了《Security Network Segmentation Gateways Q4, 2013》安全報告,針對傳統(tǒng)網絡安全架構的不足,提出了“零信任網絡”的概念。在報告中,Forrester定義了一個新的安全產品類別——“網絡隔離網關”(Network Segmentation Gateways),作為零信任網絡的安全核心,并羅列了21項標準,對15個業(yè)界主流廠家的產品進行評估。
Forrester的“零信任網絡”和“網絡隔離網關”
Forrester認為,當前以數據為中心的世界,威脅不僅僅來自于外部,需要采用 “零信任”模型構建安全的網絡。在“零信任”網絡中,不再有可信的設備、接口和用戶,所有的流量都是不可信任的。現實中也確實如此,技術高超的APT攻擊者總有辦法進入企業(yè)網絡,企業(yè)的內部員工有意、無意地也會對信息安全造成損害。來自任何區(qū)域、設備和員工的訪問都可能造成安全危害。因此“零信任”是當前網絡對安全的最新要求,必須進行嚴格的訪問控制和安全檢測。通過“零信任”網絡,網絡和安全專家可以用多個并行的交換核心構建網絡,安全地實現網絡分段,實現安全防護,達到合規(guī)標準,并能集中地管理網絡。
在“零信任網絡”中,“網絡隔離網關”位于網絡的中心。這種新的安全設備類型,集成了當前絕大部分獨立安全設備的能力,包括防火墻、IPS、內容過濾、反病毒、Web安全和VPN等。現階段,NGFW暫時扮演了“網絡隔離網關’的角色,但兩者并不相同。
圖1 網絡隔離網關
Forrester認為,“網絡隔離網關比NGFW需要的更多”。這不僅僅在于它需要比NGFW集成更多的功能,還在于“零信任”模型中,網絡隔離網關位于網絡的中心,更靠近數據的位置。需要處理所有的網絡流量,因此需要更強的性能和更多的萬兆接口。部署“網絡隔離網關”的根本目的,是根據數據的類型和敏感性來隔離網絡。使用“網絡隔離網關”結合“零信任”模型,能構造更可靠的網絡,保護關鍵數據并抵御現代威脅。使用“零信任”模型,“網絡隔離網關”可以被看作是SDN(Software-Defined Networking,軟件定義網絡)安全的核心,因此它必須支持SDN,并能夠被統(tǒng)一管理。
“網絡隔離網關”解讀
Forrester從21項標準,來評估產品是否滿足“網絡隔離網關”的要求。這些標準大致分為三個方面:
安全能力:防火墻特性、IPS特性、應用感知、Active Directory集成、用戶感知、內容過濾、行為監(jiān)控、遵從性報表、VPN 網關能力、DLP(數據防泄漏)、加密流量檢測、第三方測試、Anti-DDoS能力、高級的惡意軟件檢測;
管理能力:集中管理、基于Web的管理、自動簽名升級、軟件虛擬機防火墻;
性能和接口:10G能力和接口、多接口、專有硬件。
安全能力多達14項。可見,全面完備的安全能力是“網絡隔離網關”的基礎。其中,對DLP(數據防泄漏)和內容過濾的要求是NGFW定義中沒有的,足見“網絡隔離網關”對數據保護的重視。有4項標準是對可管理性的要求,如集中管理、虛擬化,這是為了適配未來SDN網絡的要求。剩余的3項標準用來衡量性能和接口豐富度,評價產品是否適合部署在網絡核心位置。
“網絡隔離網關”對安全能力的訴求
在“零信任”模型中,所有的訪問流量都是不可信的,隔離網關要保證網絡必須滿足兩個層次的要求:
首先,保證訪問是合理合法的。最小授權原則始終是網絡安全的第一信條。無論訪問來自哪里,必須遵循最嚴格的控制策略,只有業(yè)務必需的訪問才被允許。這將大大縮減APT攻擊的通道,也防止了內部人員有意、無意行為可能對安全的損害。移動化和社交化的趨勢對管控粒度要求更加細致,隔離網關必須能夠基于應用和用戶進行訪問控制,對非法的訪問異常行為能夠及時發(fā)現。所有的訪問行為的日志應被記錄下來,便于日后的行為審計。
其次,被訪問的數據是安全的。隔離網關要對合法的訪問流量進行檢測,不僅僅包括基本的IPS和AV檢測,對數據的保護更是重中之重。必須通過內容過濾和DLP的功能防止關鍵信息資產外泄。再次,保證訪問的通道是安全的。當前,企業(yè)溝通、協(xié)作的強烈需求使網絡邊界變的模糊,合作單位、客戶和供應商對網絡的訪問通常來自Internet。無論訪問來自哪里,隔離網關必須通過VPN加密數據,保障數據在整個傳輸過程中的安全。
