本文来自微信公众号“网络研究院”。
上一代防火墙(LGFW),下一代防火墙(NGFW)一词是15年前创造的。
如今,随着云技术的快速发展,这些LGFW基于为数据中心开发的架构,已经不能满足云和多云环境的安全需求。
探讨企业在云中使用LGFW架构时所面临的挑战,并重点介绍新兴的替代方案。
以下是云架构改变地方政府防火墙游戏规则的三个原因:
不断变化的边界:传统的静态边界概念在云中不再存在。事实上,我将云称为无边界。云网络是动态的、无尽的、不断发展的,使得使用传统方法进行防御变得困难。LGFW需要将流量重定向到集中检查和策略执行点,从而导致操作复杂性、瓶颈、延迟增加和数据处理成本高昂。此外,使用LGFW方法在云中管理大量动态入口和出口点在操作上变得不可行。
动态云应用程序:云应用程序具有高度动态性,使用微服务架构和容器化,并且通常依赖于直接互联网连接和服务网格网络。这些应用程序需要弹性扩展,并依赖于本机云PaaS服务和API网关,这打破了LGFW和云中基于代理的安全方法。此外,从策略创建的角度来看,安全团队无法再基于IP地址定义策略,因为IP地址在这些动态应用程序环境中不断变化。
基础设施敏捷性要求:云基础设施团队需要跟上现代应用程序的敏捷性需求。他们必须采用快速发布周期、DevSecOps自动化,并利用应用程序团队多年来使用的CI/CD管道。然而,起源于数据中心时代的地方政府防火墙的集中式设备运营模式无法满足云软件定义的敏捷性期望。将LGFW迁移到云会导致运营难题、工具蔓延和不可持续的成本增加。
企业现在需要专门为云设计的云网络安全解决方案。分布式云防火墙已成为一种利用云的分布式特性的有前景的替代方案。
分布式云防火墙定义
这是安全专业人员所熟悉的防火墙策略创建方式,但其架构是为了利用云的分布式特性。
这种方法不会在各处分布防火墙,而是将检查和策略执行分布到云网络中的自然应用程序通信路径中,同时保持集中的策略创建。
这种方法让整个云网络像单个、无限可扩展的防火墙一样运行。听起来有点像云?
以下是安全专业人员在探索分布式云防火墙方法时应注意的五个特征:
本地云流量中的分布式执行:该产品应将检查和策略执行嵌入到本地云基础设施和自然应用程序通信路径中,从而消除对流量重定向、负载平衡器三明治和其他网络体操的需要。这确保了可扩展性,消除了瓶颈,并使整个云网络能够充当单个可扩展的防火墙。
跨多云环境的集中策略创建:云感知策略创建使用动态云原生应用程序工作负载身份(例如标签和属性)而不是静态IP地址来抽象执行细节。安全团队可以通过单个可编程界面定义策略,同时支持跨多个云环境的检查和策略实施。
云运营模型:该产品应提供完整的可见性和控制,支持弹性自动扩展以符合应用程序需求,并使用行业标准基础设施即代码自动化工具(例如Terraform)实现可编程性。它应该无缝集成到DevSecOps CI/CD管道中。
原生云网络和安全编排:产品应利用原生云API进行网络和安全编排,抽象化底层基础设施的复杂性。这可确保云服务提供商之间的一致性,并防止网络和安全配置之间的冲突。
高级安全服务整合:分布式云防火墙应提供的不仅仅是基本的防火墙功能。它应该支持微分段、网络隔离、自动威胁检测和缓解、异常检测、漏洞扫描、云工作负载风险评分、L7解密和检查、完整流量可见性和审计报告。它必须维护基于角色的访问控制,以分离网络和安全职责,所有这些都集成到本地云基础设施和运营中。
与现有的LGFW实施相比,实施分布式云防火墙可以为企业带来巨大的商业价值。
其好处包括降低总拥有成本、提高云基础设施敏捷性、提高性能、缩短检测和解决问题的平均时间、简化企业和监管合规性以及降低总体业务风险。
通过采用云原生安全方法,企业可以更好地保护其云环境并适应云的动态特性。
