傳統(tǒng)的網(wǎng)絡(luò)防火墻正在消亡，或者已是奄奄一息。

行業(yè)專家認(rèn)為，云計(jì)算、混合環(huán)境、移動(dòng)訪問(wèn)以及在線應(yīng)用程序已經(jīng)使得網(wǎng)絡(luò)防火墻變得過(guò)時(shí)，數(shù)據(jù)中心運(yùn)營(yíng)商應(yīng)該考慮用更具細(xì)粒度的安全技術(shù)來(lái)替代他們的防火墻。

在以往，應(yīng)用程序和數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)中心，并從那里傳遞給企業(yè)網(wǎng)絡(luò)上的員工。Skyport系統(tǒng)公司首席技術(shù)官M(fèi)ichael Beesley表示：“即使沒(méi)有在內(nèi)部部署的數(shù)據(jù)中心上運(yùn)行，他們也會(huì)連接到網(wǎng)絡(luò)。”

如今，應(yīng)用程序和數(shù)據(jù)可以在云端和混合環(huán)境中處理和存儲(chǔ)，也可以通過(guò)外部服務(wù)提供商通過(guò)網(wǎng)站交付。企業(yè)的員工和客戶通常通過(guò)網(wǎng)絡(luò)訪問(wèn)他們，無(wú)論他們身在何處。

這意味著防火墻無(wú)法了解發(fā)生了什么事情，連接來(lái)自哪里或去哪里，而IP地址始終在變化，或被CloudFlare等內(nèi)容分發(fā)網(wǎng)絡(luò)所遮蔽。

Beesley說(shuō)：“防火墻將變得越來(lái)越盲目。”

與此同時(shí)，以前分布在不同端口的流量現(xiàn)在都集中在80和443端口上。

Beesley說(shuō)：“我認(rèn)為現(xiàn)在已經(jīng)接近了一個(gè)臨界點(diǎn)，企業(yè)必須采取不同的方法來(lái)保護(hù)自己。根據(jù)數(shù)據(jù)顯示，在混合環(huán)境中，防火墻并沒(méi)有發(fā)揮作用，企業(yè)基礎(chǔ)設(shè)施需要發(fā)展到一個(gè)零信任的環(huán)境，而不是試圖從網(wǎng)絡(luò)的角度來(lái)保護(hù)它。

然后是加密問(wèn)題。谷歌公司表示，其Chrome瀏覽器中79%的流量目前是加密的。

Kudelski Security公司研究部主管Ryan Spanier表示：“瀏覽器就是讓防火墻的東西消亡。因?yàn)槠髽I(yè)的客戶需要在互聯(lián)網(wǎng)上的獲得服務(wù)，因此防火墻不會(huì)進(jìn)行阻止。”

通過(guò)加密流量，所有防火墻都知道流量的來(lái)源和目的地，現(xiàn)在一切都在云端進(jìn)行處理，即使這樣也不能說(shuō)明問(wèn)題。他說(shuō)：“防火墻的空間已經(jīng)不多了。”

據(jù)網(wǎng)絡(luò)安全廠商Ixia公司最近發(fā)布的調(diào)查顯示，88%的受訪者表示，由于缺乏對(duì)公共云數(shù)據(jù)流量的可見(jiàn)性，他們遇到了與業(yè)務(wù)相關(guān)的問(wèn)題。

最后是應(yīng)用程序開(kāi)發(fā)的轉(zhuǎn)型。企業(yè)已經(jīng)從在專用服務(wù)器上運(yùn)行應(yīng)用程序轉(zhuǎn)移到虛擬機(jī)或者轉(zhuǎn)移到容器，每次都大大增加了需要保護(hù)的端點(diǎn)數(shù)量，同時(shí)加快了新服務(wù)器啟動(dòng)和關(guān)閉的速度。

這使得環(huán)境變得更復(fù)雜，傳統(tǒng)的防火墻很難跟上所有的變化。

位于加利福尼亞州圣何塞的應(yīng)用安全商Aporeto公司的聯(lián)合創(chuàng)始人Amir Sharif表示：“防火墻正在消亡，它將很快就會(huì)死亡。

他說(shuō)，現(xiàn)在無(wú)服務(wù)器的應(yīng)用程序提供微服務(wù)也有這樣的趨勢(shì)，而且改變的步伐也要快上一個(gè)數(shù)量級(jí)。

他說(shuō)：“我一直在計(jì)算可以允許和不允許的東西，而且成本非常高。那些流量在節(jié)點(diǎn)來(lái)來(lái)往往，防火墻無(wú)法跟上其變化速度。

Sharif說(shuō)，他經(jīng)常聽(tīng)到客戶說(shuō)這是一個(gè)多大的問(wèn)題。

他說(shuō)：“我們公司的一位華爾街的客戶提到，每次推出應(yīng)用程序時(shí)，他都必須更新至少14,000種不同的防火墻規(guī)則。”

為了保證安全，安全解決方案需要與應(yīng)用程序緊密結(jié)合，并在部署容器或微服務(wù)時(shí)保證他們的安全。

另一個(gè)選擇是將白名單構(gòu)建到容器中，以便經(jīng)過(guò)允許的應(yīng)用程序在那里運(yùn)行，并且只能連接到允許連接的外部服務(wù)。

采用這種方法一個(gè)例子就是谷歌公司的Beyond Corp戰(zhàn)略。谷歌公司的信息安全總監(jiān)Heather Adkins在今年的RSA大會(huì)上做了一個(gè)介紹。報(bào)告主題是“谷歌如何在沒(méi)有防火墻的情況下保護(hù)企業(yè)的業(yè)務(wù)安全”。

盡管防火墻存在問(wèn)題，企業(yè)不會(huì)很快放棄。

根據(jù)FireMon公司最近的一項(xiàng)調(diào)查，90%的受訪者表示，防火墻對(duì)安全性至關(guān)重要，甚至比以往任何時(shí)候都更加重要。

但FireMon公司的主管Josh Mayfield表示，防火墻的性質(zhì)將會(huì)改變。它將轉(zhuǎn)向一種更少采用嚴(yán)格規(guī)則和更多關(guān)于特定資產(chǎn)政策的方法。

他說(shuō)：“當(dāng)硬性的邊界消失時(shí)，企業(yè)必須依靠政策作為無(wú)形的邊界。未來(lái)的防火墻將會(huì)考慮資產(chǎn)，屬性，連接點(diǎn)等因此。”

他說(shuō)，企業(yè)的安全策略將隨著資產(chǎn)和工作負(fù)載的變化而變化，這意味著企業(yè)將不再需要重寫(xiě)防火墻規(guī)則。