“網絡隔離網關”對管理和性能的訴求
傳統(tǒng)網絡中,網絡安全是由眾多分離設備來共同保障的。設備間的信息同步是一個嚴重的管理問題。例如:當網絡中的某臺設備IP需要變更時,管理人員可能需要同步修改防火墻、IPS、AV、Anti-DDoS、DLP等眾多設備上的配置,這將是非常可怕的工作量。一旦配置修改不完全,出現設備間信息不一致的情況,整個網絡的安全防護效率就會大打折扣。當網絡中增加了新安全防護需求,又要增加新的獨立設備,網絡會變得更加復雜,管理成本和操作成本滾雪球般地增加。
SDN是解決網絡管理復雜性,保證業(yè)務敏捷、靈活的良藥。“網絡隔離網關”采用了類似的思路:集中管理、集成和虛擬化。網絡隔離網關將安全功能集成到一個設備上,各個安全防護功能間的共用信息(如IP、應用、用戶)自然地保持了一致,通過統(tǒng)一調度安全功能對流量的處理,避免了獨立設備功能重疊所造成的額外時延。同時,極大簡化了網絡結構,有效降低管理復雜性。通過Web的集中式管理將“網絡隔離網關”資源池化,以統(tǒng)一的視圖管理所有的安全資源。
如上所述,“網絡隔離網關”需要適配SDN網絡對安全的訴求。它被部署在網絡的核心層靠近數據的位置,自然要求密集的高速接口(當前是萬兆接口)和強大的處理能力。為了保證性能,通常要求“網絡隔離網關”采用一體化處理的軟件架構和專用的業(yè)務處理硬件。
華為下一代防火墻USG6000:“網絡隔離網關”的最佳選擇
在Forrester對“網絡隔離網關”的21項評判標準中,華為USG6000系列下一代防火墻滿足其中20項評判標準,在參與評估的15家國際主流安全廠家中,能力匹配度排名TOP3。
在安全能力方面,USG6000不僅集成了Forrester報告中要求“網絡隔離網關”所具備的全部安全功能,并且在訪問控制的精細程度上做得更好:從6個維度感知網絡業(yè)務環(huán)境并進行訪問控制,識別6000+以上的應用,為業(yè)界最多;能夠區(qū)分應用的不同功能,滿足用戶更精準的控制需求(例如:區(qū)分微信的文字和語音,區(qū)分網盤類應用的上傳和下載);依托華為遍布全球的安全中心,在云端采用沙箱技術,監(jiān)控可疑樣本的運行,高效發(fā)現未知威脅,抵御APT攻擊。
在管理能力方面,USG6000支持基于Web的集中式管理和硬件虛擬防火墻。作為華為敏捷網絡中的重要組件,配合大數據分析技術進行安全的智能聯(lián)動和協(xié)同。值得一提的是,憑借獨家的“智能策略生成”技術,USG6000可以主動分析網絡中的實際流量,遵循最小授權原則對已部署的安全策略提出優(yōu)化建議,解決了策略管理復雜性的問題。
在性能和接口方面,USG6000系列具備同級設備中最豐富的接口能力,并采用三種手段來保證設備的高性能:1,特征描述方面,采用華為自主研發(fā)的PCREX語言,來描述應用、IPS和病毒等特征,在報文解析時使用統(tǒng)一的智能感知軟件引擎(IAE,Intelligence Awareness Engine)進行特征匹配分析;2,軟件方面,采用一體化處理架構,一次性識別應用后共享信息,后續(xù)安全功能統(tǒng)一調度、并行處理;3,硬件方面,采用多核架構,使用專有硬件對特定、重復的耗費CPU性能的業(yè)務(如加解密、壓縮解壓縮和模式匹配等)進行單獨處理,性能遠高于采用串行處理機制的獨立安全設備或UTM設備。
USG6000系列下一代防火墻發(fā)布于2013年9月的HENC(Huawei Enterprise Network Congress)大會,面向園區(qū)和企業(yè)提供高性能、全方位的下一代安全防護能力。發(fā)布以來,成功突破歐洲多個行業(yè),德國多特蒙德體育場,阿姆斯特丹地鐵,葡萄牙教育部等項目陸續(xù)簽單,并獲得西班牙最大集成商Indra青睞,中標沙特高速鐵路項目;在中國,USG6000也憑借優(yōu)異的產品能力,迅速拿下深圳廣電,廣州電網,舞陽鋼鐵等多個行業(yè)項目。
更多USG6000產品信息,敬請訪問:
http://enterprise.huawei.com/topic/2013_Firewall/index.html
