傳統防火墻用于數據中心內部的五大缺陷
一日復一日,不同規模的企業都面臨著網絡犯罪和惡意內部人員的威脅。在2020年,Verizon報告全球有超過3,950件被確認的數據泄露事件,相比前一年幾乎翻倍。這些數據泄露影響了幾百萬人,造成企業大量的時間、金錢和資源損失,并且對企業發展都有深遠的影響。
在今天快速變化的世界,CISO們需要一種能夠對持續增長的動態負載與內部流量進行防御的方式。傳統安全解決方案已經不足以應對了。VMware Threat Analysis Unit新發布了一份威脅報告中,著重提到了一種新的方案,尤其針對邊界內進行防御。在這份報告中,結論很明顯:即使部署了主要的邊界防御,惡意人員依然活躍在網絡中。
VMware的網絡安全產品市場高級主管DhruvJain指出了五個內部數據中心的傳統防火墻缺陷。
缺陷一:邊界防火墻主要針對舊流量模式,而非新流量模式
大部分內部防火墻是從企業的邊界防火墻精簡而來,用于確保南北流量安全。然而,在現代數據中心中,有大量的東西流量,意味著數據中心內有很多平行移動的情況。隨著越來越多的一體化應用被部署或者重建到分布式應用中,如今東西向流量已經遠超南北向流量。
太多組織犯了將自己傳統邊界防火墻改造后保護內部網絡的錯誤。雖然這件事看上去很吸引人,但是用邊界防火墻監測東西流量不僅昂貴,而且還在管控大量動態負載的強度和性能上十分低效。
缺陷二:邊界防火墻缺少延展性
用邊界防火墻監測南北流量一般不會產生性能瓶頸,因為流量規模并沒有東西流量那么大。但是如果企業用邊界防火墻監測所有(或者大部分)東西流量,成本和復雜性會幾何級增長到企業根本無法解決的地步。
缺陷三:發卡對頭發不錯,但是對數據中心流量可不好
如果邊界防火請被用于監測東西流量,流量會被強制從一個中心化的設備進出,從而導致發卡流量模式的產生,會造成大量的網絡資源使用。除了會增加延遲,無論是從網絡設計還是從網絡運行層面來看,發卡內部網絡流量還會增加網絡的復雜性。網絡在設計的時候必須考慮到會有額外的發卡流量穿過邊界防火墻。在運營層面,安全運營團隊必須貼合網絡設計,并且留意給防火墻額外流量時的限制。
缺陷四:邊界防火墻不提供清晰的可視化能力
監測東西流量并貫徹顆粒度策略要求到負載等級的可視化能力。標準的邊界防火墻沒有對負載交互的高可視化能力,也沒有微隔離服務建造現代化的分布式應用。缺乏應用流的可視化能力會讓創建和執行負載或者單獨流量等級的規則極度困難。
缺陷五:我有安全策略了,但應用在哪?
傳統的防火墻管理界面被設計于管理幾十個分離的防火墻,但并不是設計支持帶有自動化配置安全策略的負載靈活能力。因此,當邊界防火墻被用作內部防火墻的時候,網絡和安全運營人員必須在一個新的工作負載創建的時候,手動建立新的安全策略;并且當一個負載被移除或者停用的時候,修改這些策略。
用零信任重新思考內部數據中心安全
在這些缺陷的情況下,現在是時候重新思考內部數據中心安全,并且開始應用零信任安全了。如果傳統的邊界防火墻不適合,或者無法有效地成為內部防火墻,那哪種解決方案是最適合監測東西流量?基于上述的缺陷,組織應該開始考量防火墻的支持以下能力:
- 分布式和顆粒度執行安全策略。
- 可延展性以及吞吐量,在不影響性能的情況下處理大流量。
- 對網絡和服務器架構低影響。
- 應用內可視化。
- 負載移動性與自動化策略管理。
一個邊界防火墻要滿足這些要求,無法避免地會有極高的成本和復雜性,還可能會發生大量的安全失效事件。但是,一個分布式的軟件定義方案是部署內部防火墻監測東西流量的最有效方式,一個正確的軟件定義內部防火墻方案可以可延展地、低成本地、高效地保護成千上萬的工作負載,橫跨數千個應用;同時在數據中心啟用零信任模型,可以幫助企業更進一步實現整體的零信任安全框架。
點評
當外部的邊界逐漸模糊以后,威脅在內部的橫向移動就更需要注意,以便能夠第一時間發現攻擊并將攻擊限制在有限范圍內。因此,數據中心內部的防護需要應對大量的東西向流量,在復雜的內部環境中獲得可視化能力。這需要基于零信任構建網絡,并使用微隔離對網絡分區進行管理。
